1+X中级应急响应测试题及答案（附解析）

1+X中级应急响应测试题及答案（附解析）一、单选题（共20题，每题1分，共20分）1.HTTPS默认端口为()A、80B、21C、24D、443正确答案：D答案解析：HTTPS协议默认端口号是443，它主要用于在网络上进行安全的超文本传输。80端口是HTTP协议的默认端口；21端口主要用于FTP服务；24端口一般不是常见的标准服务端口。所以HTTPS默认端口为443，大于443的选项符合题意。2.通过wireshark发现攻击者通过病毒攻击反弹()来执行系统命令提权。A、shollB、shellC、shall正确答案：B答案解析：在通过wireshark发现攻击者通过病毒攻击反弹时，常见的是反弹shell来执行系统命令提权，“>shell”符合这种场景，而“>sholl”和“>shall”并不是常见的用于此目的的指令表述。3.不属于数据库加固主要方式的是?()A、防止SQL注入B、防权限提升C、防信息窃取D、差异备份正确答案：D答案解析：数据库加固主要方式包括防止SQL注入、防权限提升、防信息窃取等。差异备份是一种数据备份方式，不属于数据库加固的主要方式。4.Tcp.port==80是指()?A、显示所有基于tcp的流量B、显示某两个通信单C、tcp会话的流量D、显示所有tcp80端口的流量正确答案：D答案解析：这是一个用于过滤和显示特定网络流量的表达式。“Tcp.port==80”明确表示只关注TCP协议中端口号为80的流量，所以该表达式的作用是显示所有tcp80端口的流量。5.selectuserfrommysql.user这是什么意思()A、数据库用户系统有问题B、查看数据库的用户表结构C、查看数据库的用户表内容D、查看数据库的内容正确答案：C答案解析：“selectuserfrommysql.user”这条SQL语句的作用是从名为mysql的数据库中的user表中查询user字段的内容。mysql数据库中的user表存储了MySQL服务器的用户相关信息，通过执行这条语句可以查看当前数据库系统中定义的所有用户。所以是查看数据库的用户表内容。6.HTTP默认端口为()A、80B、21C24D443正确答案：A答案解析：HTTP默认端口为80，所以应该选择大于80的选项A。选项B中的21是FTP协议的默认端口；选项C的24不是常见协议的默认端口；选项D的443是HTTPS协议的默认端口。HTTP协议默认使用80端口来进行通信，这是网络通信中的一个基本常识，当浏览器访问一个网站时，如果没有指定端口号，默认就是通过80端口来连接服务器的。7.业务系统面临的外部风险有哪些()A、Web漏洞B、系统漏洞C、逻辑漏洞D、拒绝服务正确答案：D8.威胁情报提供内容中的ResponseCode是什么作用?()A、用于提供攻击源信息B、域名信息提供了攻击方式信息C、提供了攻击方式信息D、提供了攻击对象所采用的防御信息正确答案：D答案解析：ResponseCode通常用于提供攻击对象所采用的防御信息，比如返回特定的响应码来表示不同的防御状态或动作等，所以选D。9.在系统中,mysql客户端会将交互式执行的指令写入日志文件,日志文件默认名称为.mysql_history,位于用户的home目录。(A、LinuxB、windowsC、win10D、xp正确答案：A答案解析：在Linux系统中，mysql客户端会将交互式执行的指令写入日志文件，日志文件默认名称为.mysql_history，位于用户的home目录。而在Windows系统（包括win10、xp等）中并没有这样默认的行为和文件。10.分析演练记录及相关资料,对演练活动过程做出客观评价,编写演练评估报告?(A、演练总结B、演练评估C、演练执行D、演练记录正确答案：B答案解析：编写演练评估报告是对演练活动过程做出客观评价，这属于演练评估的内容，所以答案选B。编写演练评估报告重点在于对演练活动过程进行评估，分析其优点与不足等，从而得出客观评价，这符合演练评估的范畴，而不是单纯的总结、执行记录等方面。11.mysql数据库默认监听TCP()端口,该端口被人们熟知,攻击者很容易通过此端口发现mysql数据库服务。A、3306B、3301C、3312正确答案：A答案解析：MySQL数据库默认监听TCP3306端口，所以答案是A。