2026年360天擎测试题及答案

2026年360天擎测试题及答案

一、单项选择题（每题2分，共20分）1.360天擎在EDR场景中默认采用的终端驱动级钩子技术名称是A.SSDTHook B.InlineHook C.IATHook D.IRPHook2.天擎“云查杀”在命中缓存MISS后，下一步首先触发的模块是A.QVM引擎 B.云信誉服务 C.多AV沙箱 D.威胁情报API3.在Windows1022H2环境下，天擎自我保护驱动（BProtect.sys）通过注册表回调保护的主键是A.HKLM\SYSTEM\CurrentControlSet\Services\WinDefend B.HKLM\SOFTWARE\360Safe C.HKLM\SYSTEM\CurrentControlSet\Services\BProtect D.HKLM\SOFTWARE\Policies\3604.天擎“漏洞热补丁”功能中，用于判断补丁兼容性的核心组件是A.PatchVerifier.dll B.HotPatchSvc.exe C.KBMatch.sys D.CompatCheck.dll5.当终端离线超过72小时，天擎控制中心下发策略的默认回退机制是A.强制本地缓存 B.延迟至上线后合并 C.丢弃策略 D.转邮件通知6.天擎“勒索防护”中，对Office进程调用CreateProcessW的拦截点位于A.RansomGuard.sys B.OfficeFire.dll C.BehaviorHook.dll D.AntiRansom.exe7.在LinuxServer版天擎中，用于采集audit日志的守护进程名是A.360auditd B.qaxagent C.safed D.edrdaemon8.天擎“横向渗透防护”默认阻断的IPC$共享名称是A.C$ B.ADMIN$ C.IPC$ D.SYSVOL9.天擎“软件管家”灰度发布功能中，灰度比例最小粒度为A.1% B.5% C.10% D.20%10.天擎“安全运营中心”SOAR模块内置剧本中，用于对接钉钉机器人的节点类型是A.Notification B.Webhook C.DingTalk D.Message二、填空题（每题2分，共20分）11.天擎终端Agent与控制中心通信的默认TCP端口是________。12.在Windows平台，天擎驱动级自我保护采用的技术简称是________。13.天擎“一键取证”生成的压缩包默认后缀为________。14.天擎“漏洞修复”中，补丁存放的本地缓存路径变量名是________。15.天擎“应用合规”检测盗版软件时，比对的核心字段是________。16.天擎“外设管控”对USB存储设备实现写保护时，写入的注册表键值名称是________。17.天擎“EDR搜索”支持的查询语言名称是________。18.天擎“云查杀”QVM引擎使用的AI模型文件扩展名是________。19.天擎“勒索防护”诱饵文件的默认文件名是________。20.天擎“控制中心”高可用部署时，数据库主从复制采用的日志格式是________。三、判断题（每题2分，共20分）21.天擎LinuxAgent支持在CentOS6.5内核2.6.32上加载行为监控驱动。22.天擎“勒索防护”一旦开启，将无条件拦截所有PowerShell脚本执行。23.天擎“软件管家”可强制卸载Windows系统内置应用如Edge。24.天擎“漏洞修复”在断网环境下仍可通过本地WSUS离线包进行补丁安装。25.天擎“EDR”可对macOS终端执行内存Dump并回传。26.天擎“控制中心”支持通过LDAP同步OU结构并自动分组。27.天擎“云查杀”命中缓存HIT后不再进行本地QVM扫描。28.天擎“行为管控”策略优先级高于“勒索防护”白名单。29.天擎“横向渗透防护”阻断规则支持IPv6地址格式。30.天擎“安全运营中心”可对接Splunk通过SyslogCEF格式。四、简答题（每题5分，共20分）31.简述360天擎“云查杀”缓存三级的更新机制。32.说明天擎“漏洞热补丁”在Win10系统上如何避免与WindowsUpdate冲突。33.概述天擎“EDR”对Linux终端进行脚本文件溯源的三种方式。34.描述天擎“控制中心”在双因子认证失效时的应急登录流程。五、讨论题（每题5分，共20分）35.结合ATT&CK框架，讨论天擎“横向渗透防护”对T1021.002（SMB/IPC）的检测与阻断策略，并评估其绕过风险。36.天擎“勒索防护”采用诱饵文件与行为模型双引擎，请分析在AI生成式勒索软件场景下可能出现的漏报与误报，并提出改进方案。37.某大型集团需将天擎与现有SOC（Splunk）打通，讨论日志归一化、字段映射、传输加密与性能调优的关键点。38.天擎“软件管家”在灰度发布中若出现补丁回滚失败，探讨其根因定位方法、影响范围控制及用户通知机制。答案与解析一、单项选择题1.B 2.B 3.C 4.D 5.B 6.A 7.A 8.C 9.A 10.C二、填空题11.80 12.DSE（DriverSignatureEnforcement）绕过+OBRegisterCallbacks 13..360zip 14.%PATCH_CACHE% 15.FileHash(SHA256) 16.WriteProtect 17.EQL（EventQueryLanguage） 18..qvm 19.~360Honeypot.docx 20.Row-BasedReplication（RBR）三、判断题21.√ 22.× 23.× 24.√ 25.√ 26.√ 27.√ 28.× 29.√ 30.√四、简答题31.第一级为终端本地SQLite缓存，TTL6小时；第二级为区域缓存节点，TTL30分钟；第三级为总部云中心，实时更新。缓存失效时逐级回源，并采用一致性哈希保证负载均衡。32.热补丁服务启动时先注册WaaSMedicSvc回调，检测WindowsUpdate计划任务状态；若系统正在执行更新，则延迟加载补丁并写入互斥标记；补丁应用前备份原始文件，更新完成后对比文件版本号，冲突时自动回退并上报。33.（1）auditd规则捕获execve事件，记录脚本绝对路径与pid；（2）inotify监控/tmp、/var/tmp等目录，提取新建脚本hash；（3）bash钩子注入/lib64/libbash.so，记录历史命令与参数，结合时间线关联进程树。34.管理员在登录页点击“应急令牌”，输入本地生成的OfflineToken，控制中心验证本地RSA公钥签名后下发一次性6位码，有效期15分钟；同时发送短信至预登记安全手机，双通道确认后临时提升会话权限，操作日志强制落库。五、讨论题35.天擎通过驱动层注册FilterDispatch，对SMBCreate、TreeConnect请求进行拦截，匹配T1021.002特征（如ADMIN$+IPC$组合、空会话、异常UID）；同时利用ETW捕获SMBClient事件，结合AI模型评分。绕过风险包括：使用Kerberos加密隧道、IPv6NetBIOSless、SMBoverQUIC，需引入JA3/SPL证书指纹与流量解密探针。36.AI生成式勒索可动态变异文件头、延迟加密、白利用合法程序，导致诱饵文件未被触碰而行为模型漏报；改进方案：引入内存维度检测（YARA+内存扫描）、增加LLM生成的对抗样本训练、采用联邦学习实时更新模型、设置蜜罐目录随机化。37.日志归一化采用MITRECIM模型，字段映射将天擎event_type→splunk_event_category，hash→file_hash；传输使用HECToken+TLS1.3，性能调优通过Kafka队列缓冲、Splu