2025年网络安全培训考试题库(网络安全专题)应急响应试题及答案

2025年网络安全培训考试题库(网络安全专题)应急响应试题及答案一、单项选择题（每题1分，共20分。每题只有一个正确答案，请将正确选项字母填入括号内）1.在网络安全应急响应的PDCERF模型中，字母“C”代表的阶段是（）。A.准备B.检测C.抑制D.恢复答案：C2.当发现Web服务器出现大量针对/admin/login.php的POST请求且源IP高度分散，最优先采取的抑制措施是（）。A.立即关机B.限制URL访问C.拔网线D.增加带宽答案：B3.根据GB/T243632009《信息安全技术信息安全应急响应计划规范》，应急响应计划首次发布后宜在（）内组织演练。A.1个月B.3个月C.6个月D.12个月答案：B4.在Linux取证中，为了获取易失性内存数据，应首先执行的命令是（）。A.ddif=/dev/memB.lsmodC.psauxD.netstattulnp答案：A5.勒索软件加密行为最常见的早期IOC（IndicatorsofCompromise）是（）。A.DNSTXT记录异常B.大量读取文件头C.新增计划任务D.出站445端口扫描答案：B6.对Windows事件日志进行取证时，可证明攻击者清除日志的事件ID是（）。A.4624B.4625C.1102D.4719答案：C7.在应急通信群组中，使用“@all立即下线生产主机”属于哪类通信原则（）。A.时效性B.准确性C.可追溯性D.最小权限答案：A8.若需对一台疑似感染Rootkit的服务器进行冷镜像，以下做法正确的是（）。A.正常关机后做磁盘对拷B.直接热克隆系统盘C.使用LiveCD启动后做镜像D.先安装杀毒软件再镜像答案：C9.在NISTSP80061r2中，将事件分为Event、AdverseEvent、Incident三级，其划分依据是（）。A.影响程度B.攻击手法C.资产价值D.日志数量答案：A10.当发生数据泄露事件时，依据《个人信息保护法》，企业应在（）小时内向省级以上监管部门报告。A.8B.24C.48D.72答案：B11.使用Volatility框架分析内存镜像时，查看进程列表的插件是（）。A.pslistB.filescanC.malfindD.timeliner答案：A12.在应急演练中，红队通过鱼叉邮件获得初始foothold，该攻击向量属于（）。A.物理层B.网络层C.应用层D.人为层答案：D13.对工业控制系统的应急响应，首要遵循的原则是（）。A.保密性B.完整性C.可用性D.不可否认性答案：C14.若发现数据库被写入WebShell，最应优先检查的表是（）。A.mysql.userB.information_schema.tablesC.sys.sql_logD.业务日志表答案：B15.在云端应急响应中，以下哪项IAM策略能快速限制泄露AK/SK的横向移动（）。A.删除AKB.附加显式拒绝策略C.轮换密码D.关闭EC2答案：B16.当发生DDoS攻击时，云清洗中心返回的HTTP状态码通常是（）。A.200B.302C.429D.520答案：C17.在威胁狩猎中，使用Sigma规则匹配日志，其规则字段“logsource”的作用是（）。A.定义攻击技战术B.指定日志源类型C.设置告警等级D.描述攻击者答案：B18.对VMwarevSphere虚拟化平台做应急快照时，若选择“Quiesceguestfilesystem”，依赖的组件是（）。A.VMwareToolsB.openvmtoolsC.VSSD.vMotion答案：A19.在IoT设备固件提取过程中，使用UART连接发现bootloader密码，该密码最可能存储于（）。A./etc/passwdB.UBoot环境变量C.NAND坏块D.eMMCRPMB分区答案：B20.依据ISO/IEC27035，事件关闭前必须完成的活动是（）。A.业务验证B.根因分析C.证据移交D.经验总结答案：B二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，请将所有正确选项字母填入括号内，漏选、错选均不得分）21.以下哪些属于应急响应准备阶段的关键输出物（）。A.资产清单B.通信矩阵C.事件报告模板D.根因分析报告答案：ABC22.在Windows环境下，可用于获取内存镜像的开源工具包括（）。A.DumpItB.FTKImagerC.winpmemD.MagnetRAMCapture答案：ACD23.当发现Linux服务器存在可疑内核模块，可使用的排查命令有（）。A.lsmodB.modinfoC.dmesgD.sysdig答案：ABCD24.以下哪些日志源可用于检测Kerberoasting攻击（）。A.Windows安全日志ID4768B.Windows安全日志ID4769C.流量中SPN请求D.Linuxauth.log答案：ABC25.在应急演练总结报告中，必须包含的要素有（）。A.演练目标B.时间线C.改进建议D.预算清单答案：ABC26.对勒索软件进行样本分析时，宜采取的安全隔离措施包括（）。A.使用离线VMB.关闭共享文件夹C.禁用快照D.连接互联网进行云查杀答案：ABC27.以下哪些属于云原生应急响应的挑战（）。A.临时容器生命周期短B.多租户日志隔离C.