2026年网络攻防应急响应专项测试考试试卷

2026年网络攻防应急响应专项测试考试试卷一、单项选择题（每题2分，共20分）1.2026年3月，某省级政务云发现异常出站流量，经初步研判为APT组织利用0day横向移动。下列哪项处置顺序最符合《GB/T24363-2022信息安全应急响应计划规范》？A.隔离→取证→通报→恢复B.取证→隔离→通报→恢复C.通报→隔离→取证→恢复D.隔离→通报→取证→恢复2.在Linux内存取证中，为定位被Rootkit隐藏的恶意进程，优先使用的Volatility插件是：A.linux_pslistB.linux_psxviewC.linux_lsofD.linux_netstat3.某企业收到邮件告警：员工PC外联已知C2域名“”，但DNS解析返回NXDOMAIN。最合理的解释是：A.域名已被安全厂商SinkholeB.本地DNS缓存投毒C.邮件误报D.TLS加密导致解析失败4.针对Windows事件日志“EventID4624，LogonType3，SourceNetworkAddress8”，若要判断是否为哈希传递攻击，应重点关联：A.4625日志失败原因0xC0000064B.4672日志中SeDebugPrivilege赋值C.4648日志中ProcessName为“powershell.exe”D.4624日志中AuthenticationPackage为NTLM且SourcePort4455.2026年1月，某IoT摄像头固件被曝存在后门账户“root/空口令”。应急响应团队需批量检测10万个公网IP，最佳扫描策略是：A.masscan全端口+hydra暴力B.zmap23端口+自定义Telnet脚本C.nmap2323端口+默认脚本D.shodanAPI过滤“root”关键字6.在容器逃逸场景下，攻击者利用CVE-2026-1314（runc文件描述符劫持）写入宿主机crontab。应急响应人员需验证宿主机是否被篡改，应优先检查：A./var/lib/docker/overlay2//diff/etc/crontabA./var/lib/docker/overlay2//diff/etc/crontabB./etc/crontab的inode变化与dockerdaemon日志C.journalctl-ucontainerd的runC版本号D.kube-apiserver审计日志7.某金融机构遭遇勒索软件“LockGulp2.0”，病毒在加密前删除卷影副本。为恢复数据，下列方案最可行的是：A.使用photorec恢复已删除VSS文件B.从存储阵列快照挂载LUNC.通过Windows备份还原“系统状态”D.利用勒索软件自带的解密工具8.在MITREATT&CKv14中，将“Living-off-the-Land”技术归为：A.DefenseEvasionB.ExecutionC.PersistenceD.Collection9.某云租户发现其Kubernetes集群APIServer出现大量“user=system:anonymous”请求，返回403。最可能的攻击阶段是：A.初始访问B.权限提升C.防御规避D.影响10.根据《数据安全法》第45条，发生重要数据泄露后，企业向省级以上主管部门报告的时限为：A.24小时B.48小时C.72小时D.5个工作日二、多项选择题（每题3分，共15分；每题至少有两个正确答案，多选、少选、错选均不得分）11.关于Windows系统内存转储分析，以下哪些指标可判定发生DLL注入？A.ldrmodules输出中InLoad为FalseB.malfind发现RWE私有内存C.handles输出中Type为File且Name含“.dll”D.pslist与pstree进程父子关系异常E.mutant列表出现随机8位字符互斥体12.在Linux应急响应中，发现/root/.ssh/authorized_keys被写入未知公钥，以下哪些操作可阻断攻击者持续登录？A.清空文件并设置chattr+iB.重启sshd服务C.修改/etc/ssh/sshd_config中PermitRootLoginnoD.在防火墙封禁所有22端口E.使用systemctlmasksshd13.针对Log4j20day（CVE-2026-9999）应急，以下哪些HTTP请求头需重点排查？A.User-AgentB.X-Forwarded-ForC.X-Api-VersionD.AuthorizationE.Cookie14.在工业控制系统（ICS）应急响应中，发现PLC程序块被篡改，下列哪些取证方式可行？A.使用Wireshark抓取Profinet流量B.通过TIAPortal上传块并计算CRCC.利用S7-pwd工具离线爆破密码D.对比工程师站项目Git历史E.读取PLC内存快照15.关于云原生应急响应，以下哪些措施可有效降低容器镜像投毒风险？A.启用镜像签名（cosign）B.部署OPAGatekeeper策略C.使用Falco运行时检测D.将基础镜像源改为DockerHub官方E.镜像构建时启用SBOM生成三、判断题（每题1分，共10分；正确打“√”，错误打“×”）16.在Windows1124H2中，默认启用VBS将阻止利用Win32k提权漏洞。17.使用tcpkill工具可强制重置已建立的TCP连接，适用于清除僵尸网络回连。18.对于UEFIBootkit，清除CMOS电池即可完全恢复系统完整性。19.在macOS系统，launchctlunload-w可临时禁用恶意LaunchDaemon。20.根据《关键信息基础设施安全保护条例》，CII运营者应在30日内完成应急演练整改报告。