2026年应急响应考试题及答案

2026年应急响应考试题及答案一、单项选择题（每题1分，共20分）1.2026年新版《国家网络安全事件应急预案》将事件分为四级，其中“对国家安全、社会秩序、经济建设和公众利益造成特别严重危害”对应哪一级？A.Ⅰ级（特别重大）B.Ⅱ级（重大）C.Ⅲ级（较大）D.Ⅳ级（一般）答案：A解析：Ⅰ级为最高级别，定义关键词为“特别严重危害”。2.在Linux系统中，发现某进程持续向外发起大量SYN包，最优先的应急动作是：A.立即重启服务器B.使用kill-9强制结束进程C.先记录进程PID、网络连接、可执行路径，再阻断外联D.关闭网卡答案：C解析：先取证后阻断，防止证据灭失，同时避免重启导致内存易失数据丢失。3.对Windows日志进行取证时，发现事件ID4625大量出现，可初步判断：A.本地提权成功B.暴力破解密码尝试C.成功登录D.服务被异常终止答案：B解析：4625为登录失败审计事件，高频出现常对应暴力破解。4.2026年起，工业互联网企业须在事发后多少小时内向属地监管部门完成初报？A.30分钟B.1小时C.2小时D.12小时答案：B解析：工信部2026年3号令《工业互联网企业网络安全事件信息通报办法》第7条。5.使用tcpdump抓包时，仅捕获目标端口为3389且数据包长度大于100字节的命令为：A.tcpdump-ianyport3389andgreater100B.tcpdump-ianyport3389andlen>100C.tcpdump-iany'port3389&&ip[2:2]>100'D.tcpdump-iany'tcpport3389andgreater100'答案：C解析：ip[2:2]表示IP总长度字段，需用原始偏移写法；greater为tcpdump的payload长度过滤器，不适用于IP层。6.对容器集群进行应急响应时，需首先确认逃逸路径。以下哪条命令可直接查看宿主机cgroup版本？A.dockerinfo|grepcgroupB.cat/proc/filesystems|grepcgroupC.stat-f/sys/fs/cgroupD.mount|grepcgroup|head-1答案：B解析：/proc/filesystems列出内核编译时支持的文件系统，cgroup2单独一行即表示v2已启用。7.2026年新版《数据安全法实施条例》要求，当个人信息泄露规模达到多少条时，必须向省级以上监管部门报告？A.1万B.5万C.10万D.50万答案：C解析：条例第22条，10万条为强制报告阈值。8.在内存取证中，使用volatility3查看Linux系统已加载内核模块，正确插件为：A.linux_lsmodB.linux_modulesC.linux_kmodsD.linux_klmd答案：A解析：volatility3沿用2.6命名，lsmod即listmodules。9.对勒索软件加密后的VHDX文件进行恢复，下列方法最可靠的是：A.直接支付赎金B.使用公开解密工具穷举密钥C.通过快照回滚至加密前15分钟D.使用磁盘编辑器手动修复文件头答案：C解析：快照未受加密影响，可瞬间回滚；支付赎金无法保证密钥有效。10.应急演练中，红队使用DNS隧道外传数据，蓝队发现DNS请求异常长，应优先查看：A.DNS报文QR位B.DNS报文TC位C.DNS报文TXT记录长度D.DNS报文AA位答案：C解析：TXT记录可承载大段文本，隧道常用。11.在零信任架构下，身份认证失败触发“动态隔离”，其下发策略的组件是：A.SIEMB.SDP控制器C.NACD.FW答案：B解析：SDP（SoftwareDefinedPerimeter）控制器负责动态策略下发。12.2026年起，关基单位应急预案演练频次不得低于：A.每季度一次实战演练B.每半年一次实战演练C.每年一次实战演练加两次桌面推演D.每年两次实战演练答案：D解析：《关键信息基础设施安全保护条例》第31条修订版。13.使用YARA规则检测木马时，为提高命中速度，应优先将哪类字符串置于condition最前？A.宽字符串B.罕见字符串C.固定偏移字符串D.正则字符串答案：C解析：固定偏移匹配最快，可提前过滤大量样本。14.对VMwarevSphere环境进行应急，发现ESXi主机被植入VIB恶意包，正确的清除顺序为：A.进入维护模式→移除VIB→重启→退出维护模式B.直接重启→移除VIBC.移除VIB→重启D.重置系统配置答案：A解析：维护模式可隔离业务，防止恶意驱动持续加载。15.2026年新版《个人信息保护影响评估指南》中，将“高风险”场景评分阈值设定为：A.≥40分B.≥50分C.≥60分D.≥80分答案：C解析：指南附录C，60分触发整改与备案。16.利用Windows系统自带工具，快速查看当前登录用户Token完整性级别的命令：A.whoami/privB.whoami/groupsC.whoami/userD.whoami/logonid答案：B解析：/groups输出包含MandatoryLabel\HighMandatoryLevel等。17.在IPv6网络中，发现大量Type134报文，可判断：A.正在遭受ND欺骗B.正常路由器通告C.正在遭受DHCPv6耗尽D.正在遭受分段攻击答案：B解析：Type134为RouterAdvertisement，周期性出现属正常。18.对Android应用进行逆向，发现DEX被抽取壳保护，最快捷的脱壳点是：A.OpenMemoryB.JNI_OnLoadC.dex2oatD.art::ClassLinker答案：A解析：壳需还原DEX到内存，OpenMemory为通用挂钩点。