2025年网络安全应急响应专项试卷及答案

2025年网络安全应急响应专项试卷及答案1.单选题（每题1分，共20分）1.2024年12月，某省政务云遭勒索软件攻击，应急指挥组在启动Ⅱ级响应后，最先应执行的法定动作是A.向社会发布警示通报B.向工信部电话报告C.向本级网信部门书面报告D.向公安机关网安部门备案答案：C2.在WindowsServer2022事件日志中，可定位“PasstheHash”攻击最直接的事件ID是A.4624B.4648C.4768D.4769答案：B3.根据《GB/T209882022信息安全技术网络安全事件分类分级指南》，造成“省级重要业务系统中断3小时”应判定为A.特别重大事件（Ⅰ级）B.重大事件（Ⅱ级）C.较大事件（Ⅲ级）D.一般事件（Ⅳ级）答案：B4.使用tcpdump抓取HTTPS流量，若要仅显示源端口为443且SYN标志置位的包，过滤表达式应为A.tcpsrcport443andtcp[tcpflags]&tcpsyn!=0B.tcpdstport443andtcp[tcpflags]&tcpsyn!=0C.tcpport443andtcp[tcpflags]&tcpsyn==2D.tcpsrcport443andtcpflagssyn答案：A5.某企业采用零信任架构，在设备信任评估环节，最不推荐作为单一因子的是A.设备证书指纹B.设备地理位置C.设备补丁级别D.设备用户UID答案：B6.在Linux取证中，用于解析systemd日志并输出“2025030100:00:00”之后SSH认证失败记录的命令是A.journalctlusshsince"2025030100:00:00"perrB.journalctlusshdsince"2025030100:00:00"p3C.journalctlusshdsince"2025030100:00:00"p4D.journalctlusshsince"2025030100:00:00"pcrit答案：B7.某云原生环境发生容器逃逸，以下哪条auditlog最可能记录逃逸成功A.type=SECCOMPmsg=audit(...)B.type=SYSCALLarch=c000003esyscall=59success=yesC.type=AVCmsg=audit(...)D.type=USER_CMDmsg=audit(...)答案：B8.在威胁情报共享标准STIX2.1中，表示“攻击者使用域名生成算法”应使用的SDO是A.indicatorB.attackpatternC.malwareD.infrastructure答案：C9.某单位收到CVE20251234预警，CVSSv3.1评分为9.8，其可利用性指标中，最可能为“Network/Adjacent/Local/Physical”中的A.NetworkB.AdjacentC.LocalD.Physical答案：A10.应急演练中，采用“红队植入Webshell→蓝队监测→研判→处置”场景，该演练类型属于A.桌面推演B.实操演练C.沙盘模拟D.穿透测试答案：B11.在内存取证工具Volatility3中，定位隐藏进程最应优先扫描的内存结构是A.EPROCESSB.VADC.HandleTableD.PEB答案：A12.某企业收到监管机构“关停并转”通报，其根因是未落实《关键信息基础设施安全保护条例》第A.15条B.18条C.21条D.25条答案：C13.使用Suricata规则检测“SQL注入内联注释绕过”，下列规则头最合理的是A.alerthttp$EXTERNAL_NETany>$HOME_NET80B.alerttcp$EXTERNAL_NETany>$HOME_NET1433C.alerthttp$HOME_NETany>$EXTERNAL_NET80D.alerttcp$HOME_NET80>$EXTERNAL_NETany答案：A14.在IPv6网络中，用于发现同一链路上活跃节点的ICMPv6类型是A.128B.129C.133D.134答案：C15.某单位采用NISTSP80061r2应急响应流程，containment阶段不包括A.网络隔离B.账户禁用C.补丁安装D.系统快照答案：C16.在Windows1124H2中，可阻止“BringYourOwnVulnerableDriver”攻击的内核缓解措施是A.HVCIB.CETC.VBSD.CFG答案：A17.某云函数因依赖库存在反序列化漏洞被利用，攻击者最可能触发的运行时语言是A.GoB.RustC.PythonD.C答案：C18.根据《个人信息保护法》，发生个人信息泄露后，应急处理报告应包含的内容不包括A.泄露数量B.可能危害C.已采取措施D.预计股价波动答案：D19.在OT网络中，利用ModbusTCP功能码0x05可造成的最直接风险是A.读取线圈状态B.写单个线圈C.读取保持寄存器D.写多个寄存器答案：B20.某单位采用SOARplaybook自动处置钓鱼邮件，其中“创建工单”步骤最合适的API接口是A.RESTfulPOST/api/v1/incidentB.RESTfulGET/api/v1/alertC.SOAPCreateTicketD.GraphQLmutation{createAlert}答案：A2.多选题（每题2分，共20分，错选、漏选均不得分）21.以下属于《PaloAltoUnit422025年勒索软件趋势报告》总结的初始访问TOP3手段的是A.钓鱼邮件B.漏洞利用C.供应链污染D.暴力破解答案：ABD22.在Linux系统被植入Rootkit后，可用来检测内核符号表被篡改的工具包括A.kpatchB.kexecC.kjackalD.kern_check答案：CD23.关于HTTP/3安全特性，下列说法正确的是A.