2026年恶意代码防范考试重点试卷及答案

2026年恶意代码防范考试重点试卷及答案一、单项选择题（每题2分，共30分）1.下列哪一类恶意代码最可能通过修改MBR实现持久化？A.宏病毒B.引导区病毒C.脚本木马D.无文件型挖矿程序答案：B解析：引导区病毒专门感染磁盘主引导记录，系统启动即被激活，持久化能力极强。2.在Windows1020H2上，若发现进程“svch0st.exe”持续外联可疑IP，且数字签名无效，最优先采取的应急动作是：A.立即拔网并创建内存转储B.使用任务管理器结束进程C.更新病毒库全盘扫描D.重启进入安全模式答案：A解析：可疑外联+伪系统进程名+无效签名高度疑似APT，拔网防止数据外泄，内存转储保留现场。3.利用“Living-off-the-Land”技术的典型代表是：A.EmotetB.PowerShellEmpireC.WannaCryD.CIH答案：B解析：PowerShellEmpire纯内存执行，依赖系统自带组件，符合LotL定义。4.以下哪条YARA规则字段可精准匹配文件大小为233472字节的样本？A.filesize=233472B.uint32(0)==233472C.size==233472D.filesize==233472答案：D解析：YARA语法中filesize为内置关键字，需用“==”比较。5.在Linux下，若发现/lib/libprocess.so被替换，且inode号不变，攻击者最可能使用的技术是：A.LD_PRELOAD劫持B.udev规则持久化C./etc/ld.so.prepend写入D.chattr+i锁定答案：A解析：动态链接库劫持通过LD_PRELOAD环境变量优先加载恶意so，inode不变说明原文件被覆盖写。6.对勒索软件防御效果最弱的Windows策略是：A.启用ControlledFolderAccessB.配置ASR规则：阻止Office应用创建可执行内容C.关闭VSS服务D.强制使用LAPS管理本地管理员口令答案：C解析：关闭VSS等于自废武功，无法通过卷影副本恢复文件。7.在宏病毒分析中，可快速定位AutoOpen的VBA代码段应搜索：A.Document_OpenB.Workbook_ActivateC.Auto_OpenD.以上全部答案：D解析：Word、Excel、旧版宏均使用不同入口，需同时覆盖。8.利用IntelPT进行恶意代码追踪时，需要内核驱动的最主要原因是：A.用户态无法开启PTB.需要WRMSR写IA32_RTIT_CTLC.PT数据包大于4GBD.需要切换CR3答案：B解析：IA32_RTIT_CTLMSR仅ring0可写，必须驱动。9.下列哪项不是Emotet常用垃圾邮件附件类型？A.含宏的XML文件B.加密的ZIPC.内嵌OLE的PDFD..one文件答案：D解析：.one为OneNote格式，2025年起才出现少量样本，非Emotet经典。10.在Android平台，通过“分裂载荷”绕过GooglePlay分发的木马是：A.JokerB.PegasusC.SkygofreeD.xHelper答案：A解析：Joker将恶意DEX拆分为多段，动态拼接，绕过静态检测。11.对CobaltStrike的MalleableC2Profile，下列哪条设置可将Beacon的GET请求伪装成jquery.min.js下载？A.seturi“/jquery-3.6.1.min.js”;B.http-get{seturi“/jquery-3.6.1.min.js”;}C.http-stager{uri_x86“/jquery-3.6.1.min.js”;}D.http-config{setheaders“Content-Type:application/javascript”;}答案：B解析：http-get块控制任务请求URI，直接伪装静态JS。12.在macOS上，通过launchd实现每600秒启动一次，plist中应填入的键值对是：A.<key>StartInterval</key><integer>600</integer>B.<key>RunAtLoad</key><true/>C.<key>KeepAlive</key><true/>D.<key>ThrottleInterval</key><integer>600</integer>答案：A解析：StartInterval定义周期性启动秒数。13.对UWP沙箱逃逸最有效的利用链通常始于：A.内核提权漏洞B.