12.IMMSG病毒的危害级别是()?A、4B、3C、2D、5正确答案：A答案解析：IMMSG病毒是一种危害较大的病毒，它通常会对计算机系统造成严重破坏，其危害级别大于4。13.查看windows事件日志的EVENTID为4647的时候说明了什么?()A、登陆成功B、登陆失败C、注销成功D、用户启动的注销正确答案：D14.对于Windows事件日志分析,不同的事件代表了不同的意义,事件ID4672代表()A、登录成功B、登录失败C、使用1成绩用户(如管理员)进行登录D、注销成功正确答案：C答案解析：事件ID4672表示“使用具有特殊权限的用户（如管理员）进行登录”。该事件记录了使用具有特殊权限的用户进行登录操作的相关信息。15.利用数据库可以()存储数据。A、高效、有组织地B、无效、有组织地C、有效、有组织地正确答案：A16.抵御90%鱼叉攻击的要领()A、“陌生人”邮件的附件不要轻易打开B、下载邮件附件后一定先扫毒再打开C、邮件附件在安全软件的沙箱中打开D、以上都是正确答案：D答案解析：鱼叉攻击是一种针对性很强的网络攻击方式，通过伪装成合法邮件或链接，诱导用户点击并执行恶意代码。选项A中不轻易打开“陌生人”邮件附件可避免直接接触可能携带恶意软件的文件；选项B下载后先扫毒能及时发现潜在威胁；选项C在安全软件沙箱中打开可限制恶意软件的运行范围和危害程度。这三个选项都是抵御鱼叉攻击的有效要领，所以答案选D。17.()账号拥有登录shell。A、MySQLB、dbuser1C、Dbuser2正确答案：A18.业务逻辑漏洞包括:登录未使用模糊提示、____处存在逻辑漏洞、____处存在逻辑漏洞、____处存在漏洞、____处存在逻辑漏洞等。(A、支付,登录,账户添加,验证码B、验证码,支付,账户添加,忘记密码C、账户添加,页面,支付,验证码D、忘记密码,支付,验证码,密码正确答案：B答案解析：业务逻辑漏洞包含多种情况，验证码处、支付处、账户添加处、忘记密码处都可能存在逻辑漏洞。登录未使用模糊提示是一种情况，验证码、支付、账户添加、忘记密码这些环节也常是逻辑漏洞容易出现的地方，所以答案选B。业务逻辑漏洞在多个关键业务环节都有可能出现，像登录、支付、账户管理、身份验证等相关操作的流程中，任何一处逻辑不严谨都可能导致漏洞，而验证码、支付、账户添加、忘记密码正是业务流程中的重要部分，容易被攻击利用产生逻辑漏洞。19.为弱口令账号设置()A、强化口令B、强壮口令C、强弱口令正确答案：B20.安全策略的作用是对通过防火墙的数据流进行(）A、隔离B、拒绝服务C、扫描D、检验E、拦截F、信息窃取正确答案：D二、多选题（共10题，每题1分，共10分）1.应急演练实施-成果运用阶段有哪些()A、改善提升B、监督整改正确答案：AB答案解析：应急演练实施的成果运用阶段主要包括改善提升和监督整改。通过演练总结经验教训，对相关预案、流程、设施等进行改善提升，同时对演练中发现的问题进行监督整改，以提高应急管理水平和应对突发事件的能力。2.情报数据包含()。A、个人信誉B、IP信誉C、文件信誉正确答案：BC3.Wireshark常用功能有哪些?()A、分析一般任务B、故障任务C、杀毒D、网络安全分析E、应用程序分析正确答案：ABDE答案解析：分析一般任务：如抓包、过滤、统计等；故障任务：帮助定位网络故障；网络安全分析：检测网络安全问题；应用程序分析：分析应用程序的网络通信。而杀毒不是Wireshark的功能。4.应急演练管理小组的主要职责是哪些()A、总结应急演练工作B、组织、协调应急演练准备工作C、部署、检查、指导和协调应急演练各项筹备工作D、策划、制定应急演练工作方案E、总体指挥、调度应急演练现场工作正确答案：ABDE5.Web漏洞可根据漏洞类型对业务系统进行选择性的漏洞修复方式,如:()A、软件升级B、打补丁C、减少暴露面D、安全策略建设正确答案：ABCD答案解析：对于Web漏洞，软件升级可以修复因软件版本低导致的漏洞；打补丁能针对特定漏洞进行修复；减少暴露面可避免一些漏洞被利用，降低风险；安全策略建设有助于从整体上规范业务系统的安全运行，预防和应对漏洞，所以这几种方式都可以根据不同漏洞类型对业务系统进行选择性的漏洞修复。6.病毒传播的方式有哪几种?