2025国考吉林网安支队网络巡查题库及答案

2025国考吉林网安支队网络巡查题库及答案一、单项选择题（每题1分，共30分。每题只有一个正确答案，请将正确选项字母填在括号内）1.2024年7月，吉林省公安厅网安总队启动“净网2024”专项行动，重点打击的网络犯罪类型是（）。A.网络传销B.网络赌博C.勒索病毒D.暗网交易答案：C2.根据《网络安全法》第21条，网络运营者应当按照网络安全等级保护制度要求，采取监测、记录网络运行状态的技术措施，相关网络日志留存期限不少于（）。A.1个月B.3个月C.6个月D.12个月答案：C3.在Linux系统中，用于实时显示当前网络连接情况的命令是（）。A.ssantB.netstatrC.lsofiD.tcpdumpnn答案：A4.2025年1月，吉林网安支队在暗网巡查中发现某论坛使用“BulletproofHosting”服务，该服务最主要的技术特征是（）。A.动态域名解析B.反向代理隐藏真实IPC.加密DNSD.区块链存储答案：B5.对Windows1122H2版本进行内存镜像取证时，Volatility3框架中用于定位“ProcessHollowing”攻击的插件是（）。A.malfindB.pslistC.handlesD.callbacks答案：A6.根据《数据安全法》第27条，开展数据处理活动应当加强风险监测，发现数据安全缺陷、漏洞时，应当立即采取补救措施，并按规定向（）报告。A.工信部B.网信部门C.公安机关D.行业主管部门答案：B7.在SQL注入漏洞验证中，使用“/!50000union/”注释形式的目的是（）。A.绕过WAF关键字过滤B.提高查询效率C.触发MySQL错误回显D.关闭SQL_MODE答案：A8.2024年12月，吉林网安对某APT组织“APTC60”进行溯源，发现其C2通信采用DoH（DNSoverHTTPS），下列流量特征最能用于检测的是（）。A.SNI字段为“”且证书签发者为“CN=CloudflareInc”B.TLS握手JA3指纹异常固定C.HTTP头部UserAgent缺失D.数据包长度恒定512B答案：B9.根据《个人信息保护法》第38条，因业务需要确需向境外提供个人信息的，应当通过国家网信部门组织的安全评估，评估重点不包括（）。A.数据出境必要性B.接收方所在国法律环境C.数据规模是否超过1万条D.数据加密算法强度答案：C10.在Android13应用逆向中，发现某APP使用“SecShell”加固，脱壳时最需关注的系统调用是（）。A.mmap2B.ptraceC.openatD.futex答案：B11.2025年2月，吉林网安对某勒索病毒“LockBitNG”进行样本分析，其使用的椭圆曲线加密算法为（）。A.secp112r1B.secp256k1C.Curve25519D.NISTP384答案：C12.根据《关键信息基础设施安全保护条例》，下列哪项不属于关键信息基础设施（）。A.省级政务云B.大型电商平台C.三甲医院HIS系统D.社区便利店收银系统答案：D13.在Wireshark中，过滤显示所有HTTP状态码为404的响应包，正确表达式是（）。A.http.response.code==404B.tcp.port==80&&httpC.http.request&&tcp.payload[0:3]==“404”D.http.response&&data.textcontains“404”答案：A14.2024年11月，吉林网安通过“零日漏洞”打击暗网交易平台，该漏洞位于开源商城系统“ECSHOP4.1.0”，漏洞类型为（）。A.文件上传B.SQL注入C.反序列化D.逻辑绕过答案：C15.根据《刑法》第285条，非法侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统，情节特别严重的，处（）。A.三年以下B.三年以上七年以下C.七年以上D.十年以上答案：C16.在IPv6网络巡查中，发现某主机地址为“240e:fa:8001:10::53”，其最可能承担的角色是（）。A.Web服务器B.DNS服务器C.邮件中继D.数据库答案：B17.2025年3月，吉林网安使用“沙箱逃逸检测引擎”发现样本利用“DirtyPipe”漏洞提权，该漏洞影响内核版本范围为（）。