2025年信息安全应急响应专项训练试题及答案

2025年信息安全应急响应专项训练试题及答案1.单选题（每题1分，共20分）1.1在NISTSP80061r2定义的应急响应生命周期中，最先启动的阶段是A.检测分析 B.遏制根除 C.准备 D.恢复总结答案：C1.2某单位采用Syslog级别07记录安全事件，其中级别5对应的名称是A.Emergency B.Alert C.Critical D.Notice答案：D1.3勒索软件加密文件后留下的常见提示文件名为A.readme.exe B.help.txt C.HOW_TO_DECRYPT.hta D.autorun.inf答案：C1.4在Windows取证中，保存当前系统内存镜像最稳妥的自带工具是A.tasklist B.dd.exe C.winpmem D.memdump答案：C1.5根据GB/T209882007，业务连续性演练中“桌面演练”属于A.验证性演练 B.功能性演练 C.全面演练 D.模拟演练答案：A1.6某APT组织长期潜伏，其C2通信最常采用的协议是A.ICMP B.DNS C.FTP D.ARP答案：B1.7在Linux应急响应中，用于快速定位最近24小时内被修改的文件的命令是A.find/mtime+1 B.find/ctime1 C.lsla D.stat答案：B1.8以下哪项不是MITREATT&CK矩阵中的“初始访问”技术A.外部远程服务 B.供应链妥协 C.暴力破解 D.数据加密答案：D1.9当发生数据泄露时，依据《个人信息保护法》应当向主管部门报告的时限为A.8小时 B.24小时 C.3个工作日 D.7个工作日答案：C1.10在取证分析中，用于计算磁盘镜像完整性的算法首选A.CRC32 B.MD5 C.SHA256 D.SHA1答案：C1.11某云环境发生虚拟机逃逸，最先应查看的日志位于A./var/log/auth.log B.宿主机dmesg C.客户机syslog D.云平台审计日志答案：B1.12以下哪条Snort规则选项用于检测TCPSYNFloodA.flags:S; B.flags:F; C.flags:R; D.flags:P;答案：A1.13在威胁情报共享格式中，STIX2.1里表示“攻击模式”的对象是A.indicator B.malware C.attackpattern D.campaign答案：C1.14当发生DDoS攻击时，云清洗服务通常采用的最外层防护技术是A.黑洞路由 B.流量镜像 C.BGPAnycast D.SYNCookie答案：C1.15以下哪项属于“逻辑炸弹”的典型触发条件A.特定日期 B.用户登录 C.网络扫描 D.文件复制答案：A1.16在Windows注册表中，记录用户最近打开文件的键值路径是A.HKLM\Software\Microsoft\Windows\CurrentVersion\RunB.HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocsC.HKLM\SYSTEM\CurrentControlSet\ServicesD.HKCU\Environment答案：B1.17对容器逃逸事件响应时，应优先检查宿主机上哪类日志A.audit.log B.containerd日志 C.kubelet日志 D.journalctludocker答案：D1.18某员工收到钓鱼邮件后点击链接，最先产生的HTTP请求方法通常是A.POST B.GET C.PUT D.DELETE答案：B1.19在IPv6网络中，用于发现本地链路邻居的协议是A.ARP B.NDP C.DHCPv6 D.ICMPv4答案：B1.20当发生证书失效导致VPN中断时，应首先检查A.CRL分发点 B.OCSP装订 C.私钥完整性 D.根证书有效期答案：D2.多选题（每题2分，共20分，每题至少两个正确答案，多选少选均不得分）2.1以下哪些属于“黄金镜像”应急响应策略的核心要素A.只读存储 B.版本哈希校验 C.离线备份 D.自动补丁 E.动态扩展答案：ABC2.2在Windows事件日志中，可用来发现横向移动的证据包括A.事件ID4624 B.事件ID4672 C.事件ID7045 D.事件ID4776 E.事件ID1102答案：ABD2.3以下哪些技术可用于内存取证获取进程列表A.Volatilitylinux_pslist B.Rekallpsxview C.Bulkextractor D.Foremost E.Volatilitywindows.pstree答案：ABE2.4关于日志留存合规要求，下列说法正确的有A.等保2.0三级要求留存6个月 B.PCIDSS要求1年 C.网络安全法要求不少于6个月 D.GDPR要求至少2年 E.SOX要求7年答案：ABC2.5以下哪些属于应急响应中“根因分析”阶段常用方法A.5Whys B.