蓝军经验分享练习题

蓝军经验分享练习题应急影响处置练习题1.（）是通过分布式网络来扩散特定的信息或者错误的，进而导致网络服务器早到拒绝服务并发生死锁。A.蠕虫(正确答案)B.引导区病毒C.宏病毒D.恶意脚本2.恶意代码传播速度最快、最广的途径是（）A.用U盘复制来传播文件时B.用光盘复制来传播文件时C.安装系统软件时D.用网络传播文件时(正确答案)3.在wireshark过滤器中使用http.request==1表是（）A.显示源端口是1的所有TCP协议B.过滤所有HTTP请求(正确答案)C.显示状态码是1的所有请求D.显示所有本机发送的请求4.可通过（）等措施进行口令爆破防护A.设置登录失败次数限制B.增加口令复杂度C.在登录页面设置验证码D.以上都正确(正确答案)5.用户在本地进行登录采用以下哪种方式（）A.网络B.批处理C.服务D.交互式登录(正确答案)6.应急响应是信息安全事件管理的重要内容之一，关于应急响应工作，下面描述错误的是（）A、信息安全应急响应，通常是指一个组织为了应对各种安全意外事件的发生所采取的防范措施，既包括预防性的措施，也包括事件发生后的应对措施B、应急响应工作有其鲜明的特点，具有高技术复杂性与专业性、强突发性、对知识经验的高依赖性，以及需要广泛的协调与合作C、应急响应是组织在处置应对突发/重大信息安全事件时的工作，其主要包括两部分工作，安全事件发生时正确指挥、事件发生后全面总结(正确答案)D、应急响应工作的起源和相关机构的成立和1988年11月发生的莫里斯蠕虫病毒事件有关，基于该事件，人们更加重视安全事件的应急处置和整体协调的重要性7.在信息系统安全中，风险由以下哪两种因素共同构成的（）A、攻击和脆弱性B、威胁和攻击C、威胁和脆弱性(正确答案)D、威胁和破坏8.信息安全应急响应，是指一个组织为了应对各种安全意外事件的发生所采取的防范措施，既包括预防性措施，也包括事件发生后的应对措施。应急响应方法和过程并不是唯一的，通常应急响应管理过程为（）A、准备、检测、遏制、根除、恢复和跟踪总结(正确答案)B、准备、检测、遏制、根除、跟踪总结和恢复C、准备、检测、遏制、跟踪总结、恢复和根除D、准备、检测、遏制、恢复、跟踪总结和根除9.“文件上传”这个告警不会出现在下列哪个设备（）A.牧云B.雷池C.EDR(正确答案)D.蜜罐答案解析：EDR终端检测，HIDS一般装在服务器上10.windows打开事件查看器的命令是什么（）A.lusrmgr.mscB.event.msc(正确答案)C.gpedit.mscD.services.msc11.列出某个用户cron服务的内容（）A.crontab-l(正确答案)B.crontab-eC.crontab-e-aD.crontab-s12.下列个哪个是用户登录日志文件（）A./var/log/messagesB./var/log/dmesgC./var/log/btmpD./var/log/lastlog(正确答案)13.下列哪一项不是windows后门方式（）A.注册表自启动B.CORS(正确答案)C.自启动服务D.COM劫持14.下列哪一项不是ICMP隧道特征（）A.同一时间报文数量较多B.报文中data字段长度内容和大小在改变，且过长payload无规律C.数据包中payload的大小固定，windows下为32bytes，linux下为48bytes(正确答案)D.上下行报文数量不一致,可能存在大量的noresponse的请求15.下列哪一项windows安全日志事件号对应账号已成功登录（）A.4726B.4739C.4624(正确答案)D.462516.windows中查看账号最准确的方式是（）A.netuserB.lusrmgr.exeC.HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\(正确答案)D.D盾查看账号的功能17.在windows中哪个工具可以查看进程的详细信息，比如加载的dll文件、签名、内存使用等（）A.Procexp(正确答案)B.autorunsC.TCPViewD.PSExec18.勒索病毒的传播方式传播不包括（）A.通过社工、钓鱼方式下载和运行了挖矿程序B.利用计算机系统远程代码执行漏洞下载、上传和执行挖矿程序C.利用计算机Web或第三方软件漏洞获取计算机权限，然后下载和执行勒索病毒D.执行Web页面的挖矿JS脚本(正确答案)19.下列哪项不是NTA安全使用场景:（）A.高频攻击产生的异常流量B.终端病毒产生的异常流量C.僵尸网络产生的异常流量D.蜜罐捕获的社交ID信息(正确答案)20.勒索病毒的防御方式不包括（）A.禁止系统默认远程访问，使用其他远程管理软件(正确答案)B.不打开可疑邮件附件，不点击可疑邮件中的链接C.及时更新系统不定，防止收到漏洞攻击D.备份重要文件21.远程弱口令攻击的防御措施不包括（）A.使用复杂口令B.更改远程访问的默认端口号，改为其他端口号C.不打开可疑邮件附件，不点击可疑邮件中的链接(正确答案)D.禁止系统默认远程访问，使用其他远程管理软件22.钓鱼邮件的防护措施不包括（）A.安装杀毒软件，保持监控开启，及时更新病毒库B.及时备份重要文件(正确答案)C.如果业务不需要，建议关闭Offic宏，Powershell脚本等D.开启显示文件扩展名23.Web服务漏洞中弱口令攻击的防御措施（）A.web服务不要使用弱口令和默认密码(正确答案)B.通过社工、钓鱼方式下载和运行了挖矿程序C.禁止系统默认远程访问，使用其他远程管理软件D.采购IDS产品24.数据库弱口令攻击加固中优先级最高的是（）A.更改数据库软件默认端口B.限制连接数据库C.及时备份数据库D.修改数据库密码为强密码，避免使用通用密码(正确答案)25.挖矿病毒特征不包括（）A.系统卡顿执行基本命令卡顿B.系统内存占用不稳定C.员工账号异地登录(正确答案)D.系统出现异常进程无法kill26.检查网络正在连接的进程（）:A.netstat-anobB.netstat-vb(正确答案)C.netstat-rnD.net

