2025年信息系统安全专家内存中的用户凭证与密钥提取专题试卷及解析.pdfVIP

2025年信息系统安全专家内存中的用户凭证与密钥提取专题试卷及解析1

2025年信息系统安全专家内存中的用户凭证与密钥提取专

题试卷及解析

2025年信息系统安全专家内存中的用户凭证与密钥提取专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在Windows系统中，攻击者最常利用哪个工具来从LSASS进程内存中提取用

户凭证？

A、TaskManager

B、ProcDump

C、Mimikatz

D、Wireshark

【答案】C

【解析】正确答案是C。Mimikatz是专门用于从Windows内存中提取密码、哈希、

Kerberos票据等凭证的著名工具。A选项TaskManager是系统任务管理器，不具备凭

证提取功能；B选项ProcDump是微软官方的进程转储工具，虽然可以转储内存但不

是专门用于凭证提取；D选项Wireshark是网络协议分析工具。知识点：Windows凭

证提取工具。易错点：容易混淆ProcDump和Mimikatz的功能定位。

2、Linux系统中，哪个目录通常包含用户的明文密码或哈希值？

A、/etc/passwd

B、/etc/shadow

C、/var/log

D、/tmp

【答案】B

【解析】正确答案是B。/etc/shadow文件专门存储用户密码的哈希值，只有root

用户可读。A选项/etc/passwd只包含用户基本信息，现代系统已不存储密码；C选

项/var/log是日志目录；D选项/tmp是临时文件目录。知识点：Linux密码存储机制。

易错点：容易误选/etc/passwd，因为历史版本中该文件曾存储密码。

3、在内存取证中，“dumping”操作指的是什么？

A、删除内存数据

B、将内存内容保存到磁盘

C、加密内存数据

D、压缩内存数据

【答案】B

【解析】正确答案是B。内存dumping是将内存中的完整或部分内容复制保存到磁

盘文件的过程，用于后续分析。A选项是清除操作；C选项是加密操作；D选项是压缩

2025年信息系统安全专家内存中的用户凭证与密钥提取专题试卷及解析2

操作。知识点：内存取证基本操作。易错点：容易混淆dumping与其他内存操作术语。

4、Kerberos票据通常存储在内存的哪个区域？

A、堆栈

B、堆

C、LSASS进程内存

D、内核内存

【答案】C

【解析】正确答案是C。Windows系统中Kerberos票据存储在LSASS(LocalSecurity

AuthoritySubsystemService)进程内存中。A选项堆栈存储局部变量；B选项堆存储动

态分配数据；D选项内核内存存储系统核心数据。知识点：Kerberos票据存储位置。易

错点：容易忽略LSASS进程的特殊作用。

5、以下哪种技术可以有效防止内存中的凭证被提取？

A、磁盘加密

B、网络加密

C、凭证保护(CredentialGuard)

D、防火墙

【答案】C

【解析】正确答案是C。WindowsCredentialGuard使用虚拟化技术将凭证隔离存

储，防止内存提取。A选项磁盘加密只保护存储数据；B选项网络加密保护传输数据；

D选项防火墙控制网络访问。知识点：Windows安全防护技术。易错点：容易混淆不同

安全技术的防护范围。

6、在内存取证中，Volatility工具主要用于什么？

A、实时监控

B、内存分析

C、网络扫描

D、漏洞利用

【答案】B

【解析】正确答案是B。Volatility是著名的内存取证分析框架，用于分析内存转储

文件。A选项是监控工具功能；C选项是网络工具功能；D选项是渗透测试工具功能。

知识点：内存取证工具。易错点：容易将Volatility与其他安全工具功能混淆。

7、SSH私钥通常以