2025年信息系统安全专家威胁狩猎方法论与主动木马发现专题试卷及解析.pdfVIP

2025年信息系统安全专家威胁狩猎方法论与主动木马发现专题试卷及解析1

2025年信息系统安全专家威胁狩猎方法论与主动木马发现

专题试卷及解析

2025年信息系统安全专家威胁狩猎方法论与主动木马发现专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在威胁狩猎过程中，安全分析师最核心的假设前提是什么？

A、所有已知威胁都已部署防御措施

B、网络中已存在未被发现的威胁

C、日志数据100%完整准确

D、自动化工具能替代人工分析

【答案】B

【解析】正确答案是B。威胁狩猎的本质是基于”假设驱动”的方法，其核心假设是网

络中已存在绕过传统防御措施的未知威胁。A选项错误，威胁狩猎正是为了发现传统防

御无法覆盖的威胁；C选项过于理想化，实际狩猎需在不完整数据中寻找线索；D选项

错误，自动化是辅助手段，无法完全替代分析师的直觉和经验。知识点：威胁狩猎基本

理念。易错点：容易将威胁狩猎与被动防御混淆。

2、下列哪项技术最适合用于发现内存中的无文件木马？

A、静态文件特征扫描

B、基于行为的内存取证分析

C、网络流量基线检测

D、磁盘完整性校验

【答案】B

【解析】正确答案是B。无文件木马不写入磁盘，仅存在于内存中，因此需要通过

内存取证分析其行为特征。A和D选项依赖磁盘文件，对无文件攻击无效；C选项虽

能检测部分网络行为，但无法直接定位内存中的恶意代码。知识点：无文件攻击检测技

术。易错点：容易忽视内存取证的重要性。

3、MITREATTCK框架中，“T1059.001CommandandScriptingInterpreter:Pow-

erShell”最可能关联的攻击阶段是？

A、初始访问

B、执行

C、持久化

D、数据渗出

【答案】B

【解析】正确答案是B。PowerShell是攻击者常用的执行手段，属于ATTCK框架

中的”Execution”战术。A选项通常利用漏洞或钓鱼；C选项涉及注册表、计划任务等；

2025年信息系统安全专家威胁狩猎方法论与主动木马发现专题试卷及解析2

D选项关注数据传输。知识点：ATTCK战术技术映射。易错点：容易混淆不同战术

下的具体技术。

4、在主动木马发现中，“蜜罐”技术的主要作用是？

A、修复已知漏洞

B、诱捕攻击者行为

C、加密敏感数据

D、过滤恶意流量

【答案】B

【解析】正确答案是B。蜜罐通过模拟真实系统或服务，诱骗攻击者交互，从而收

集其工具、手法和行为特征。A选项是漏洞管理范畴；C选项属于数据保护；D选项是

防火墙功能。知识点：蜜罐技术原理。易错点：容易将蜜罐与主动防御混淆。

5、威胁狩猎中，“假设生成”阶段最需要依赖？

A、自动化脚本

B、威胁情报

C、硬件设备

D、法律合规要求

【答案】B

【解析】正确答案是B。威胁情报为假设生成提供攻击趋势、TTPs等关键信息，是

狩猎方向的重要依据。A选项是执行工具；C选项是基础设施；D选项是约束条件而非

输入。知识点：威胁狩猎流程。易错点：容易忽视情报在假设阶段的作用。

6、检测”进程注入”木马行为时，最有效的日志源是？

A、DNS查询日志

B、Web访问日志

C、系统调用日志

D、防火墙日志

【答案】C

【解析】正确答案是C。进程注入涉及底层系统调用（如CreateRemoteThread），系

统调用日志能直接记录此类行为。A和B选项关注网络层面；D选项记录流量而非进

程行为。知识点：进程注入检测技术。易错点：容易混淆不同日志源的适用场景。

7、在威胁狩猎中，“基线偏离”分析主要针对？

A、已知恶意IP

B、异常行为模式

C、漏洞利用特征

D、加密算法强度

【答案】B

2025年信息系统安全专家威胁狩猎方法论与主动木马发现专题试卷及解析