鱼骨图 C.CVSS评分 D.KillChain复盘 E.SWOT答案：ABD2.6在Linux系统中，可用于快速创建磁盘完整镜像的工具包括A.dc3dd B.ddrescue C.ewfacquire D.tcpdump E.openssl答案：ABC2.7以下哪些行为可作为“内部威胁”指标A.非工作时间大量下载源代码 B.使用个人U盘拷贝客户数据 C.频繁申请VPN权限 D.公网IP扫描 E.正常加班答案：ABC2.8关于云原生应急响应，以下说法正确的有A.需冻结Pod镜像版本 B.应暂停HPA自动扩缩容 C.可直接删除受感染Pod以消灭证据 D.需保存etcd快照 E.应收集宿主机内核日志答案：ABDE2.9以下哪些属于勒索软件TTPs在ATT&CK中的映射A.T1486数据加密影响 B.T1490禁用服务 C.T1055进程注入 D.T1562.001禁用审计 E.T1048.002ExfiltrationOverC2答案：ABCD2.10在威胁狩猎假设“PowerShell下载器”中，可使用的Sigma规则字段包括A.selection:EventID:4104 B.selection:Image|endswith:'\powershell.exe' C.timeframe:last1h D.condition:selectionandnotfilter E.level:informational答案：ABCD3.填空题（每空1分，共20分）3.1NIST网络安全框架中，将事件响应归类于________功能。答案：响应3.2在TCP三次握手中，第二次握手包标志位为________。答案：SYN+ACK3.3数字取证中，用于标识磁盘扇区起始位置的常见十六进制特征签名是________。答案：55AA3.4等保2.0要求三级系统应在________小时内完成事件分级。答案：23.5STIX2.1中，表示威胁主体对象的属性名为________。答案：threatactor3.6在Windows中，用于列出当前登录会话的命令是________。答案：quser3.7当发生数据库篡改时，通过________文件可定位事务回滚点。答案：redo/undo日志（答其一即可）3.8常见WebShell连接工具“中国菜刀”默认POST参数名为________。答案：z03.9根据ISO22301，业务影响分析缩写为________。答案：BIA3.10在Snort规则中，用于匹配数据包负载内容的选项关键字为________。答案：content3.11IPv4报头中，用于分片重组的字段是________。答案：标识、标志、片偏移（答任一给分）3.12恶意PDF利用JavaScript时，通常嵌入在________对象中。答案：OpenAction或AA（答任一给分）3.13在Linux审计框架auditd中，定义文件监控规则的关键字为________。答案：w3.14用于验证SSL证书是否被吊销的在线协议缩写为________。答案：OCSP3.15当发生API滥用时，HTTP状态码________表示请求频次超限。答案：4293.16在MITREATT&CK中，横向移动技术“PasstheHash”对应的编号为________。答案：T1550.0023.17用于快速检测Rootkit隐藏模块的Linux命令是________。答案：lsmod|awk'{print$1}'|sort>/tmp/a;find/lib/modulesname".ko"|xargsbasenames.ko|sort>/tmp/b;diff/tmp/a/tmp/b3.18云安全中，用于限制容器CPU使用量的cgroup文件位于________目录。答案：/sys/fs/cgroup/cpu3.19在内存取证中，Windows内核结构________保存进程链表。答案：EPROCESS3.20当发生供应链污染时，验证软件包完整性的首要步骤是比对________值。答案：哈希/摘要（答其一即可）4.判断题（每题1分，共10分，正确写“T”，错误写“F”）4.1勒索软件只有在完成数据外泄后才会执行加密。答案：F4.2Windows事件ID4720表示创建用户账户。答案：T4.3在Linux中，/proc/sys/kernel/core_pattern文件可控制核心转储保存路径。答案：T4.4根据GDPR，数据控制者需在72小时内向监管机构报告个人数据泄露事件。答案：T4.5使用netstatano命令可以查看当前开放端口对应的PID。答案：T4.6容器逃逸后，攻击者一定能够获得宿主机root权限。答案：F4.7在数字取证中，写阻断器主要用于防止对源盘进行读取。答案：F4.8同一IP地址在不同日志源出现，即可判定为同一攻击者。答案：F4.9威胁情报的“钻石模型”强调adversary、infrastructure、capability、victim四个顶点。