2025年信息系统安全专家恶意软件威胁情报分析实战专题试卷及解析.pdfVIP

2025年信息系统安全专家恶意软件威胁情报分析实战专题试卷及解析1

2025年信息系统安全专家恶意软件威胁情报分析实战专题

试卷及解析

2025年信息系统安全专家恶意软件威胁情报分析实战专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在恶意软件逆向工程中，以下哪种技术常用于检测反调试机制？

A、动态插桩

B、静态分析

C、代码混淆

D、APIHooking

【答案】A

【解析】正确答案是A。动态插桩技术通过在运行时监控程序行为，可以有效检测

反调试机制。静态分析（B）无法检测运行时行为，代码混淆（C）是反分析技术而非

检测技术，APIHooking（D）主要用于拦截API调用。知识点：反调试技术检测方法。

易错点：混淆动态分析与静态分析的应用场景。

2、以下哪种恶意软件家族主要利用宏文档进行传播？

A、WannaCry

B、Emotet

C、Stuxnet

D、Mirai

【答案】B

【解析】正确答案是B。Emotet以宏文档为主要传播载体，WannaCry（A）利用漏

洞传播，Stuxnet（C）针对工业控制系统，Mirai（D）主要感染IoT设备。知识点：恶

意软件传播方式。易错点：混淆不同恶意软件的攻击向量。

3、在威胁情报分析中，IOC（IndicatorsofCompromise）通常不包括以下哪项？

A、恶意IP地址

B、恶意域名

C、攻击者动机

D、文件哈希值

【答案】C

【解析】正确答案是C。IOC是可量化的技术指标，攻击者动机属于TTP（战术、

技术和程序）范畴。知识点：威胁情报分类。易错点：混淆IOC与TTP的概念。

4、以下哪种加密算法最常被勒索软件使用？

A、DES

B、RSA

2025年信息系统安全专家恶意软件威胁情报分析实战专题试卷及解析2

C、AES

D、MD5

【答案】C

【解析】正确答案是C。AES因其高效性和安全性被广泛用于勒索软件文件加密，

RSA（B）通常用于密钥交换，DES（A）已被淘汰，MD5（D）是哈希算法。知识点：

勒索软件加密技术。易错点：混淆对称与非对称加密的应用场景。

5、沙箱分析主要用于检测恶意软件的哪种行为？

A、静态特征

B、网络通信

C、运行时行为

D、代码结构

【答案】C

【解析】正确答案是C。沙箱通过模拟环境观察恶意软件的运行时行为，静态特征

（A）和代码结构（D）需静态分析，网络通信（B）只是运行时行为的一部分。知识点：

恶意软件动态分析技术。易错点：混淆静态分析与动态分析的目标。

6、以下哪种技术常用于对抗机器学习检测？

A、多态变形

B、代码签名

C、进程注入

D、权限提升

【答案】A

【解析】正确答案是A。多态变形通过改变代码特征规避机器学习检测，代码签名

（B）用于伪装合法性，进程注入（C）和权限提升（D）是攻击技术而非对抗技术。知

识点：机器学习对抗技术。易错点：混淆攻击技术与对抗技术的区别。

7、在APT攻击中，以下哪个阶段最可能涉及恶意软件投放？

A、侦察

B、武器化

C、交付

D、安装

【答案】C

【解析】正确答案是C。交付阶段负责将恶意软件投放到目标系统，武器化（B）是

制作恶意软件，安装（D）是在目标系统建立持久化。知识点：APT攻击生命周期。易

错点：混淆武器化与交付的阶段划分。

8、以下哪种工具最适合用于内存取证分析？

A、Wireshark

2025年信息系统安全专家恶意软件威胁情报分析实战专题试卷及解析3

B、Volatility