2026年恶意代码防治考试题及答案

2026年恶意代码防治考试题及答案一、单项选择题（每题2分，共20分）1.2026年主流勒索软件最常使用的非对称加密算法组合是A.RSA-1024+AES-128B.ECC-P256+ChaCha20C.RSA-2048+AES-256D.ECC-P384+Camellia-2562.在Windows1124H2内核中，可阻止无签名驱动加载的强制策略简称是A.ELAMB.HVCIC.VBSD.KDP3.利用IntelCET机制可缓解的攻击面是A.内核池溢出B.ROP/JOPC.UAFD.竞争条件4.以下哪条YARA规则字段最能降低误报率A.uint16(0)==0x5A4DB.$a="MZ"C.imphash=="b34d..."D.allofthem5.在LinuxeBPF防御方案中，用于限制恶意程序调用bpf()的系统调用是A.seccomp-bpfB.LandlockLSMC.SELinuxtype-boundD.Smack6.2026年MITREATT&CK新增子技术T1055.013描述的是A.ProcessDoppelgängingB.KernelCallbackTableC.ThreadHijackingD.ExtraWindowMemory7.在ARM64EC架构下，可阻断内存页同时可写可执行的机制是A.PXNB.PANC.BTID.MTE8.针对Office365宏防护，Microsoft365Apps2502版本默认启用的策略是A.BlockInternetmacrosB.VBA7warningbarC.TrustedLocationsonlyD.AMSIforVBA9.在IPv6-only网络中，恶意隧道工具最常滥用的过渡技术是A.6to4B.ISATAPC.TeredoD.DS-Lite10.2026年Q1统计，安卓银行木马使用最多的无障碍服务滥用API是A.performGlobalActionB.dispatchGestureC.takeScreenshotD.findFocus二、多项选择题（每题3分，共15分，多选少选均不得分）11.以下哪些属于硬件级威胁检测技术A.IntelTDTB.AMDShadowStackC.ARMCCAD.NVIDIAMorpheus12.可对抗DLL劫持的缓解措施有A.CWDIllegalInDllSearchB..dll.manifest强名称C.SetDefaultDllDirectoriesD.AppContainer13.在macOS15Sequoia中，可阻止无Notarization的.app运行的框架是A.GatekeeperB.XProtectC.NotaryAPID.AMFI14.以下哪些日志源可用于检测Living-off-the-Land行为A.SysmonEventID1B.PowerShell4104C.WMI19D.ETW“Microsoft-Antimalware-Engine”15.2026年主流C2框架支持的无端口通信载体有A.DNSoverQUICB.HTTPSwithESNIC.ICMPerrorpayloadD.HTTP/3datagram三、判断题（每题1分，共10分，正确打“√”，错误打“×”）16.WindowsDefender2026已内置eBPF解释器，可直接运行LinuxeBPF字节码。17.在UEFISecureBoot链中，dbx更新失败会导致平台无法启动。18.ARMv9的机密计算架构(CCA)可将RealmVM的内存标记为不可DMA访问。19.使用Rust重写内核模块可彻底消除内存损坏型漏洞。20.Chrome130版本后，V8JIT区域默认启用ARMv8.5MTE。21.在Linux中，将/proc/sys/kernel/kptr_restrict设为0有助于Rootkit隐藏。22.2026年主流IoT僵尸已转向使用ChaCha20-Poly1305进行DDoS指令加密。23.Windows11“智能应用控制”(SAC)依赖云端AI模型，离线状态将自动降级。24.安卓15中，权限READ_MEDIA_IMAGES与READ_MEDIA_VIDEO被合并为统一作用域。25.在x86_64下，Retbleed漏洞利用与RSB无关，仅影响IBT。四、填空题（每空2分，共20分）26.2026年微软引入的“内核模式代码完整性”增强策略缩写为________。27.在YARA规则中，使用________修饰符可让字符串匹配大小写不敏感。28.IntelTDT通过________接口将内存扫描任务卸载至集成GPU。29.安卓15的________API可让安全应用获取已加载so的BuildId。30.