强制使用TLS1.3B.基于QUIC传输C.默认启用0RTTD.使用TCPFastOpen答案：ABC24.在容器镜像安全扫描中，可识别“非包管理器安装恶意二进制”的技术有A.静态层哈希比对B.文件权限异常检测C.YARA规则匹配D.动态行为沙箱答案：ABCD25.以下日志源可用于检测“Kerberoasting”攻击的是A.4768B.4769C.4771D.4776答案：BC26.某企业采用零信任架构，在身份认证环节可组合的多因子包括A.FIDO2安全密钥B.设备健康声明C.用户行为基线D.地理位置白名单答案：ABCD27.在工业控制系统中，利用Shodan可检索到的潜在风险协议有A.ModbusB.DNP3C.S7commD.BACnet答案：ABCD28.根据《数据出境安全评估办法》，下列情形需申报安全评估的是A.含10万人个人信息B.含1万人敏感个人信息C.含500GB重要数据D.含国家核心数据答案：BCD29.在应急响应取证过程中，应优先计算并记录完整性哈希的存储介质包括A.内存镜像B.磁盘镜像C.网络抓包文件D.日志文件答案：ABCD30.使用YARA规则检测“CobaltStrikeBeacon”，可匹配的静态特征有A.证书特征MZARB.配置哈希C.水印值D.Sleep_mask循环答案：ABC3.填空题（每空1分，共20分）31.在Windows2025数据中心版中，启用“内核数据保护”需通过组策略将________功能设置为Enabled。答案：KDP32.根据《网络安全事件应急演练指南》，演练总结报告应在演练结束后________个工作日内提交主管部门。答案：1533.使用Volatility3插件linux.pslist，若需输出PID、PPID、进程名三列，应添加参数________。答案：–output=csv34.在IPv6中，用于节点请求链路层地址的ICMPv6类型值为________。答案：13535.某云函数冷启动耗时800ms，若采用ProvisionedConcurrency，可将延迟降至________ms级别。答案：5036.根据CVSSv3.1，攻击复杂度指标AC:H表示________。答案：High37.在Suricata规则中，用于匹配HTTPUserAgent的content修饰符是________。答案：http_user_agent38.使用openssls_client测试TLS1.3握手，需添加参数________。答案：tls1_339.在Linux中，将进程内存转储为elf格式，应使用工具________。答案：gcore40.根据《密码法》，关键信息基础设施运营者采购商用密码产品需通过________认证。答案：商用密码产品认证41.在OT环境中，利用Shodan搜索S7comm设备，常用端口为________。答案：10242.在Windows注册表中，设置“禁用LMHASH”需将HKLM\SYSTEM\CurrentControlSet\Control\Lsa\________值设为1。答案：NoLMHash43.使用Wireshark导出HTTP对象，菜单路径为File→ExportObjects→________。答案：HTTP44.在NIST80061r2中，eradication阶段的核心目标是________。答案：清除威胁45.某容器镜像层ID为sha256:abcd，使用ctr命令导出为tar包，命令为ctrimageexport________镜像名。答案：abcd.tar46.在Python3.12中，可防御反序列化漏洞的模块为________。答案：pickle(禁用)/fickling(检测)47.根据《个人信息保护法》，敏感个人信息包括生物识别、宗教信仰、特定身份、金融账户、________。答案：医疗健康48.使用AWSCLI关闭公开访问S3桶，需修改________配置项。答案：BlockPublicAccess49.在Windows11中，启用“智能应用控制”需先开启________。答案：VBS50.在IPv4地址/27中，可用主机地址数量为________。答案：304.简答题（共6题，每题10分，共60分）51.封闭型：列举并简要说明Windows环境下检测“黄金票据”攻击的三种日志特征。答案：1.事件ID4769中ServiceName为krbtgt，且加密类型为0x12（AES256）。2.事件ID4768中，账户名不存在于AD用户列表，但TGT成功签发。3.事件ID4624中，LogonType为3，且AuthenticationPackage为Kerberos，但源IP不在正常办公网段。52.开放型：某电商平台在“618”大促期间遭遇CC攻击，峰值流量为正常8倍，源IP超过50万条且均为真实家庭宽带。请给出应急响应的完整思路，要求覆盖检测、分析、遏制、恢复、总结五个阶段，并指出关键技术指标。答案：检测：通过CDN95带宽突增、WAF429响应比例>30%、业务成功率<50%触发告警；关键指标：带宽、QPS、响应延迟。分析：利用CDN日志提取IP，发现UserAgent呈随机性，URL集中于“/item/秒杀接口”，结合威胁情报判定为Layer7CC。遏制：启用CDN边缘限速（单IP10req/s）、引入二次验证（滑块+验证码）、调整TTL至30s、封禁高频IP段（/24）。恢复：扩容源站Pod至3倍，预热静态缓存，灰度放开验证码，监控业务成功率>95%。总结：复盘发现秒杀接口缺乏令牌桶，后续加入API网关+分布式令牌桶，演练验证可承受10倍流量；指标：演练通过时间<5min。53.封闭型：说明利用Wireshark过滤表达式提取“TLS1.3握手失败”报文的完整步骤，并给出显示过滤器。答案：步骤：1.