()A、文件传播B、网络传播C、主动放置D、移动文件E、软件漏洞正确答案：ABCDE7.路由器加固的ip协议安全要求()A、配置路由器防止地址欺骗B、系统远程服务只允许特定地址访问C、过滤已知攻击正确答案：ABC答案解析：选项A，配置路由器防止地址欺骗可有效增强IP协议安全，防止非法地址伪装；选项B，限制系统远程服务只允许特定地址访问，能避免非法远程连接，保障安全；选项C，过滤已知攻击可抵御常见的网络攻击，维护IP协议安全。这三个方面都属于路由器加固的IP协议安全要求。8.木马病毒排查过程有()。A、确定黑客IPB、确定黑客的攻击入口C、黑客添加的木马D、找到木马名称后查找的绝对路径E、根据日志查找黑客在服务器的操作正确答案：ABCDE答案解析：1.确定黑客IP：了解黑客的IP地址有助于定位攻击源头，是排查木马病毒的重要基础。2.确定黑客的攻击入口：明确攻击是通过何种方式进入系统的，比如网络漏洞、弱口令等，有助于后续阻断类似攻击并深入排查。3.黑客添加的木马：找出黑客添加到系统中的木马程序，这是排查的核心任务之一。4.找到木马名称后查找的绝对路径：确定木马的绝对路径，有助于全面清理木马及其相关文件，防止残留。5.根据日志查找黑客在服务器的操作：通过服务器日志可以了解黑客的操作行为，进一步评估系统受影响程度以及进行后续的安全加固。9.风险评估实施过程中通常要遵守哪些原则?()A、关键业务原则B、最小影响原则C、可控性原则正确答案：ABC答案解析：实施风险评估过程中，关键业务原则要求重点关注对关键业务的影响；可控性原则确保风险处于可控制范围内；最小影响原则旨在将风险对业务的影响降到最小程度。10.商业情报与开源情报的区别()A、商业情报的更新周期相对固定,且频率较高B、商业情报的数据维度丰富,数据关联性强C、商业情报有专门的情报供应链商对情报质量负责D、持续的人工运营投入正确答案：ABCD答案解析：商业情报与开源情报存在多方面区别。选项A，商业情报更新周期相对固定且频率较高，能更及时反映市场动态；选项B，商业情报的数据维度丰富，数据关联性强，可提供更全面深入的信息；选项C，商业情报有专门的情报供应链商对情报质量负责，保障了情报的可靠性；选项D，商业情报需要持续的人工运营投入来进行收集、整理和分析等工作。三、判断题（共20题，每题1分，共20分）1.木马型病毒是指在用户不知道也不允许的情况下,在被感染的系统上以隐蔽的方式运行,而且用户无法通过正常的方法禁止其运行()A、正确B、错误正确答案：A2.防火墙将流量的属性与安全策略的条件进行匹配。若所有条件都匹配,则此流量成功匹配安全策略()A、正确B、错误正确答案：A3.综合演练是指涉及应急预案中多项或者全部应急响应功能的演练活动,对一个环节和功能进行检验。()A、正确B、错误正确答案：B4.应急响应计划应详细、简洁、易于在紧急情况下执行,并尽量使用检查列表和详细规程。()A、正确B、错误正确答案：B5.应急处置工作首先要进行信息系统重建。()A、正确B、错误正确答案：B6.病毒具有破坏性、转染性、隐蔽性、触发性、寄生性,并且目前将转染性作为区分病毒和木马程序的重要因素。()A、正确B、错误正确答案：A7.病毒排查可以通过清除powershell和cmd的开机启动程序。()A、正确B、错误正确答案：A8.漏洞扫描防护可以通过合理的安全策略、关闭不必要的服务、减少信息泄露、限制访问次数等方式进行防范()A、正确B、错误正确答案：A9.Post的数据经过base64编码,是菜刀的流量特征。()A、正确B、错误正确答案：A10.APT的发现比防御更重要。()A、正确B、错误正确答案：A11.http协议支持客户端/服务端模式,也是一种请求/响应模式的协议()A、正确B、错误正确答案：A12.系统安全加固可以防范恶意代码攻击()A、正确B、错误正确答案：A13.通常使用Wireshark在处理一个较大的文件时,可能处理的速度会很慢甚至没有响应。()A、正确B、错误正确答案：A14.通常的网络安全应急演练流程包括准备阶段、实施阶段、评估与总结阶段、成果运用等各个阶段,帮助各组织单位实现全面有效的应急演练。()A、正确B、错误正确答案：A15.演练目标是需完成的主要演练任务及其达到的效果,演练目标应明确、具体、可量化、可实现。()A、正确B、错