缺乏物理访问D.无法做内存取证答案：ABC28.当发生API接口异常大量调用时，可快速实施的抑制手段有（）。A.限速B.封IPC.下线版本D.关闭Swagger文档答案：ABC29.在移动APP应急响应中，获取用户终端日志的合规方式包括（）。A.用户主动上传B.远程静默采集C.应用内嵌反馈D.公开应用商店评论爬取答案：AC30.以下关于数字取证链（ChainofCustody）的描述正确的是（）。A.记录证据交接人B.记录哈希值C.记录存储温湿度D.允许私人拷贝答案：ABC三、填空题（每空1分，共20分。请将正确答案直接填入空格内）31.在Linux系统中，用于查看当前已加载系统调用表的文件路径是________。答案：/proc/kallsyms32.当Windows系统遭受PasstheHash攻击时，安全日志中常见的事件ID是________。答案：4624（登录类型3，进程名NtLmSsp）33.使用tcpdump抓取HTTP明文数据包时，过滤端口80且保存为pcapng格式的命令参数是________。答案：ianyport80whttp.pcapng34.在NIST框架中，将“Eradication”阶段进一步细分为清除________和________两类。答案：恶意代码、漏洞35.对Android设备进行物理镜像时，若芯片为MTK，常用下载模式简称是________。答案：META36.依据《网络安全法》第________条，关键信息基础设施运营者应当设置专门安全管理机构。答案：三十九37.在应急通信中，使用“Twowayradio”的主要目的是防止________中断。答案：公网38.使用YARA规则匹配内存时，关键字“uint16(0)”表示从文件头读取________字节。答案：239.当发现Git仓库被植入恶意子模块时，应首先对比________文件的变更。答案：.gitmodules40.在容器应急中，使用命令kubectllogsfc可获取________日志。答案：sidecar41.对勒索软件进行比特币地址追踪时，常用区块链浏览器是________。答案：（或任意主流浏览器，如）42.工业控制系统中，Modbus协议功能码________用于写单个寄存器。答案：0643.在Windows取证中，注册表路径HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\对应________信息。答案：驱动/服务44.使用Volatility查看bash历史命令的插件名称是________。答案：linux_bash45.当发生数据泄露事件时，依据GDPR，企业需在________小时内向监管机构报告。答案：7246.在威胁情报中，STIX格式使用________对象描述攻击者意图。答案：IntrusionSet47.对VMwareESXi进行应急时，可通过________命令行界面关闭虚拟机。答案：vimcmd48.在IoT固件分析中，使用binwalk提取文件系统时加________参数可递归提取。答案：Me49.当发现数据库被写入WebShell，检查Apache日志中HTTP状态码________可定位成功上传。答案：20050.依据ISO22301，业务连续性计划演练最短周期为________个月。答案：12四、判断题（每题1分，共10分。请判断下列说法是否正确，正确的填“√”，错误的填“×”）51.在应急响应中，所有证据必须先做哈希再进行分析，否则法庭不予采信。（）答案：√52.使用云厂商提供的“一键隔离”功能会立即中断该VPC内所有ECS的公网访问。（）答案：×53.在Linux系统中，/var/log/wtmp文件记录当前登录用户列表，可直接用cat查看。（）答案：×54.对加密流量进行应急分析时，若拥有服务器私钥，Wireshark可解密TLS1.3流量。（）答案：×55.在工业控制系统中，PLC程序下载通常使用TCP502端口。（）答案：√56.当发生数据泄露事件时，企业应第一时间在社交媒体发布声明以减少舆情。（）答案：×57.使用Windows1020H1以上版本，默认启用VBS功能可防止PasstheHash攻击。（）答案：√58.在容器环境中，使用“kubectldeletepod”会立即清除该Pod产生的所有日志。（）答案：×59.对手机进行JTAG提取时，无需考虑电池电量，因为JTAG口直接供电。（）答案：×60.依据《数据安全法》，重要数据出境必须通过安全评估。（）答案：√五、简答题（共30分）61.（封闭型，6分）简述Windows环境下使用Kansa框架进行应急取证的三大步骤，并给出每一步的核心命令。答案：1)部署：将Kansa.ps1与模块文件夹放至目标机，执行SetExecutionPolicyBypassScopeProcess。2)采集：.\kansa.ps1Target$env:COMPUTERNAMEModulePath.\ModulesOutputPath.\Data3)分析：使用GetWinEvent、OutGridView或导入ELK对JSON结果进行时间线分析。62.（封闭型，6分）说明Linux系统遭受Rootkit后，使用chkrootkit与rkhunter进行自检的局限性，并提出一种增强方案。