session27.wireshark过滤TCP目的端口的语法（）A.tcp.port==80B.tcp.srcport==80C.tcp.dstport==80(正确答案)D.tcp.port>=1andtcp.port<=8028.windows系统日志默认位置（）A.%SystemRoot%\System32\Winevt\Logs\System.evtx(正确答案)B.%SystemRoot%\System32\Winevt\Logs\Application.evtxC.SystemRoot%\System32\Winevt\Logs\Security.evtxD.SystemRoot%\System32\Winevt\Logs\system32.evtx29.windows事件日志中创建用户的EventID是什么（）A.4625B.2634C.4720(正确答案)D.464730.windows安全日志不包括:（）A.成功的登出登录B.系统文件的创建修改C.系统用户的创建D.应用程序的错误信息(正确答案)31.windows日志不包含什么信息（）A.进程ID(正确答案)B.事件IDC.事件日期和事件D.事件的结果32.下列哪个日志linux登陆失败的用户、时间、以及远程IP地址（）A./var/log/btmp(正确答案)B./var/log/lastlogC./var/log/utmpD./var/log/boot.log33.下列哪些安全设备具有检测内存马的能力（）A.牧云(正确答案)B.洞鉴C.谛听D.御横34.常见的内存马分析工具（）A.frpB.fscanC.xshellD.copagent(正确答案)35.经典的shift后门是利用了哪个辅助功能（）A.sethc.exe(正确答案)B.java.exeC.cmd.exeD.sogo.exe36.下列哪一项是黑客用于查看连接凭据的命令（）A.setspn-T

