2026年360安全运维笔试题及答案

2026年360安全运维笔试题及答案

一、单项选择题（每题2分，共20分）1.在Linux系统中，若发现某进程持续占用CPU超过90%，应优先使用的动态跟踪工具是A.lsof B.strace C.perf D.netstat2.360EDR在Windows终端上默认的驱动级钩子注入点位于A.SSDT B.ShadowSSDT C.MiniFilter D.NDIS3.当MySQL8.0开启–skip-grant-tables后，以下哪条语句仍可成功执行A.ALTERUSER B.CREATEUSER C.SETPASSWORD D.SELECTFROMmysql.user4.在Kubernetes1.29集群中，可一次性强制删除Evicted状态Pod的最佳命令组合是A.kubectldeletepods--field-selectorstatus.phase=EvictedB.kubectlgetpods-nall|grepEvicted|xargskubectldeleteC.kubectldeletepods--all-namespaces--field-selectorstatus.phase=Failed--grace-period=0--forceD.kubectlpatchpod-p'{"metadata":{"finalizers":null}}'5.利用Suricata检测SQL注入时，最可能被误报的规则特征是A.content:"unionselect" B.pcre:"/\w'or1=1/" C.http.uri;content:"'" D.flow:to_server,established6.在零信任架构中，SPA（SinglePacketAuthorization）控制面默认使用的端口是A.443 B.22 C.62201 D.80807.当使用tcpdump抓取经过VLAN标签的流量时，应添加的参数是A.-iany B.-e C.-nn D.-Q8.若Nginx反向代理出现502BadGateway，最先应排查的后端指标是A.keepalive_timeout B.upstream响应时间 C.client_max_body_size D.worker_connections9.在WindowsServer2022中，可强制重置本地管理员密码而不重启的工具是A.mimikatz B.ntdsutil C.Utilman.exe替换 D.OfflineNTPasswordRegistryEditor10.360天擎EDR规则库热更新采用的分发协议是A.SFTP B.P2P(BitTorrent) C.Rsync D.MQTT二、填空题（每题2分，共20分）11.Linux内核参数____用于控制SYNCookies的开关。12.在Suricata规则中，用于匹配HTTP请求体的关键字是____。13.MySQL全局变量____决定InnoDBredolog的刷盘策略。14.Windows事件ID____表示成功登录类型为10的远程交互式登录。15.Kubernetes中，____资源对象可限制Pod对宿主机PID空间的可见性。16.使用tcpdump仅抓取TCP标志位SYN置1且ACK置0的包，过滤表达式为____。17.Nginx配置指令____可隐藏Server响应头中的版本号。18.在iptables的raw表中，____链用于处理连接跟踪前的数据包。19.360HVS默认的Web管理端口是____。20.零信任模型中，____原则指“永不信任，持续验证”。三、判断题（每题2分，共20分，正确写“T”，错误写“F”）21.使用chmod4755file可同时赋予文件SUID与属主可执行权限。22.Kubernetes的Service类型ClusterIP支持外部直接访问。23.Windows安全标识符SID中，以S-1-5-18结尾的是LocalSystem账户。24.在Suricata的rule-flow中，flowbits:unset用于清除已设置的flow标记。25.MySQL8.0默认开启binlog_format=ROW，因此无法使用mysqlbinlogflashback。26.tcpdump使用-iany时抓到的包顺序与物理网卡顺序完全一致。27.Nginx的stub_status模块默认编译进官方二进制包，无需额外参数。28.360EDR的“诱饵文件”机制依赖MinFilter驱动层监控。29.iptables的recent模块可基于源IP做速率限制。30.零信任网络中，SDP控制器与网关之间的通信必须使用mTLS双向认证。四、简答题（每题5分，共20分）31.简述Linux系统被植入rootkit后，利用systemd-analyze与rpm-verify进行初步排查的步骤。32.说明Kubernetes中Pod安全策略（PSP）被废弃后，推荐替代方案及其核心配置要点。33.概述Windows环境下，利用ETW（EventTracingforWindows）捕获恶意PowerShell无文件攻击的关键Provider与过滤思路。34.描述360EDR在检测到“进程空心化（ProcessHollowing）”行为时的告警逻辑与取证数据组成。