19.2026年新版《网络产品安全漏洞管理规定》要求，厂商应在收到漏洞报告后多少小时内公开修复计划？A.24小时B.48小时C.72小时D.7日答案：B解析：规定第9条，48小时内公开计划，15日内发布补丁。20.使用PowerShell进行应急，快速列出最近一小时创建的文件，命令为：A.Get-ChildItemC:\-Recurse|Where-Object{$_.CreationTime-gt(Get-Date).AddHours(-1)}B.lsC:\-Force|?{$_.Created-gt(Get-Date).AddHours(-1)}C.gciC:\-Rec-Att+HD.Get-ItemC:\|WhereCreationTime>(Get-Date).AddHours(-1)答案：A解析：Get-ChildItem别名gci，CreationTime属性拼写正确。二、多项选择题（每题2分，共20分）21.以下哪些属于2026年新版《网络安全事件分类分级指南》中定义的“数据泄露”子类？A.个人信息整库拖库B.源代码公开至GitHubC.密钥文件被上传至pastebinD.内部员工偷拍核心设备照片E.数据库被勒索软件加密答案：A、B、C解析：D属物理泄露，E属破坏类，不含“泄露”含义。22.在WindowsServer2026中，启用“受控文件夹访问”可阻断：A.勒索软件加密文档B.合法备份程序写入C.管理员手动修改hostsD.PowerShell下载文件到桌面E.系统更新写入WinSxS答案：A、B、C、D解析：默认规则外均拦截，需单独放行；WinSxS为系统保护路径，不在受控范围。23.对容器逃逸漏洞进行利用链分析时，需重点关注：A.内核CAP_SYS_ADMIN能力B.cgroupv1release_agent写入C.core_pattern劫持D.seccomp-bpf错误配置E.Docker.sock暴露答案：A、B、C、D、E解析：均为近年常见逃逸向量。24.以下哪些日志源可用于溯源WebShell上传时间：A.网站访问日志B.安全设备AV检测日志C.WindowsSysmonEventID11D.Linuxaudit.logtype=PATHE.数据库general_log答案：A、B、C、D解析：E记录SQL语句，不记录文件上传。25.2026年起，关基单位应急指挥架构必须包含：A.首席网络安全官B.应急专家组C.法务与合规组D.舆情与公关组E.红队答案：A、B、C、D解析：红队为演练角色，非指挥架构必设。26.使用volatility3对Windows内存镜像进行内核回调表检测，可发现：A.rootkit挂钩的PsSetCreateProcessNotifyRoutineB.恶意驱动注册的ObjectCallbackC.合法杀毒软件过滤驱动D.被Inlinehook的KiFastCallEntryE.被篡改的SSDT答案：A、B、C解析：D、E属Inlinehook与SSDT，需用other插件。27.对工业控制系统进行应急，发现PLC程序被篡改，正确的处置包括：A.立即将PLC切至编程模式B.对比MD5校验和C.从备份离线恢复D.对原程序进行逆向E.现场关闭所有传感器电源答案：B、C、D解析：A可能触发停机事故；E扩大影响。28.以下哪些属于DNS隧道检测特征：A.子域名长度过长B.TXT记录占比突增C.请求熵值高于7.5D.响应包大小持续大于400字节E.域名TTL低于30秒答案：A、B、C、D解析：低TTL非隧道特有。29.对MacOS进行应急，发现LaunchAgent目录出现陌生plist，可执行：A.plutil-p查看内容B.launchctllist|grep程序名C.ls-l@查看扩展属性D.codesign-dv对可执行验签E.sysdiagnose收集现场答案：A、B、C、D、E解析：均为标准取证动作。30.2026年新版《个人信息保护法》增设“可携带权”，在应急中涉及：A.数据迁移至第三方B.用户要求删除C.用户要求备份D.司法调取E.跨境传输答案：A、C解析：可携带权强调“副本获得”，B为删除权，D、E为其他法律基础。三、判断题（每题1分，共10分）31.2026年起，所有网络安全事件必须在2小时内向国家互联网应急中心完成电话初报。答案：错误解析：仅关基单位与特别重大事件需2小时初报。32.Windows系统使用bitlocker加密后，内存取证无法提取出任何明文密钥。答案：错误解析：休眠文件与内存中可找到明文VMK。33.在Linux中，/var/log/btmp仅记录成功登录事件。答案：错误解析：btmp记录失败登录，wtmp记录成功。34.对容器进行快照时，使用dockercommit可完整保存运行时内存状态。答案：错误解析：commit只保存文件系统差异，内存不保留。35.2026年新版《商用密码管理条例》要求，任何使用SM4算法的系统必须向国家密码局备案。答案：错误解析：仅关键行业与出口场景需备案。36.使用chkrootkit检测rootkit时，出现“packetsniffer”提示一定表示网卡被设为混杂模式。答案：正确解析：chkrootkit通过/proc/net/dev标志位判断。37.对iOS设备进行越狱检测时，若发现Cydia图标即可100%确认已越狱。答案：错误解析：企业签名伪装应用亦可出现Cydia图标。38.在IPv6网络中，ICMPv6Type135用于邻居请求，可用于主机发现。