绕过AppContainerLPC过滤C.滥用BrokerProcessD.篡改NTFSACL答案：C解析：BrokerProcess为UWP访问系统资源的代理，攻破即可逃逸。14.在ARM64Linux上，若样本使用brk#0x100实现反调试，对应x86的等价指令是：A.int3B.syscallC.ud2D.rdtsc答案：A解析：brk#imm为ARM自陷，类似int3。15.对勒索软件“双重勒索”模型，下列哪项不属于数据外泄常见通道？A.MEGASync上传B.利用DropboxAPIC.ICMP隧道D.通过SMB复制到本地隐藏共享答案：D解析：本地隐藏共享无外泄，仅横向移动。二、多项选择题（每题3分，共30分，多选少选均不得分）16.以下哪些技术可有效对抗ProcessHollowing？A.启用MicrosoftVBS+HVCIB.使用ETW监控NtUnmapViewOfSectionC.对.text段设置PAGE_EXECUTE_READWRITE预警D.强制ASLR+DEP答案：A、B、C解析：VBS+HVCI阻止内存篡改；ETW可观测NtUnmapViewOfSection异常；.text出现WRX段即可疑；ASLR+DEP无法阻止hollowing。17.关于APT29使用的“WellMess”木马，下列描述正确的是：A.使用Base64+RSA加密C2B.支持COVID-19相关诱饵C.基于.NET编译D.利用OneDriveAPI做C2答案：A、B、C解析：WellMess为.NETBase64+RSA，2020年以COVID钓鱼投递，未用OneDrive。18.在Windows事件日志中，可辅助发现Kerberoasting攻击的EventID包括：A.4768B.4769C.4771D.4672答案：A、B解析：4768(TGT请求)、4769(TGS请求)可发现大量SPN请求。19.以下哪些属于“BringYourOwnLand”技术？A.使用dotnet.exe执行Assembly.LoadB.使用msbuild.exe内嵌C#编译任务C.使用rundll32.exe加载恶意DLLD.使用installutil.exe执行卸载器答案：A、B、D解析：BYOL指自带运行时，rundll32为系统组件，不算BYOL。20.在Linux下，可用来检测内核级rootkit的工具有：A.Volatilitylinux_check_modulesB.chkrootkitC.rkhunterD.strace答案：A、B、C解析：strace追踪系统调用，无法检测内核级。21.针对Mimikatz的sekurlsa::logonpasswords，下列缓解措施有效的是：A.启用CredentialGuardB.禁用WDigestC.配置LSAProtectionD.清除HKEY_LOCAL_MACHINE\SECURITY\Cache答案：A、B、C解析：Cache键与域缓存登录无关，清除无效。22.在Android逆向中，可动态触发隐藏DEX加载的Frida脚本片段包括：A.Java.perform(function(){Java.openClassFile("/data/local/tmp/1.dex").load();});B.Java.enumerateClassLoaders({onMatch:function(loader){loader.loadClass("com.evil.Payload");}});C.DexClassLoader.$new("/s/tmp/2.dex",…).loadClass("…");D.Java.choose("dalvik.system.DexPathList",…);答案：B、C解析：A语法错误；D无法直接加载。23.关于BazarLoader的“COVID-19失业救济”邮件，下列特征正确的是：A.附件为ISO镜像B.使用ZIP+IMG双层压缩C.最终释放CobaltStrikeD.使用Excel4.0宏答案：A、C解析：BazarLoader常用ISO，后续CobaltStrike，未用Excel4.0。24.在Windows1124H2上，可绕过CFG的利用技术有：A.攻击返回地址堆栈B.滥用SetProcessValidCallTargetsC.篡改ChPE元数据D.伪造函数指针签名答案：B、C、D解析：CFG通过验证目标地址，直接攻击返回地址无效。25.以下哪些属于“事件触发执行”持久化技术？