-QB.nltest/domain_trustsC.cmdkey/list(正确答案)D.net

view37.刷新组策略的命令是什么（）A.gpupdate/force(正确答案)B.gpupdate-FC.shutdown-s-t3D.msconfig--flush38.项目执行过程中，除与工作内容外，禁止操作手机等电子设备;禁止在客户现场进行拍照，并发送到社交媒体对(正确答案)错39.不得在各类媒体（包括不限于电视、广播、网站、QQ、微博、微信）、团体或者组织中捏造、散步虚构事实或者创博未经证实的消息。对(正确答案)错40.CPU、GPU、内存利用率高是挖矿程序的特点对(正确答案)错41.勒索病毒的特点:各种数据文件和可执行程序生成奇怪的后缀名对(正确答案)错42.通过重启服务一定能够清除内存马对错(正确答案)43.哥斯拉操控目标机器一定是root权限对错(正确答案)44.sqlmap是网络数据包分析工具对错(正确答案)45.redis默认端口是5379对错(正确答案)46.sort是对结果进行排序的命令对(正确答案)错47.ps-ef可以查看端口链接情况对错(正确答案)48.下面哪个漏洞类型是WAF有效性验证最需要验证的A、命令注入(正确答案)B、平行越权C、CSRFD、逻辑漏洞答案解析：关注能获取权限的漏洞49.下面哪个攻击全流量设备未告警时正常的A、暴力破解ssh密码B、利用永恒之蓝漏洞获取服务器权限C、利用重放攻击进行短信轰炸(正确答案)D、利用任意文件上传漏洞往某内网系统上传Webshell答案解析：关注能获取权限的漏洞50.下面哪个设备可以检测拦截钓鱼邮件A、WAFB、邮件网关(正确答案)C、HIDSD、全流量设备51.下面哪个附件类型应该在邮件网关附件黑名单里A、txtB、pngC、exe(正确答案)D、docx答案解析：攻击者利用可执行文件进行钓鱼52.在实施HIDS有效性验证时，搭建环境最好选择什么语言的系统A、PHPB、C#C、JavaD、客户多数业务使用语言(正确答案)答案解析：搭建靶场要根据客户业务特性来决定，要考虑客户生产系统用的什么系统（windows、linux）、什么语言（java、php、c#）53.在实施HIDS有效性验证时，下面哪些操作不需要验证A、CSRF攻击(正确答案)B、通过任意文件上传漏洞落地webshellC、通过Webshell执行命令D、通过反序列化漏洞注入内存马答案解析：攻击者一般不能直接利用CSRF攻击获取系统权限54.受WAF保护的站点不需要担心被攻击对错(正确答案)答案解析：WAF可以被绕过，不代表资产一定安全55.WEB攻击未被WAF拦截一定是WAF没检测到攻击对错(正确答案)答案解析：可能监测到未拦截56.在实施全流量设备有效性时需要观察设备能否监测到暴力破解攻击对(正确答案)错57.在实施设备有效性验证发现我司产品问题无需同步项目经理即可告知客户对错(正确答案)58.重要生产系统无需测试即可安装开启RASP对错(正确答案)59.为防止攻击者利用Office宏钓鱼，应将附件类型为doc和docx加入邮件网关附件拦截黑名单对错(正确答案)答案解析：会影响正常业务60.请简述一下WAF有效性验证的流程_________________________________答案解析：1、制作漏洞exp集合2、选择目标3、模拟攻击4、观察告警61.请简述一下全流量设备优化的方法有哪些_________________________________答案解析：1、及时更新补丁，同步最新的检测规则2、加白解决高频率误报，无法加白进行误报记录3、根据业务特性特定规则62.应急事件分类，诸如web攻击、业务安全（薅羊毛、任意用户登录）、暗网数据泄露。还有哪些_________________________________答案解析：网络流量事件（频繁发包、批量请求、DDOS攻击、伪基站）

Web攻击事件（webshell、暗链、挂马、篡改）

病毒木马事件（病毒、远控、肉鸡、矿机、勒索软件）

业务安全事件（薅羊毛、任意用户登录）

信息泄露事件(撞库、ssh弱口令、github源码泄露、暗网数据贩卖)63.比如windows在%SystemRoot%\System32\Winevt\Logs\。小明得知有一台windows服务器受到攻击，那么他应该怎么做，如果去排查日志，如何进行_________________________________答案解析：/var/log/boot.log：录了系统在引导过程中发生的事件，就是Linux系统开机自检过程显示的信息

/var/log/lastlog：记录用户最后一次成功登录的时间、登陆IP等信息,使用lastlog查看

/var/log/messages：记录Linux操作系统常见的系统和服务错误信息

/var/log/btmp：记录Linux登陆失败的用户、时间以及远程IP地址。lastb命令可以查看

/var/log/syslog：只记录警告信息，常常是系统出问题的信息

/var/log/wtmp：该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件，使用last命令查看

/v