五、讨论题（每题5分，共20分）35.结合ATT&CK矩阵，讨论Linux持久化技术中“SystemdTimer”相比传统cron的优势与检测盲点，并提出三条可落地的狩猎规则。36.针对容器逃逸漏洞（如CVE-2022-0492），分析cgroupv1与v2在权限隔离上的差异，并给出集群级缓解方案。37.零信任架构下，SDP网关需要同时处理南北向与东西向流量，探讨其性能瓶颈可能出现的环节及优化策略。38.当企业采用混合云部署时，日志集中化面临跨区域、多账号、多格式挑战，请设计一套基于OpenTelemetry与Kafka的日志治理流水线，并评估其可观测性收益。答案与解析一、单项选择题1.C 2.C 3.D 4.C 5.B 6.C 7.B 8.B 9.B 10.B二、填空题11.net.ipv4.tcp_syncookies12.http_request_body13.innodb_flush_log_at_trx_commit14.462415.PIDNamespace16.tcp[tcpflags]&(tcp-syn)!=0andtcp[tcpflags]&(tcp-ack)=017.server_tokens18.PREROUTING19.844320.NeverTrust,AlwaysVerify三、判断题21.T 22.F 23.T 24.T 25.F 26.F 27.F 28.T 29.T 30.T四、简答题（要点示例，每题约200字）31.先用systemd-analyzeblame查看异常服务启动耗时，定位可疑unit；再用systemd-analyzecritical-chain找出依赖链中非法单元。随后执行rpm-Va校验系统文件，关注SM5DLTUG属性变化，对提示缺失或修改的二进制调用rpm-qf定位所属包，结合systemctlcat查看被篡改的服务单元，完成初步取证。32.替代方案为PodSecurityStandards与OPAGatekeeper。核心要点：命名空间打上enforce级别标签，如pod-security.kubernetes.io/enforce:restricted；Gatekeeper通过ConstraintTemplate定义如“禁止特权容器”“只读根文件系统”等策略，利用AdmissionWebhook在创建时拒绝不合规Pod，同时配置审计日志供事后追溯。33.关键Provider：Microsoft-Windows-PowerShell、Microsoft-Windows-Sysmon。过滤思路：启用ID4103（模块加载）与ID4104（脚本块），设置脚本块日志级别为Verbose；对内容匹配混淆字符（±join、IEX、FromBase64String）与压缩片段；结合SysmonEventID1（进程创建）过滤父进程为winword.exe、excel.exe却调用powershell.exe的场景，实现无文件攻击早期发现。34.告警逻辑：EDR监控NtUnmapViewOfSection后同一进程出现WriteProcessMemory+SetThreadContext序列，且入口点被改写为私有内存，即触发“进程空心化”高可疑告警。取证数据包括：原始进程文件hash、被掏空区域前后dump、远程注入payload的内存片段、调用的API序列时间轴、父进程及网络外联IP，用于后续样本抽取与横向关联。五、讨论题（要点示例，每题约200字）35.SystemdTimer支持秒级精度、单调时钟、随机延迟与条件判断，可绕过cron日志且默认不邮件通知，增加隐蔽性。检测盲点：无统一审计框架、可动态创建用户级timer。狩猎规则：1)auditbeat监控/usr/bin/systemctl--userstart事件；2)通过osquery查selectfromsystemd_unitswheretype='timer'andfragment_pathlike'%.config%';3)YARA扫描~/.config/systemd/user/目录下.timer文件含“OnBootSec”“OnUnitActiveSec”关键字。36.cgroupv1设备控制器与权限文件分离，导致无根容器可写/dev/cgrouprw从而逃逸；v2将device控制合并至cgroup.controllers，需CAP_SYS_ADMIN才能修改。集群缓解：1)启用cgroupv2统一层次；2)在Kubelet配置--cgroups-per-qos=true--cgroup-driver=systemd；3)通过AdmissionController注入seccomp与AppArmor限制mknod、write设备文件；4)节点级eBPF程序监控非法cgroupwrite调用。37.瓶颈环节：1)mTLS握手放大延迟，可启用sessionresumption与TLS1.30-RTT；2)用户空间转发导致上下文切换，采用DPDK或XDP将数据面下沉到内核；3)微服务粒度策略增加ACL查询，引入BloomFilter缓存命中；4)东西向流量加密后传统IPS失效，可在SDP网关集成eBPF做流解密检测，并采用硬件QAT加速加解密。38.设计：云账号通过OpenTelemetryCollectorSidecar采集std