2025年信息系统安全专家YARA规则编写与威胁情报应用专题试卷及解析.pdfVIP

2025年信息系统安全专家YARA规则编写与威胁情报应用专题试卷及解析1

2025年信息系统安全专家YARA规则编写与威胁情报应

用专题试卷及解析

2025年信息系统安全专家YARA规则编写与威胁情报应用专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在YARA规则中，用于匹配文件内容的字符串标识符前必须添加哪个符号？

A、#

B、$

C、@

D、%

【答案】B

【解析】正确答案是B。在YARA规则中，字符串标识符前必须添加”

””malicious_string”。这是YARA语法的基本要求。选项A的”#“用于注释，选

项C的”@“用于字符串条件修饰符，选项D的”%“不是YARA语法符号。知识点：

YARA基础语法。易错点：容易混淆字符串修饰符”@“与字符串标识符”$“的区别。

2、YARA规则中的”meta”部分主要用于什么？

A、定义匹配条件

B、存储元数据信息

C、声明字符串

D、设置全局变量

【答案】B

【解析】正确答案是B。“meta”部分用于存储规则的元数据信息，如作者、创建日期、

规则描述等，这些信息不影响匹配逻辑。选项A是”condition”部分的功能，选项C是”

strings”部分的功能，选项D不是YARA的标准部分。知识点：YARA规则结构。易错

点：容易混淆”meta”与”condition”部分的功能。

3、以下哪个YARA条件修饰符用于检查字符串是否在文件开头出现？

A、nocase

B、wide

C、offset

D、at

【答案】D

【解析】正确答案是D。“at”修饰符用于指定字符串必须出现在特定偏移量，结合0

可以检查文件开头。选项A”nocase”表示不区分大小写，选项B”wide”表示宽字符匹配，

选项C”offset”用于获取字符串偏移量而非条件判断。知识点：YARA条件修饰符。易错

点：容易混淆”at”与”offset”的功能差异。

2025年信息系统安全专家YARA规则编写与威胁情报应用专题试卷及解析2

4、威胁情报中IOC（IndicatorsofCompromise）最常见的类型不包括？

A、文件哈希值

B、恶意域名

C、攻击者IP地址

D、漏洞CVE编号

【答案】D

【解析】正确答案是D。IOC是可检测的威胁指标，包括文件哈希、域名、IP地址

等，而CVE编号是漏洞标识符，不属于IOC范畴。选项A、B、C都是典型的IOC类

型。知识点：威胁情报基础概念。易错点：容易将漏洞标识符与IOC混淆。

5、YARA规则中”private”关键字的作用是？

A、限制规则仅对特定用户可见

B、标记规则为私有，不公开共享

C、使规则仅在特定条件下生效

D、定义私有字符串变量

【答案】B

【解析】正确答案是B。“private”关键字用于标记规则为私有，通常用于敏感或内部

使用的规则，不会被公开共享。选项A不是YARA功能，选项C是”condition”部分的

功能，选项D不是YARA语法。知识点：YARA规则属性。易错点：容易误解”private”

为访问控制功能。

6、在威胁情报生命周期中，哪个阶段负责将原始数据转化为可操作的情报？

A、收集

B、处理

C、分析

D、传播

【答案】C

【解析】正确答案是C。分析阶段负责将收集和处理后的原始数据转化为有价值的

威胁情报。选项A是获取数据阶段，选项B是数据清洗阶段，选项D是情报分发阶

段。知识点：威胁情报生命周期。易错点：容易混淆处理与分析阶段的功能。

7、YARA规则中”uint16”数据类型表示什么？

A、8位无符号整数

B、16位无符号整数

C、32位