答案：正确解析：135对应NeighborSolicitation。39.对VMwareESXi进行补丁升级，使用esxclisoftwarevibinstall-d可离线安装zipbundle。答案：正确解析：官方支持离线升级。40.2026年起，所有等级保护三级系统必须每年至少开展一次实战攻防演练。答案：正确解析：等保2.0增补条款明确要求。四、简答题（每题10分，共30分）41.描述在Linux系统遭遇内核级rootkit后，如何在不重启的前提下完成可信取证。答案与解析：1)利用可信启动盘liveCD进入系统，避免rootkit篡改；2)使用dkmsstatus对比官方内核模块列表，找出异常ko；3)通过/dev/kmem或/dev/mem只读镜像，结合volatility3linux_check_modules插件，提取隐藏模块；4)使用kprobe或eBPF脚本，动态获取sys_call_table地址，对比系统符号表，定位hook函数；5)将内存镜像通过dd复制到外部存储，计算SHA256确保完整性；6)使用LiME或/avml生成线性内存镜像，供后续离线分析；7)全程记录操作时间线，生成hash链，保证证据可采信。42.某关基单位业务系统采用微服务+Kubernetes架构，凌晨发现核心API返回异常，排查发现某Pod镜像被篡改，请给出完整应急流程。答案与解析：1)立即隔离：通过kubectllabel将受影响Pod所在namespace打上networkpolicy=isolate，阻断东西向流量；2)快照：使用kubectldebug生成ephemeralcontainer，对恶意Pod做内存快照，dockerexport导出文件系统；3)溯源：对比镜像digest，发现latest标签被劫持，查看AdmissionController日志，发现攻击者利用泄露的CI/CDtoken推送镜像；4)清除：删除所有带latest标签的Pod，强制拉取指定digest镜像，启用imagePullPolicy=Always；5)加固：开启cosign镜像签名验证，部署OPAGatekeeper策略，禁止digest不匹配镜像运行；6)恢复：通过Istio流量镜像，将流量切换至备用集群，验证业务正常；7)报告：2小时内向关基办提交初报，附镜像hash、日志、timeline。43.说明如何在WindowsServer2026中利用“基于虚拟化的安全”（VBS）与“凭证保护”防止Mimikatz读取LSASS内存，并给出配置命令。答案与解析：1)确认CPU支持SLAT与IOMMU，开启BIOS虚拟化；2)以管理员运行```powershellEnable-WindowsOptionalFeature-Online-FeatureNameVirtualMachinePlatform,HostGuardian-All```3)设置注册表```powershellregaddHKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard/vEnableVirtualizationBasedSecurity/tREG_DWORD/d1/fregaddHKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard/vRequirePlatformSecurityFeatures/tREG_DWORD/d3/fregaddHKLM\SYSTEM\CurrentControlSet\Control\Lsa/vLsaCfgFlags/tREG_DWORD/d1/f```4)重启后，运行msinfo32，确认“基于虚拟化的安全性”为正在运行；5)使用mimikatz测试，执行privilege::debugsekurlsa::logonpasswords，应返回“ERRORkuhl_m_sekurlsa_acquireLSA;Handletomemory(0x00000005)”表明无法读取；6)通过组策略将“LSA保护”设为“启用并锁定”，防止管理员关闭；7)附加措施：开启CredentialGuard，使用UEFI锁定变量，防止离线篡改。五、计算题（每题10分，共20分）44.某单位互联网出口带宽1Gbps，2026年6月1日09:00:00开始遭受UDPFlood攻击，持续300秒，攻击峰值流量为1.2Gbps，采样显示攻击包平均长度为400字节，请计算：(1)攻击者共发送多少数据包？(2)若清洗中心可在5秒内将攻击流量压制到200Mbps，求清洗期间进入内网的异常包数量？答案与解析：(1)峰值1.2Gbps=1.2×10^9bit/s单包400字节=3200bit包速率=1.2×10^9/3200=3.75×10^5pps总包数=3.75×10^5×300=1.125×10^8包(2)压制后200Mbps=200×10^6bit/s包速率=200×10^6/3200=6.25×10^4pps5秒内异常包=6.25×10^4×5=3.125×10^5包45.某勒索软件使用RSA-2048加密文件对称密钥，已知公钥指数e=65537，模数N=pq，p与q为1024位素数。应急响应时获取到公钥文件，需计算：(1)若使用PollardRho算法分解N，理论最大迭代次数期望为多少？(2)若使用GNFS算法，估计时间复杂度表达式？答案与解析：(1)PollardRho分解n位整数，期望迭代次数O(√p)=O(N^{1/4})，N为2048位，故期望迭代次数约为(2)GNFS时