答案：局限性：二者依赖签名，易被内核级Rootkit劫持系统调用导致漏报；无法检测内存驻留型威胁。增强方案：使用LiveCD离线启动，对比已知良好内核哈希，结合Volatility进行内存分析，并采用AIDE建立基线。63.（开放型，8分）某电商在6月18日大促期间遭遇CC攻击，导致结算接口延迟>5s。请给出完整的应急响应流程（含时间线、角色、关键命令或配置），并说明如何与业务团队协同。答案：1)检测：10:02，监控平台触发“结算接口P99延迟>5s”，值班工程师A确认非业务峰值。2)通报：10:05，A在应急群@all，启动二级响应，成立指挥组（应急组长、网络、应用、DB、公关）。3)抑制：10:10，网络组在WAF创建限速规则：单IP30s内>100次/checkout即返回429；同时开启验证码。4)分析：10:20，流量镜像至IDS，发现UserAgent为“pythonrequests/2.25.1”，源IP6万条，集中于海外。5)根除：10:30，调整CDN边缘节点，启用“UnderAttack”模式，Challenge页面通过率<5%的IP自动拉黑24h。6)恢复：10:40，延迟降至800ms，业务验证下单成功，监控绿灯。7)总结：11:00，输出报告，给出后续优化：接入弹性清洗、建立大促蓝军演练、结算接口加入风控令牌。协同：业务团队提供秒杀时段库存接口阈值，DBA提前扩容只读节点，公关同步微博“网络波动已恢复”。64.（封闭型，5分）列举三种可在容器逃逸后用于维持宿主机权限的systemd单元文件路径，并给出检测命令。答案：路径：/etc/systemd/system/backdoor.service、/usr/lib/systemd/system/backdoor.service、~/.config/systemd/user/backdoor.service检测：find/etc/systemd/usr/lib/systemd/homename“.service”newer/etc/passwdexecgrepl“ExecStart=/tmp/”{}\;65.（开放型，5分）说明在零信任架构下，应急响应中如何动态隔离身份而非IP，并给出实现参考。答案：基于身份（Identity）标签隔离：利用SDP控制器下发策略，将用户/设备/应用标签作为主体，实时撤销其JWT/OAuth令牌或缩短有效期，强制重新认证与评估。实现参考：使用开源OpenZiti或商业Zscaler，通过API调用“identitydisable<uid>”，同时触发EDR隔离设备，确保IP变更后仍有效。六、应用题（共50分）66.（分析类，15分）阅读以下日志片段，回答问题：2025031714:22:010GET/login.jsp805Mozilla/5.020000462025031714:22:020POST/login.jsp805sqlmap/1.5302001242025031714:22:030GET/admin/dashboard.jsp805Mozilla/5.020000318（1）指出攻击者使用的工具及攻击阶段。（3分）（2）给出两条针对该攻击的WAF自定义规则（ModSecurity语法）。（6分）（3）若发现dashboard.jsp被写入WebShell，请写出在Linux下使用grep快速定位WebShell关键字的命令，并排除正常图片文件。（6分）答案：（1）工具：sqlmap；阶段：利用SQL注入获取管理员权限后横向移动至后台。（2）规则：SecRuleREQUEST_HEADERS:UserAgent“@streqsqlmap”“id:1001,phase:1,deny,status:403,log,msg:’sqlmapdetected’”SecRuleREQUEST_URI“@streq/login.jsp”“chain,id:1002,phase:2,deny,status:403,log”SecRuleREQUEST_BODY“@rx(union|sleep|benchmark|extractvalue)”“”（3）命令：find/var/wwwtypef\(name“.jsp”oname“.php”\)execgrepl“eval\|assert\|base64_decode\|system”{}\;|grepv“\.png\|\.jpg\|\.gif”67.（综合类，20分）某集团公司于2025年4月1日9:00发现域控服务器（WindowsServer2022）被植入CobaltStrikeBeacon，攻击者已获取SYSTEM权限。请：（1）绘制事件时间线（含检测、通报、抑制、根除、恢复、关闭）。（8分）（2）给出抑制阶段的具体操作清单（含PowerShell命令或组策略）。（6分）（3）说明如何在不重启域控的前提下验证根除效果。（6分）答案：（1）时间线：09:00EDR告警“BeaconDNS9”；09:05值班员通报应急组，启动一级响应；09:15抑制：禁用域控外网、创建防火墙规则阻断443端口、禁用WMI远程；10:00根除：杀掉rundll32进程、删除C:\Windows\System32\wbem\evil.dll、清除WMIEventSubscription；