A.WMIEventSubscriptionB.NetshHelperDLLC.DebuggerImageFileExecutionOptionsD.注册表Run键答案：A、B、C解析：Run键为启动执行，非事件触发。三、判断题（每题1分，共10分，正确打“√”，错误打“×”）26.Ryuk勒索软件在加密前会调用vssadmindeleteshadows/all。答案：√27.在ARM64上，PAC（PointerAuthentication）可以完全阻止ROP/JOP。答案：×解析：PAC可被暴力或侧信道绕过。28.使用SDelete的-p3参数可确保SSD上数据不可恢复。答案：×解析：SSD存在重映射扇区，SDelete无法覆盖。29.对C2流量使用JA3指纹可检测Metasploit默认TLS。答案：√30.在Linux内核5.15以上，启用LOCK_DOWN_LSM可阻止kexec_load系统调用。答案：√31.使用OfficeOnline的“受保护视图”可完全阻止宏病毒。答案：×解析：本地打开仍可能启用宏。32.对UEFI固件植入恶意模块后，清除CMOS即可恢复。答案：×解析：固件驻留不受CMOS影响。33.在Windows中，TrustedInstaller权限可绕过所有ACL。答案：×解析：TrustedInstaller为服务SID，非万能。34.使用ChaCha20-Poly1305加密的C2流量无法被DPI解密，但可检测长度序列异常。答案：√35.Android13对非特权应用禁止访问/proc/net/tcp，可完全阻止端口扫描。答案：×解析：仍可通过JavaAPI或netlink获取。四、简答题（每题10分，共30分）36.描述一次典型的“DLL搜索顺序劫持”攻击链，并给出系统级防御方案。答案：攻击链：1)应用启动时调用LoadLibrary("hlp.dll")未指定完整路径；2)攻击者在应用目录放置恶意hlp.dll，导出相同符号；3)系统按“应用目录→系统目录→…顺序”优先加载恶意DLL；4)DLLMain中启动反向Shell，完成C2。防御：启用CWDIllegalInDllSearch=2，禁止当前目录加载；使用SetDllDirectory("");清空搜索路径；对关键EXE开启签名强制与WHQL驱动策略；部署AppLocker规则，拦截非签名DLL。37.给出利用eBPF检测execve系统调用劫持的代码框架，并说明如何对抗eBPFrootkit。答案：检测框架（简化）：```cSEC("kprobe/sys_execve")inttrace_execve(structpt_regsctx){inttrace_execve(structpt_regsctx){charcomm[16];bpf_get_current_comm(&comm,sizeof(comm));u32pid=bpf_get_current_pid_tgid()>>32;bpf_printk("execve:%d%s\n",pid,comm);return0;}```对抗：1)验证BPF程序签名，启用CONFIG_BPF_SIG；2)监控/sys/fs/bpf/异常持久化Map；3)使用bpftoolprogshow对比基线；4)启用LOCKDOWN_BPF，禁止非特权加载。38.阐述“零信任”架构下如何防止恶意代码通过VPN横向移动，需包含微分段与身份持续验证细节。答案：微分段：基于身份与标签而非IP，将用户、设备、应用三维标签化，在SDP网关上动态生成单包授权(SPA)令牌，默认拒绝所有东西向流量；持续验证：每30秒重新评估设备健康度，若EDR检出恶意代码即降权隔离；最小权限：VPN仅提供到SDP网关的加密通道，不暴露路由，应用层通过mTLS与OAUTH2访问；可视化：所有流量镜像至NDR，利用AI模型检测Beacon长度、JA3/JA3S异常；自动化响应：一旦NDR高置信告警，SOAR立即调用SDPAPI吊销令牌，并推送主机隔离。五、综合计算题（共30分）39.某勒索软件使用RSA-2048加密AES-256会话密钥，已知公钥指数e=65537，模数N的十六进制为N=0x00b2c5e9…（省略512位）攻击者捕获到加密后的AES密钥C=0x3af1…（省略512位）。现通过量子计算得到p、q，其中p=0x00e3e9…（256位）q=0x009f7b…（256位）请计算私钥指数d，并给出LaTeX公式与Python代码片段。答案：1)计算欧拉函数φ