A.5.8≤version<5.16.10B.5.10≤version<5.18C.5.13≤version<5.16.11D.5.15≤version<6.0答案：C18.根据《网络产品安全漏洞管理规定》，网络产品提供者应在知悉漏洞后（）小时内向工信部网络安全威胁信息共享平台报送。A.24B.48C.72D.96答案：B19.在Elasticsearch集群安全巡查中，发现9200端口可直接执行“_shutdown”API，其最根本原因是（）。A.未启用TLSB.未配置身份认证C.未更新版本D.未关闭外网访问答案：B20.2024年10月，吉林网安对某IoT僵尸网络“MooBot”进行Sinkhole，发现其DGA算法种子与（）有关。A.当日UTC日期B.比特币区块高度C.推特热搜MD5D.月相周期答案：B21.根据《反电信网络诈骗法》，电信业务经营者为诈骗分子提供“猫池”服务，最高可处（）罚款。A.10万元B.50万元C.100万元D.500万元答案：D22.在macOS14取证中，用于提取T2芯片加密硬盘的工具是（）。A.CellebriteUFEDB.GrayKeyC.MacQuisitionD.XWays答案：C23.2025年4月，吉林网安对某“AI换脸”诈骗APP溯源，发现其调用的深度伪造模型为（）。A.StyleGAN3B.DeepFaceLabC.SimSwapD.FaceFusion答案：D24.根据《网络安全审查办法》，掌握超过（）万用户个人信息的网络平台运营者赴国外上市，必须申报网络安全审查。A.50B.100C.500D.1000答案：B25.在容器安全巡查中，发现某Docker守护进程开启“tcp://:2375”，攻击者可直接执行（）命令获取宿主机root权限。A.dockerHhostrunv/:/mntalpinechroot/mntshB.dockerexecitcontainer/bin/bashC.dockercomposeupdD.dockerbuildttest.答案：A26.2024年9月，吉林网安通过“蜜罐”捕获“Mirai”变种，其新增扫描端口为（）。A.2323B.6789C.8291D.3702答案：D27.根据《密码法》，核心密码、普通密码属于国家秘密，最高密级为（）。A.绝密B.机密C.秘密D.内部答案：A28.在HTTPS流量中间人检测中，用于校验证书透明度的扩展字段是（）。A.CTPrecertificateSCTsB.OCSPMustStapleC.ExtendedValidationD.SubjectAlternativeName答案：A29.2025年5月，吉林网安对某“网络水军”团伙进行打击，其使用的自动化刷量协议是（）。A.MQTTB.CoAPC.WebSocketD.XMPP答案：C30.根据《公安机关办理刑事案件电子数据取证规则》，对远程计算机信息系统进行网络在线提取时，应当制作《电子数据现场提取笔录》，并经（）签名。A.办案人、见证人B.办案人、持有人C.办案人、技术人D.办案人、鉴定人答案：A二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）31.下列哪些属于《网络安全等级保护2.0》中“安全区域边界”控制点（）。A.边界防护B.访问控制C.入侵防范D.恶意代码防护E.可信验证答案：A、B、C、E32.2024年8月，吉林网安对某“钓鱼网站”进行溯源，可采用的被动DNS数据源包括（）。A.VirusTotalPDNSB.DNSDBC.CIRCLPASSIVEDNSD.FarsightDNSDBE.OpenDNSInvestigate答案：A、B、C、D33.在Windows1123H2内存取证中，可用于检测“KernelCallbackTable”被篡改的插件有（）。A.callbacksB.callbacktableC.gdtD.idtE.ssdt答案：A、B34.根据《个人信息保护法》，处理敏感个人信息应当取得个人的单独同意，下列属于敏感个人信息的有（）。A.宗教信仰B.行踪轨迹C.银行账户D.健康医疗E.14岁以下未成年人信息答案：A、C、D、E35.2025年1月，吉林网安对某“供应链攻击”事件调查，发现攻击者篡改的开源组件包括（）。