2025年信息系统安全专家应急响应中的恶意代码分析专题试卷及解析.pdfVIP

2025年信息系统安全专家应急响应中的恶意代码分析专题试卷及解析1

2025年信息系统安全专家应急响应中的恶意代码分析专题

试卷及解析

2025年信息系统安全专家应急响应中的恶意代码分析专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在应急响应中，分析人员发现某恶意样本通过修改系统引导扇区实现持久化驻

留，这种技术属于哪类恶意代码行为？

A、文件加密

B、引导区感染

C、进程注入

D、网络钓鱼

【答案】B

【解析】正确答案是B。引导区感染是恶意代码通过修改系统引导扇区（如MBR或

VBR）来实现持久化驻留和激活的技术。A选项文件加密是勒索软件的典型行为；C选

项进程注入是恶意代码将自身代码注入到合法进程中的技术；D选项网络钓鱼是攻击

者通过伪造邮件或网站诱骗用户泄露敏感信息的社会工程学手段。知识点：恶意代码持

久化技术。易错点：容易将引导区感染与文件型病毒混淆，后者主要感染可执行文件而

非引导扇区。

2、在分析某恶意样本时，发现其使用了”API哈希”技术来隐藏对敏感WindowsAPI

的调用，这种技术主要目的是什么？

A、提高代码执行效率

B、绕过静态特征检测

C、增强网络通信加密

D、实现多平台兼容

【答案】B

【解析】正确答案是B。API哈希技术通过计算目标API名称的哈希值而非直接使

用API名称，可以有效规避基于字符串特征的静态检测。A选项提高执行效率是次要

效果而非主要目的；C选项网络加密通常使用SSL/TLS等协议；D选项多平台兼容需

要使用跨平台API。知识点：恶意代码反分析技术。易错点：容易混淆API哈希与代

码混淆技术，后者是对整个代码段进行变换。

3、应急响应团队在分析某勒索软件时，发现其加密文件后扩展名变为”.locked”，且

勒索信息中包含比特币支付地址，这最可能是哪种勒索软件家族的特征？

A、WannaCry

B、Petya

C、Locky

2025年信息系统安全专家应急响应中的恶意代码分析专题试卷及解析2

D、CryptoLocker

【答案】C

【解析】正确答案是C。Locky勒索软件家族以使用”.locked”扩展名和比特币支付为

典型特征。A选项WannaCry使用”.wnry”扩展名；B选项Petya是加密引导区的勒索

软件；D选项CryptoLocker早期版本使用”.crypt”扩展名。知识点：勒索软件家族特征

识别。易错点：需要区分不同勒索软件家族的扩展名特征，这些特征会随变种更新而变

化。

4、在分析某恶意样本的网络行为时，发现其使用DNS隧道进行数据回传，这种技

术的主要优势是什么？

A、提高传输速度

B、绕过防火墙检测

C、减少带宽占用

D、增强数据完整性

【答案】B

【解析】正确答案是B。DNS隧道通过将数据封装在DNS查询中，可以绕过大多

数防火墙的检测，因为DNS流量通常被允许通过。A选项DNS隧道实际传输速度较

慢；C选项会增加DNS查询流量；D选项与数据完整性无关。知识点：恶意代码网络

通信技术。易错点：容易忽视DNS协议在企业网络中的特殊地位，它常被恶意代码利

用作为隐蔽通道。

5、应急响应人员在分析某恶意样本时，发现其使用了”进程镂空”（ProcessHollowing）

技术，这种技术的主要目的是什么？

A、隐藏恶意代码文件

B、绕过行为检测系统

C、实现权限提升

D、加密通信数据

【答案】B

【解析】正确答案是B。进程镂空技术通过在合法进程内存空间中执行恶意代码，可

以绕过基于进程行为特征的检测系统。A选项隐藏文件通常使用文件系统隐藏技术；C

选项权限提升需要利用系统漏洞；D选项加密通信需要使用加密协议。知识点：恶意代

码进程注入技术。易错点：容易混淆进程镂空与进程替换技术，后者是直接替换进程映

像。

6、在分析某恶意样本时，发现其使用了”时间炸弹”（TimeBom