信息安全管理与评估 第二阶段 网络安全事件响应数字取证调查应用程序安全.docxVIP

信息安全管理与评估第二阶段

网络安全事件响应

数字取证调查应用程序安全

第二阶段竞赛项目试题

本文件为信息安全管理与评估项目竞赛-第二阶段试题，第二阶段内容包括：网络安全事件响应、数字取证调查和应用程序安全。

本次比赛时间为180分钟。

介绍

竞赛有固定的开始和结束时间，参赛队伍必须决定如何有效的分配时间。请认真阅读以下指引！

（1）当竞赛结束，离开时请不要关机；

（2）所有配置应当在重启后有效；

（3）除了CD-ROM/HDD/NET驱动器，请不要修改实体机的配置和虚拟机本身的硬件设置。

所需的设备、机械、装置和材料

所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。

评分方案

本项目阶段分数为35分。

项目和任务描述

随着网络和信息化水平的不断发展，网络安全事件也层出不穷，网络恶意代码传播、信息窃取、信息篡改、远程控制等各种网络攻击行为已严重威胁到信息系统的机密性、完整性和可用性。因此，对抗网络攻击，组织安全事件应急响应，采集电子证据等技术工作是网络安全防护的重要部分。现在，A集团已遭受来自不明组织的非法恶意攻击，您的团队需要帮助A集团追踪此网络攻击来源，分析恶意攻击攻击行为的证据线索，找出操作系统和应用程序中的漏洞或者恶意代码，帮助其巩固网络安全防线。

本模块主要分为以下几个部分：

网络安全事件响应

数字取证调查

应用程序安全

本部分的所有工作任务素材或环境均已放置在指定的计算机上，参赛选手完成后，填写在电脑桌面上“信息安全管理与评估竞赛-第二阶段答题卷”中。选手的电脑中已经安装好Office软件并提供必要的软件工具（Tools工具包）。

工作任务

第一部分网络安全事件响应

任务1：应急响应

A集团的WebServer服务器被黑客入侵，该服务器的Web应用系统被上传恶意软件，系统文件被恶意软件破坏，您的团队需要帮助该公司追踪此网络攻击的来源，在服务器上进行全面的检查，包括日志信息、进程信息、系统文件、恶意文件等，从而分析黑客的攻击行为，找出关键的证据信息。

本任务素材清单：Server服务器虚拟机（Vmware）。

受攻击的Server服务器已整体打包成虚拟机文件保存，请选手自行导入分析。

注意：Server服务器的基本配置参见附录，若题目中未明确规定，请使用默认配置。

请根据赛题环境及任务要求提交正确答案。

任务1：应急响应

序号

任务要求

答案

1

任务要求1

2

任务要求2

3

任务要求3

4

......

第二部分数字取证调查

任务2：操作系统取证

A集团某服务器系统感染恶意程序，导致系统关键文件被破坏，信息被窃取。请分析A集团提供的系统镜像和内存镜像，找到恶意程序及破坏系统的证据信息。

本任务素材清单：操作系统镜像、内存镜像。

请根据赛题环境及任务要求提交正确答案。

任务2：操作系统取证

序号

任务要求

答案

1

任务要求1

2

任务要求2

3

任务要求3

4

......

任务3：网络数据包分析

A集团的网络安全监控系统发现恶意份子正在实施高级可持续攻击（APT），并抓取了部分可疑流量包。请您根据捕捉到的流量包，搜寻出网络攻击线索，分解出隐藏的恶意程序，并分析恶意程序的行为。

本任务素材清单：捕获的网络数据包文件。

请根据赛题环境及任务要求提交正确答案。

任务3：网络数据包分析

序号

任务要求

答案

1

任务要求1

2

任务要求2

3

任务要求3

4

......

任务4：计算机单机取证

对给定取证镜像文件进行分析，搜寻证据关键字（线索关键字为“evidence1”、“evidence2”、……、“evidence10”，有文本形式也有图片形式，不区分大小写），请提取和固定比赛要求的标的证据文件，并按样例的格式要求填写相关信息，证据文件在总文件数中所占比例不低于15%。取证的信息可能隐藏在正常的、已删除的或受损的文件中，您可能需要运用编码转换技术、加解密技术、隐写技术、数据恢复技术，还需要熟悉常用的文件格式（如办公文档、压缩文档、图片等）。

本任务素材清单：取证镜像文件。

请按要求完成该部分的工作任务。

任务4：计算机单机取证

证据编号

在取证镜像中的文件名

镜像中原文件Hash码（MD5，不区分大小写）

evidence1

evidence2

evidence3

evidence4

evidence5

evidence6

evidence7

evidence8

evidence9

evidence10