A.log4jcore2.17.1.jarB.xzutils5.6.0.tar.gzC.bootstrapsass3.3.7.gemD.eventstream3.3.6.tgzE.coa2.0.1.tgz答案：B、D、E36.在Elasticsearch渗透测试中，可导致远程代码执行的漏洞编号有（）。A.CVE20143120B.CVE20151427C.CVE20197609D.CVE202122145E.CVE202222965答案：A、B、C37.下列关于“区块链混币器”TornadoCash的说法正确的有（）。A.使用zkSNARK技术B.池子合约地址固定C.2022年8月被美国OFAC制裁D.完全开源E.支持BTC混币答案：A、B、C、D38.2024年12月，吉林网安对“AI生成式谣言”进行检测，可采用的深度伪造检测算法有（）。A.CNN+LSTMB.XceptionNetC.MesoNetD.EfficientNetB7E.ViT答案：A、B、C、D、E39.在容器逃逸场景中，利用“privileged”权限可直接访问的宿主机资源有（）。A./devB./procC./sysD./var/run/docker.sockE./etc/shadow答案：A、B、C、D40.根据《公安机关办理刑事案件电子数据取证规则》，对电子数据进行冻结时，应当开具的法律文书有（）。A.《协助冻结电子数据通知书》B.《冻结电子数据清单》C.《电子数据冻结笔录》D.《电子数据提取固定清单》E.《扣押决定书》答案：A、B、C三、判断题（每题1分，共10分。正确打“√”，错误打“×”）41.2025年3月，吉林网安通过“量子密钥分发”技术实现了对VoLTE语音的端到端加密，该说法符合现行技术成熟度（）。答案：×42.在iOS17越狱取证中，checkm8漏洞仍适用于A11以下芯片设备（）。答案：√43.根据《网络安全法》，网络运营者收集个人信息无须遵循“最小必要原则”（）。答案：×44.2024年11月，吉林网安使用“大模型+知识图谱”技术，将APT组织“APTC60”的TTPs准确率提升至92.7%（）。答案：√45.在TLS1.3协议中，ServerHello之后的所有握手消息均已加密（）。答案：√46.根据《数据出境安全评估办法》，数据出境评估结果有效期为3年（）。答案：√47.2025年4月，吉林网安对某“Web3钓鱼”案件调查，发现攻击者利用ERC4337账户抽象机制绕过钱包授权提示（）。答案：√48.在Windows1124H2中，启用VBS（VirtualizationbasedSecurity）后，传统内存获取工具仍可完整导出内存镜像（）。答案：×49.2024年10月，吉林网安通过“星链”卫星信号定位到境外诈骗窝点，该手段已获国际电信联盟批准（）。答案：×50.根据《公安机关办理刑事案件电子数据取证规则》，电子数据冻结期限最长为六个月，可续冻（）。答案：√四、简答题（每题10分，共30分）51.简述2025年吉林网安支队在“AI深度伪造诈骗”案件中所采用的“多模态检测”技术路线，并给出两项关键指标。答案：（1）技术路线：①采集阶段：获取嫌疑人语音、视频、文本三模态数据；②预处理：对语音进行MFCC特征提取，视频采用FFmpeg抽帧+RetinaFace人脸检测，文本进行BERT向量化；③特征融合：使用Transformer编码器将三模态特征映射至同一隐空间，采用CrossAttention机制实现跨模态关联；④检测模型：基于EfficientNetB7+BiLSTM+SelfAttention的混合网络，输出伪造概率；⑤后处理：利用知识图谱对嫌疑人社交账号、设备指纹、链上地址进行实体对齐，形成证据链。（2）关键指标：①AUC=0.987（语音伪造检测）；②EER=1.2%（视频换脸检测）。52.2024年9月，吉林网安在“0day漏洞打击暗网交易”行动中，发现某Linux内核本地提权漏洞，请给出完整的漏洞应急响应流程，并说明如何确保“证据链闭环”。答案：（1）应急响应流程：①发现：通过蜜罐捕获异常特权提升行为，提取内核崩溃日志；②验证：在隔离环境复现，确认漏洞存在于kernel/module.c的签名验证绕过逻辑；③定级：依据CVSSv3.1评分为9.8，属严重级别；④上报：72小时内向国家信息安全漏洞共享平台报送，同步通知受影响政企单位；⑤处置：发布临时缓解方案——启用secureboot并限制非授权模块加载；⑥修复：联合内核社区在48小时内发布补丁，吉林网安通过WSUS、YUM私有源推送；⑦溯源：通过ELF文件编译时间戳、调试符号定位到初始攻击者GitHub账号，结合VPN出口日志落地真实身份；⑧打击：依法对攻击者采取刑事强制措施。