打开抓包文件，应用显示过滤器：tls.handshake.type==2andtls.alert.level==22.在PacketList中定位Alert报文，查看AlertDescription字段。3.右键→Follow→TLSStream，确认握手过程。4.导出特定流：File→ExportSpecifiedPackets→SelectedPacketOnly。过滤器：tls.handshake.type==2&&tls.alert.level==254.开放型：某工业PLC通过ModbusTCP被异常控制，历史日志显示功能码0x05写线圈导致流水线停机。请设计一套基于开源工具的实时监测方案，要求覆盖流量采集、协议解析、异常检测、告警输出，并给出配置示例。答案：流量采集：使用ntopng+PF_RING，镜像交换机端口至采集口，零丢包。协议解析：Suricata启用modbus规则集，新增自定义规则：alerttcpanyany>any502(msg:"MODBUSWriteSingleCoil";content:"|000000000006|";offset:0;depth:6;content:"|05|";offset:7;depth:1;classtype:protocolcommanddecode;sid:1000001;)异常检测：Zeek脚本检测非白名单IP写线圈，白名单存储在Input::READER_CONFIG，每分钟同步。告警输出：SuricataEVEJSON→Logstash→Elasticsearch，Kibana仪表盘展示，触发Webhook至企业微信，RT<30s。55.封闭型：说明使用Volatility3对Windows2025内存镜像提取BitLocker密钥的完整命令链，并指出所需插件。答案：命令链：python3vol.pyfmem.rawwindows.bitlocker.BitLocker插件：bitlocker.BitLocker输出：显示VMK、FVEK、GUID，导出FVEK至文件后可用dislocker解密。56.开放型：某金融单位收到监管通报，发现Android理财App存在“数据出境”风险，需72小时内完成整改。请给出技术整改清单，并说明验证方法。答案：整改清单：1.采用Domain白名单，禁止访问海外CDN，配置NetworkSecurityConfig。2.启用TLS证书固定，pinset仅含国内CA。3.数据本地加密，敏感字段采用国密SM4，密钥存TEE。4.移除第三方境外SDK，改用国内合规SDK。5.重编译App，版本号+1，上传至应用市场。验证：1.使用Burp抓包，确认无海外IP连接。2.使用nscurlatsdiagnostics，确认仅TLS1.2/1.3，证书链国内根CA。3.使用objection探索，确认无明文敏感字段。4.向监管提交流量抓包文件、代码差异对比、SM4加密证明，72h内通过复核。5.应用题（共4题，每题20分，共80分）57.综合类：某高校校园网核心交换机被植入Bootkit，开机后劫持grub并加载恶意kernel模块。现场保留内存镜像mem.raw（8GB）、磁盘镜像disk.e01（500GB）、交换机镜像flash.bin（32MB）。请给出完整取证与溯源方案，要求：1.提取Bootkit样本；2.分析持久化机制；3.定位攻击入口；4.输出时间线；5.提出清除与加固建议。答案：1.提取：使用Volatility3linux.check_modules列出异常内核模块，导出ko文件；使用binwalkeflash.bin提取grub.cfg，对比官方hash发现被篡改。2.持久化：grub.cfg增加insmodevil.ko，内核模块注册回调劫持getdents隐藏自身。3.入口：比对disk.e01的/var/log/auth.log，发现2025021403:21:15有IP通过SSH暴力破解root，成功登录后上传evil.ko；该IP归属校园VPN，进一步溯源登录日志，发现账号为被盗教职工账号。4.时间线：021403:15暴力破解开始03:21登录成功03:25上传ko03:30修改grub.cfg03:35重启5.清除：使用LiveCD启动，重装官方grub，删除evil.ko，重置所有SSH密钥，启用fail2ban，强制MFA，交换机升级固件并关闭Telnet，仅允许SSH证书登录。58.计算类：某企业遭受勒索软件，攻击者要求支付12BTC（时价1BTC=30万美元）。若企业选择不支付，需重建200台虚拟机，每台重建成本含人工300美元、存储100美元、停机损失400美元。请计算总损失，并与支付赎金对比，给出决策建议并说明理由。答案：重建成本：200×(300+100+400)=200×800=160000美元支付赎金：12×300000=3600000美元决策：选择重建，理由：1.支付不保证解密，且可能二次勒索；2.重建成本仅16万美元，远低于360万；3.重建过程可同步升级防御，长期ROI更高。59.分析类：某政府网站在2025030210:0010:30期间出现大量“投票”数据异常，后台显示30分钟内新增投票1200万条，源IP共3000个，平均每个IP4000条。请分析攻击类型，给出检测与处置脚本（Python），并说明如何防止重复攻击。答案：攻击类型：HTTP层刷票，采用IP代理池+自动化脚本。检测脚本：```pythonimportpandasaspddf=pd.read_csv('/var/log/nginx/access.log',sep='',usecols=[0,6],names=['ip','uri'])df=df[df['uri'].str.contains('/vote')]c