2025年信息系统安全专家威胁狩猎中的端点检测与响应技术专题试卷及解析.pdfVIP

2025年信息系统安全专家威胁狩猎中的端点检测与响应技术专题试卷及解析1

2025年信息系统安全专家威胁狩猎中的端点检测与响应技

术专题试卷及解析

2025年信息系统安全专家威胁狩猎中的端点检测与响应技术专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在端点检测与响应（EDR）系统中，以下哪项技术最有助于发现无文件攻击？

A、基于签名的恶意软件检测

B、行为分析和异常检测

C、静态文件哈希比对

D、端口扫描检测

【答案】B

【解析】正确答案是B。无文件攻击不依赖传统文件，因此基于签名和哈希的检测

方法（A、C）效果有限。行为分析通过监控进程行为、内存使用等异常活动来发现威

胁，是检测无文件攻击的关键技术。D选项与端点威胁无直接关联。知识点：无文件攻

击检测技术。易错点：误认为传统签名检测能覆盖所有威胁。

2、EDR工具中，“隔离”功能的主要目的是什么？

A、加密端点数据

B、将受感染端点从网络中断开

C、备份端点系统镜像

D、更新端点防病毒软件

【答案】B

【解析】正确答案是B。隔离功能通过断开网络连接防止威胁扩散，是EDR应急响

应的核心手段。A、C、D属于其他安全功能，与隔离无关。知识点：EDR应急响应机

制。易错点：混淆隔离与加密/备份的概念。

3、威胁狩猎中，“MITREATTCK”框架主要用于什么？

A、漏洞扫描

B、攻击行为分类

C、密码策略制定

D、网络流量分析

【答案】B

【解析】正确答案是B。MITREATTCK是描述攻击者战术、技术和过程的框架，

用于威胁狩猎中的行为分析。A、C、D属于其他安全领域工具。知识点：威胁情报框

架应用。易错点：误认为ATTCK是自动化检测工具。

4、以下哪项是EDR与传统防病毒软件的核心区别？

A、仅支持Windows系统

2025年信息系统安全专家威胁狩猎中的端点检测与响应技术专题试卷及解析2

B、侧重事后响应而非预防

C、依赖云沙箱分析

D、需要手动更新规则库

【答案】B

【解析】正确答案是B。EDR强调持续监控和快速响应，而传统AV以预防为主。

A、C、D描述不准确，EDR通常支持多系统且可自动更新。知识点：EDR与AV功能

对比。易错点：忽视响应能力的重要性。

5、在端点日志分析中，“父进程ID”（PPID）主要用于什么？

A、计算CPU使用率

B、追踪进程启动链

C、检测磁盘I/O异常

D、验证数字签名

【答案】B

【解析】正确答案是B。PPID帮助分析进程的父子关系，是发现恶意进程伪装（如

替换系统进程）的关键。A、C、D属于其他监控维度。知识点：进程行为分析。易错

点：忽略进程链在威胁狩猎中的作用。

6、EDR工具中的”回溯搜索”功能主要解决什么问题？

A、预测未来攻击

B、分析历史事件

C、加密通信流量

D、自动修复漏洞

【答案】B

【解析】正确答案是B。回溯搜索允许调查人员查询历史数据以重建攻击路径。A、

C、D超出EDR功能范围。知识点：EDR数据存储与检索。易错点：混淆实时监控与

历史分析。

7、以下哪项指标最可能指示端点存在”LivingofftheLand”攻击？

A、高CPU占用率

B、使用系统自带工具（如PowerShell）执行异常操作

C、频繁的蓝屏重启

D、大量出站HTTP请求

【答案】B

【解析】正确答案是B。LivingofftheLand攻击利用合法系统工具规避检测，需关

注工具使用场景的异常性。A、C、D可能是其他问题的表现。知识点：无恶意软件攻

击技术。易错点：误将系统资源占用作为唯一判断标准。

8、EDR解决方案中，“遥测数据”通常不包括以下哪项？

2025年信息系统安全专家威胁狩猎中的端点检测与响应技术专题试卷及解析