（2）证据链闭环：①提取内存镜像、磁盘镜像、网络流量pcap三重原始证据；②计算SHA256并写入区块链存证，确保不可篡改；③生成《电子数据取证报告》《鉴定意见书》《现场笔录》三份法律文书，由两名以上侦查员及见证人签字；④将漏洞利用脚本、补丁文件、日志、聊天记录进行时间戳对齐，形成“工具—行为—结果”完整链条；⑤庭审阶段，邀请第三方鉴定机构出庭作证，实现闭环。53.2025年吉林网安支队构建“东北亚跨境数据流动监测平台”，请说明其技术架构、核心算法及法律合规设计。答案：（1）技术架构：①数据采集层：在长春国际互联网出口、珲春陆缆、卫星地面站部署分光器，实现100Gbps全流量镜像；②预处理层：使用DPDK+FPGA硬件加速，完成IP碎片重组、SSL/TLS解密、DNS递归追踪；③存储层：采用冷热分级，热数据存入ClickHouse，冷数据转存至HDFS，密钥托管于HSM；④分析层：基于Flink流处理，内置敏感数据识别模型（正则+NER+BERT），支持中、俄、韩、英多语言；⑤展示层：Vue3+WebGL实现3D拓扑，实时呈现数据出境路径、风险等级、属地统计。（2）核心算法：①跨境数据指纹算法：对数据包载荷进行SimHash，结合TLS指纹、SNI、证书透明度日志，生成64位指纹，实现相似数据聚类；②异常检测算法：采用IsolationForest+GraphSAGE，对IP、域名、证书、ASN构建异构图，发现隐蔽隧道、域前置、CDN隐藏等异常模式；③加密流量识别：利用ESNI/ECH特征、JA3/JA3S指纹、流量包长序列，训练1DCNN模型，准确率达96.4%。（3）法律合规：①遵循《个人信息保护法》第38条，对识别到的个人信息出境行为自动触发“安全评估”流程；②与俄罗斯、韩国警方建立“跨境数据调取”双边通道，依据《刑事司法协助条约》出具正式函件；③平台通过等保三级测评，日志留存不少于六个月，密钥管理符合GM/T00542018标准；④设置“数据出境白名单”，对自贸区、跨境电商综合试验区企业实行“监管沙盒”机制，实现“放得开、管得住、服务好”。五、综合案例分析题（20分）54.案情：2025年6月，吉林网安支队接到部网安局通报，某境内电商A公司被境外APT组织“APTC88”植入后门，导致2.3亿条用户订单数据被窃取。经初查，攻击者利用A公司供应链下游的物流软件B公司更新服务器植入“SUGARLOADER”木马，通过合法数字签名绕过EDR，再借助A公司内网“零信任”网关的SAML断言伪造漏洞横向移动至核心数据库。请回答：（1）给出完整的电子数据勘查步骤（6分）；（2）说明如何对“SUGARLOADER”进行同源分析（4分）；（3）阐述如何固定“SAML断言伪造”攻击证据（4分）；（4）给出跨境调取境外C2服务器日志的法律路径及技术方案（6分）。答案：（1）电子数据勘查步骤：①现场保护：立即封存A公司IDC机房，切断攻击者外联通道，启用备用链路保障业务；②镜像获取：对300台服务器、1200台终端、50台交换机镜像，使用WriteBlocker确保只读，计算SHA256并写入时间戳；③流量回溯：从全流量存储系统提取近90天PCAP，重点过滤B公司更新域名“”及IP104.244.XX.XX；④日志聚合：将Windows事件日志、Linuxaudit日志、EDR日志、SaaS审计日志统一导入ElasticStack，使用KQL语句“vider:”MicrosoftWindowsSecurityAuditing“ANDevent.action:”Logon“ANDuser.domain:”APTC88“”筛选异常；⑤内存扫描：使用Volatility3的malfind、netscan插件，发现SUGARLOADER内存特征“MZAR”标记及硬编码C2域名；⑥输出生成《现场勘查笔录》《原始证据清单》《完整性校验值记录》，由两名以上民警及见证人签字。（2）同源分析：①样本收集：从A公司、B公司、VirusTotal、Hy