21.DNS-over-HTTPS（DoH）流量无法被企业边界防火墙基于域名进行拦截。22.在容器环境，seccomp规则可限制系统调用号，从而阻断“cat/etc/shadow”读取。23.利用IntelPT（ProcessorTrace）可在运行时捕获二进制完整执行路径，适用于无文件木马分析。24.对于勒索软件支付赎金后，攻击者提供的解密器通常内置时间炸弹，超过72小时即自毁。25.在区块链智能合约应急响应中，通过升级代理合约可修复重入漏洞，但需治理投票通过。四、填空题（每空2分，共20分）26.在Windows事件日志中，安全通道“Microsoft-Windows-Sysmon/Operational”中可定位驱动级加载的EventID为________。27.使用Volatility提取Linux内核模块，需先获取________符号表文件，否则无法解析结构体。28.2026年4月，某APT组织利用WSL2逃逸，在宿主机植入的ELF后门路径通常为________。29.针对SQL注入漏洞，利用sqlmap的“--tamper=________”脚本可绕过云WAF的逗号过滤。30.在Kubernetes审计策略中，Level为________可记录请求与响应体，但不含敏感数据。31.根据《个人信息保护法》，发生个人信息泄露后，企业应告知个人的内容包含泄露原因、________、已采取或拟采取的措施。32.使用Suricata规则检测ICMP隧道，可设置payload大于________字节且content:“AAAA”重复。33.在工业协议ModbusTCP中，功能码________用于写单个寄存器，常被利用于远程指令注入。34.对于VMwarevSphere勒索场景，恢复ESXihypervisor需通过________模式重新安装镜像并保留VMFS数据存储。35.利用________框架可对安卓APK进行动态插桩，追踪加密算法调用栈。五、简答题（每题10分，共20分）36.描述一次完整的云原生容器逃逸应急响应流程，包括检测、隔离、取证、溯源、恢复五个阶段的关键技术点与工具。37.某大型电商平台在“618”大促期间遭遇CC攻击，峰值流量1.2Tbps，攻击源为IoT僵尸网络。请给出应急缓解方案，要求包含流量清洗、溯源、法律取证、事后加固四个维度，并说明各维度所用数据源与工具。六、综合应用题（15分）38.阅读以下场景并回答问题：2026年5月20日，某市智慧交通系统出现异常信号机红灯常亮，导致早高峰大面积拥堵。运维人员发现信号机PLC型号为SiemensS7-1500，通过TIAPortal在线诊断显示组织块OB1被替换，MD5值由原本的“a1b2c3d4”变为“5e6f7g8h”。网络流量回溯发现攻击IP为4，该IP在5月19日23:00通过OpenVPN接入运维网络，使用账号“ovpnadmin”登录，5月20日00:30对信号机网段发起S7comm写入请求。问题：（1）请给出攻击时间线（精确到分钟）。（3分）（2）列举可提取的三类关键证据及其来源。（6分）（3）设计一套紧急恢复方案，确保6:00前恢复通车，并说明风险与回退措施。（6分）七、计算题（10分）39.某企业内网感染蠕虫，初始感染主机1台，每轮扫描周期T=120秒，每主机平均扫描速率为λ=2000IP/秒，网络可扫描地址空间为N=65536IP。设感染概率p=0.02，忽略免疫与清除。（1）建立离散时间感染模型，给出第k轮后感染主机数量I(k)的递推公式。（4分）（2）计算I(5)的值。（3分）（3）若在第3轮部署阻断，将λ降至200IP/秒，求I(6)。（3分）附：答案与解析一、单项选择题1.D2.B3.A4.D5.B6.B7.B8.A9.A10.C二、多项选择题11.AB12.AC13.AE14.ABDE15.ABCE三、判断题16.√17.√18.×19.√20.√21.√22.×23.√24.×25.√四、填空题26.627.System.map28./mnt/wslg/versions/bin/后门名29.charencode30.Metadata31.可能产生的影响32.6433.0634.DCUI35.Frida五、简答题36.检测：利用Falco规则“ContainerDrift”检测容器内新创建二进制；kube-audit发现特权容器创建。隔离：通过CiliumNetworkPolicy阻断Pod外联；kubectlcordon节点防止调度。取证：使用kubectlcp提取容器文件系统；宿主机运行volatility3linux_memfind获取内存。溯源：比对镜像SBOM与官方仓库，发现恶意层；利用容器运行时日志定位攻击入口为暴露的serviceAccounttoken。恢复：重新构建镜像并签名；通过Velero回滚至昨日备份；启用OPA策略禁止privileged容器。37.流量清洗：接入云清洗中心，基于BGPFlowspec丢弃源端口为UDP/19的Chargen反射流量；使用XDP程序在边缘节点限速。溯源：分析NetFlow，定位攻击控制器域名“ctrl.gulp2026.top”，通过PassiveDNS获得历史解析IP；对IoT固件样本逆向，发现硬编码C2。法律取证：公证攻击PCAP与僵尸样本；向公安网安支队报案，申请冻结境外域名。事后加固：IoT设备强制OTA升级，关闭UDP/19；接入CDN并启用边缘WAF，设置Token挑战。六、综合应用题38.（1）时间线：23:00攻击者VPN登录成功00:30首次S7comm写入05:45运维发现异常05:50启动应急06:00通车（2）证据：a.TIAPortal项目版本对比记录（来源：工程师站Git）b.VPN日志含源IP、账号、分配内网地址（来源：Op