2025年信息系统安全专家勒索软件攻击事件调查与取证技术专题试卷及解析.pdfVIP

2025年信息系统安全专家勒索软件攻击事件调查与取证技术专题试卷及解析1

2025年信息系统安全专家勒索软件攻击事件调查与取证技

术专题试卷及解析

2025年信息系统安全专家勒索软件攻击事件调查与取证技术专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在勒索软件攻击事件调查中，以下哪项是确定攻击初始访问向量最关键的证据

来源？

A、防火墙日志

B、被加密文件的元数据

C、终端设备的系统日志

D、勒索信文本内容

【答案】C

【解析】正确答案是C。终端设备的系统日志（如Windows的EventLog）通常记

录了用户登录、进程创建、文件操作等详细活动，是追踪攻击者如何首次进入系统的最

直接证据。A选项防火墙日志主要记录网络流量，可能无法覆盖所有初始访问方式（如

钓鱼邮件）；B选项被加密文件的元数据只能反映加密时间，无法显示初始访问；D选

项勒索信是攻击结果而非入侵路径。知识点：系统日志取证。易错点：过度依赖网络日

志而忽略终端本地日志的价值。

2、以下哪种勒索软件变种常利用域控制器（DC）的组策略对象（GPO）进行横向

移动？

A、WannaCry

B、LockBit

C、Conti

D、Ryuk

【答案】C

【解析】正确答案是C。Conti团伙以滥用域控GPO批量部署勒索软件著称，其攻

击链中包含通过Mimikatz获取域控权限后修改GPO的操作。A选项WannaCry主要

利用EternalBlue漏洞传播；B选项LockBit虽支持横向移动但更侧重RDP暴力破解；

D选项Ryuk通常与TrickBot等前期恶意软件配合，较少直接操作GPO。知识点：勒

索软件横向移动技术。易错点：混淆不同勒索软件家族的攻击特征。

3、在勒索软件取证中，以下哪项工具最适合用于分析Windows系统的内存镜像？

A、Volatility

B、Wireshark

C、Autopsy

D、FTKImager

2025年信息系统安全专家勒索软件攻击事件调查与取证技术专题试卷及解析2

【答案】A

【解析】正确答案是A。Volatility是专业的内存取证框架，可提取进程列表、网络

连接、注入代码等关键信息，对勒索软件攻击的内存驻留型恶意软件分析至关重要。B

选项Wireshark用于网络流量分析；C选项Autopsy和D选项FTKImager主要针对

磁盘镜像。知识点：内存取证技术。易错点：误将磁盘取证工具用于内存分析。

4、勒索软件攻击中，以下哪种行为最可能导致证据链中断？

A、立即断开受感染设备网络

B、使用磁盘清理工具删除临时文件

C、重启受感染服务器

D、直接支付赎金

【答案】B

【解析】正确答案是B。删除临时文件可能清除勒索软件的执行痕迹、解密密钥或

恶意载荷，导致关键证据永久丢失。A选项断网是正确的应急响应；C选项重启可能丢

失内存数据但不会破坏磁盘证据；D选项支付赎金虽不推荐但不直接影响证据。知识

点：证据保全原则。易错点：忽视临时文件在恶意软件分析中的价值。

5、以下哪项技术能有效防御勒索软件的文件加密行为？

A、数据加密传输

B、文件访问权限最小化

C、定期全盘备份

D、入侵检测系统（IDS）

【答案】B

【解析】正确答案是B。最小化权限可限制勒索软件仅能访问有限目录，降低加密

范围。A选项加密传输仅保护数据传输过程；C选项备份是恢复手段而非防御；D选项

IDS可能检测到异常但无法直接阻止加密。知识点：纵深防御策略。易错点：混淆备份

与主动防御的区别。

6、在勒索软件谈判中，以下哪项是专业调查团队最不建议的行为？

A、要求攻击者提供解密证明

B、透露保险覆盖情况

C、保留所有通信记录

D、验证解密工具有效性

【答案】B

【解析】正确答案是B。透露保险信息可能被攻击者利用抬高赎金。A、C、D均为

标准谈判流程。知识点：勒索事件响应