答案：T4.10CVSSv3.1评分中，基础分最大值为10.0。答案：T5.简答题（封闭型，每题5分，共20分）5.1说明Windows系统中“最小化日志留存”攻击手法及对应检测思路。答案：攻击者利用wevtutilclsecurity清除安全日志，导致追踪困难；检测可通过事件ID1102“日志清除”及Sysmon255、SIEM规则监控wevtutil命令行。5.2列出Linux下利用auditd监控/etc/passwd被修改的完整命令行。答案：auditctlw/etc/passwdpwakpasswd_change5.3简述“DNS隧道”检测的两种网络层特征。答案：1.subdomain长度异常，超过平均15字符；2.请求频次高且返回包大小大于典型响应（>512字节）。5.4说明在容器环境中收集运行镜像哈希的两种方法。答案：1.dockerinspect<containerID>|grepImage；2.crictlinspect<containerID>|jq.info.imageRef。6.简答题（开放型，每题10分，共20分）6.1某电商凌晨2点发现订单API返回大量500错误，日志显示大量来自东南亚IP的异常UserAgent，数据库CPU占用90%。请给出应急响应步骤并说明如何平衡业务连续性与证据保全。答案：1.立即启动战时指挥，成立技术、业务、公关三组；2.通过WAF紧急封禁异常IP段，同时保留原始访问日志至只读存储；3.采集当前数据库慢查询与进程列表，导出binlog至隔离仓库；4.使用蓝绿切换将流量引流至只读副本，保证下单核心链路可用；5.对异常UserAgent请求进行全流量PCAP镜像，计算SHA256；6.协调财务部门启用降级方案，暂时关闭优惠券核销以减轻写库压力；7.事后复盘采用5Whys定位根因为优惠券接口未做频次限制，导致SQL注入式查询耗尽连接池；8.在不影响交易的前提下，于沙箱重放攻击流量，确认漏洞后热补丁；9.向监管提交《重大事件报告》并同步用户公告，保障透明度；10.将镜像、日志、PCAP封存7年，满足合规。6.2某工控企业SCADA系统疑似遭遇APT，工程师站出现未知DLL加载，HMI画面闪烁。请设计一套不中断生产的狩猎与响应方案。答案：1.采用“只读”镜像方式通过TAP分流采集工控以太网流量，避免串接造成延时；2.利用YARA规则在工程师站内存中狩猎“未签名DLL”“罕见熵值>7.5”的PE；3.通过Sysmon事件ID7确认加载路径，立即计算哈希并上传至VT与私有威胁情报比对；4.若确认恶意，采用“热补丁”技术向PLC端注入白名单规则，阻断该DLL对下位机的Modbus写操作；5.使用备份PLC镜像通过冗余通道切换，保证生产线零停机；6.将受感染工程师站网络隔离至VLAN999，通过KVMoverIP进行远程取证；7.采用FTKImager获取磁盘镜像，同时记录PLC寄存器快照；8.向国家工信安全中心通报，符合《工业控制系统信息安全事件分类分级指南》；9.事后更新“工控白名单”基线，部署应用程序控制（AppLocker）并启用DLL阻断；10.建立季度威胁狩猎剧本，持续监测罕见函数导出表特征。7.应用题（综合类，共30分）7.1事件描述（10分）2025年3月15日09:10，某金融公司发现官网首页被篡改，出现政治标语。安全人员获取到Web服务器（CentOS7+Apache2.4）完整镜像，请回答：（1）给出挂载镜像后定位首页被篡改时间点的三条命令；（2）发现攻击者通过timthumb.php上传WebShell，写出提取该文件创建时间的foremost命令；（3）若需证明攻击源IP，应提取哪个Apache日志字段并给出awk统计唯一IP次数的语句。答案：（1）a.mountoro/dev/loop0p2/mnt/forensic；b.find/mnt/forensic/var/wwwname"index."execstat{}\;|grepimodify；c.lslt/mnt/forensic/var/www/html|head5（2）foremosttjpgi/mnt/forensic/var/www/html/timthumb.phpo/tmp/recover&&stat/tmp/recover/jpg/.jpg|grepBirth（3）字段：第一个字段即远程IP；awk'{print$1}'/mnt/forensic/var/log/httpd/access_log|sort|uniqc|sortnr7.2流量分析（10分）给出一段Base64编码的疑似恶意HTTP请求：UE9TVCAvYXBpL2xvZ2luIEhUVFAvMS4xDQpIb3N0OiBiYW5raW5nLnRlc3QNCkNvbnRlbnQtVHlwZTogYXBwbGljYXRpb24vanNvbg0KDQp7InVzZXIiOiJhZG1pbiIsInBhc3MiOiIxJyBPUiA