在PowerShell7.4中，可通过________参数强制关闭所有Profile加载。31.2026年Q2，利用________漏洞可在未打补丁的VMwareESXi8.0实现虚拟机逃逸。32.Windows1124H2默认将LSA保护配置为________模式，拒绝未签名插件。33.在Linux中，________系统调用可获取进程最后一次被ptrace的PID。34.2026年主流银行木马使用________技术绕过安卓13的受限设置。35.在ARM64Linux内核中，________配置项控制MTE标签的粒度为4K或64B。五、简答题（每题10分，共30分）36.描述一种利用Windows11“受保护进程轻量级”(PPL)绕过的技术，并给出检测方案。37.说明eBPF在防御容器逃逸中的三项具体应用，并给出对应的bpf程序类型。38.2026年新型勒索软件采用“间歇加密”策略，请阐述其对抗静态检测的原理，并给出两条缓解建议。六、综合计算题（15分）39.某企业网络采用零信任架构，终端部署EDR。假设：每台主机日均产生日志量λ=12000条；单条日志平均大小s=1.2kB；压缩比r=0.18；存储系统采用三副本纠删码，冗余系数k=1.4；保留期T=90天；全网终端数N=8500台。(1)计算90天原始日志总量V_{raw}（单位：TB，1TB=10^{12}B）；(2)计算压缩并冗余后的实际占用空间V_{store}；(3)若日志分析集群每日可处理吞吐量μ=5×10^{6}条/秒，求单日处理完所有日志所需最小时长t（小时）。七、逆向分析题（10分）40.给出以下x86_64汇编片段，回答：```asmmovrax,[rdi]leardx,[rip+0x1337]call[rax+0x28]```(1)该片段可能用于实现何种面向对象机制？(2)若rdi指向用户态可控缓冲区，指出存在的漏洞类型，并给出利用此漏洞所需控制的数据结构偏移。八、卷后答案与解析单项选择1.C解析：2026年勒索软件转向RSA-2048+AES-256组合，兼顾性能与抗量子预备。2.B解析：HVCI（Hypervisor-ProtectedCodeIntegrity）强制驱动签名验证。3.B解析：CET即Control-flowEnforcementTechnology，专防ROP/JOP。4.C解析：imphash精确到导入表哈希，误报最低。5.A解析：seccomp-bpf可过滤bpf()系统调用。6.B解析：T1055.013新增KernelCallbackTable注入。7.D解析：MTE（MemoryTaggingExtension）实现WX互斥。8.A解析：2502版本默认阻断互联网宏。9.C解析：Teredo隧道在IPv6-only网络最易穿透。10.B解析：dispatchGesture可模拟点击劫持转账按钮。多项选择11.ABCD解析：四项均为硬件级检测。12.ABCD解析：四项均可降低DLL劫持风险。13.AD解析：Gatekeeper与AMFI联合强制Notarization。14.ABCD解析：四项日志均可检测LotL。15.ABCD解析：四种载体均被C2滥用。判断16.×解析：Defender仅支持eBPF格式转换，不直接运行。17.√解析：dbx损坏会导致签名链断裂。18.√解析：Realm内存受S-EL2保护，DMA被隔离。19.×解析：Rust可消除内存安全类，但逻辑漏洞仍在。20.√解析：Chrome130默认启用MTE。21.×解析：kptr_restrict=0会暴露内核指针，利于攻击。22.√解析：ChaCha20-Poly1305已成IoT僵尸标配。23.√解析：SAC云端模型离线时降级为仅签名检查。24.√解析：安卓15合并媒体权限。25.×解析：Retbleed同时影响RSB与IBT。填空26.KMCI27.nocase28.HECI29.ApkSoInfo30.NoProfile31.CVE-2026-218532.RunAsPPL=233.sys_ptrace34.DisableRestrictedSettings35.mte_tag_granule简答36.技术：利用已签名但存在DLL劫持的第三方PPL进程，植入恶意DLL，通过劫持搜索顺序获得PPL身份。检测：启用Microsoft-Windows-Win32k/Operational事件ID260，监控非系统目录的dll加载；结合WDAC阻止非授权DLL。37.应用：①seccomp-bpf过滤危险系统调用（程序类型BPF_PROG_TYPE_SECCOMP）；②cgroup/skbegress过滤逃逸流量（BPF_PROG_TYPE_CGROUP_SKB）；③lsm钩子拦截恶意mount（