2025年中级应急响应模考试题(含参考答案).docxVIP

2025年中级应急响应模考试题(含参考答案)

一、单项选择题（每题2分，共20分）

1.某企业监测到内网多台服务器出现异常进程“wannacry2025.exe”，进程持续向境外IP（00）发送加密数据，且用户文件被重命名为“.encrypted”后缀。根据《网络安全事件分类分级指南》，该事件最可能被认定为：

A.一般网络安全事件（IV级）

B.较大网络安全事件（III级）

C.重大网络安全事件（II级）

D.特别重大网络安全事件（I级）

2.在应急响应准备阶段，以下哪项措施不属于“技术准备”范畴？

A.部署入侵检测系统（IDS）并定期升级规则库

B.制定《服务器应急恢复操作手册》

C.对关键业务系统进行全量+增量备份并异地存储

D.组织跨部门应急演练并记录演练漏洞

3.某单位遭遇勒索软件攻击，核心数据库被加密。应急响应团队在初步处置时，优先应采取的措施是：

A.立即断开被感染设备与内网的连接

B.尝试通过未加密的备份恢复数据

C.联系勒索软件攻击方协商解密

D.对感染主机进行内存取证

4.分析Windows系统日志时，发现“安全”日志中存在大量4625事件（登录失败），源IP为，目标账户为“administrator”。最可能的攻击类型是：

A.暴力破解攻击

B.缓冲区溢出攻击

C.钓鱼邮件攻击

D.水坑攻击

5.在应急响应中，电子数据取证需遵循“及时性”原则。以下哪项操作最符合该原则？

A.等待法务部门确认取证权限后再开始操作

B.立即对涉案设备进行只读锁挂载并提取内存镜像

C.优先备份业务数据再进行取证

D.使用普通USB存储设备直接复制涉案硬盘数据

6.某企业云服务器（AWSEC2）遭受DDoS攻击，流量峰值达50Gbps。根据云服务商防护策略，最有效的缓解措施是：

A.启用云服务商提供的DDoS高级防护（AWSShieldAdvanced）

B.手动调整安全组规则封禁攻击源IP

C.将服务器迁移至其他可用区

D.关闭服务器公网IP并通过VPN访问

7.应急响应报告中，“根本原因分析”部分需重点说明：

A.事件发生的时间线与影响范围

B.攻击路径的技术细节（如漏洞利用方式、木马传播途径）

C.已采取的临时处置措施及效果

D.后续改进建议（如补丁升级、策略优化）

8.以下哪类日志对分析横向移动攻击最具价值？

A.防火墙访问日志（记录源IP、目标IP、端口）

B.域控制器的安全日志（记录用户登录、组策略变更）

C.Web服务器的访问日志（记录HTTP请求）

D.杀毒软件的病毒检测日志（记录恶意文件哈希）

9.某企业邮件服务器检测到大量伪装成“系统升级通知”的钓鱼邮件，附件为“update.exe”（经检测为木马）。应急响应中，阻断该攻击扩散的关键措施是：

A.在邮件网关部署基于行为分析的反钓鱼规则

B.对已接收邮件的用户进行钓鱼识别培训

C.重置所有用户邮箱密码

D.关闭邮件服务器的SMTP服务

10.关于应急响应中的“事件隔离”，以下描述错误的是：

A.对感染主机可采取禁用网络接口、修改路由表等方式隔离

B.隔离范围需最小化，避免影响未受感染的关键业务

C.云环境中可通过安全组规则限制受感染实例的出站/入站流量

D.隔离后无需记录操作过程，只需确保攻击停止即可

二、多项选择题（每题3分，共30分，少选得1分，错选不得分）

1.应急响应团队的核心职责包括：

A.事件的检测与确认

B.攻击源的法律追责

C.临时处置措施的实施

D.事后总结与改进建议

2.以下属于“高级持续性威胁（APT）”典型特征的有：

A.攻击周期长（数月至数年）

B.利用0day漏洞进行攻击

C.目标明确（针对特定组织）

D.采用大规模DDoS制造混乱

3.分析Linux系统的/var/log/auth.log日志时，需重点关注的事件包括：

A.su命令的使用记录（用户权限提升）

B.SSH登录失败次数（暴力破解尝试）

C.cron任务的调度记录（定时执行恶意脚本）

D.sudo命令的执行记录（特权操作）

4.在勒索软件事件中，判断是否支付赎金需考虑的因素有：

A.数据的重要性及恢复难度（如无有效备份）

B.支付赎金的法律风险（如涉及恐怖组织资助）

C.攻击方提供的解密工具可信度（如是否有成功解密案例）

D.企业公关形象（避免因支付