2025年信息系统安全专家无文件攻击与Living-off-the-Land木马检测专题试卷及解析.pdfVIP

2025年信息系统安全专家无文件攻击与LIVINGOFFTHELAND木马检测专题试卷及解析1

2025年信息系统安全专家无文件攻击与

LivingofftheLand木马检测专题试卷及解析

2025年信息系统安全专家无文件攻击与LivingofftheLand木马检测专题试卷及解

析

第一部分：单项选择题（共10题，每题2分）

1、在无文件攻击中，攻击者最常利用的合法系统工具是？

A、第三方杀毒软件

B、WindowsManagementInstrumentation(WMI)

C、自定义开发的恶意软件

D、加密通信协议

【答案】B

【解析】正确答案是B。WMI是Windows内置的管理框架，攻击者常利用其进行

横向移动、持久化和权限提升，因为它能绕过传统基于签名的检测。A选项第三方杀毒

软件通常是被攻击目标而非利用工具；C选项自定义恶意软件属于传统攻击方式，不符

合无文件攻击特征；D选项加密通信主要用于C2通信而非攻击执行。知识点：无文件

攻击利用合法系统工具的特性。易错点：混淆攻击工具与通信手段。

2、LivingofftheLand(LotL)攻击的主要优势是？

A、需要高权限才能执行

B、依赖网络连接

C、难以被传统杀毒软件检测

D、必须安装额外软件

【答案】C

【解析】正确答案是C。LotL攻击利用系统自带工具，行为与正常操作相似，传统

基于签名的检测难以识别。A选项高权限并非必要条件；B选项网络连接不是必须的；

D选项与LotL定义矛盾。知识点：LotL攻击的隐蔽性原理。易错点：误认为LotL需

要特殊权限或工具。

3、以下哪种行为最可能表明存在无文件攻击？

A、大量PDF文件下载

B、PowerShell进程异常频繁启动

C、系统更新失败

D、浏览器缓存增长

【答案】B

【解析】正确答案是B。PowerShell是LotL攻击常用工具，异常频繁启动可能表示

恶意脚本执行。A选项PDF下载属于正常行为；C选项系统更新可能是技术问题；D

2025年信息系统安全专家无文件攻击与LIVINGOFFTHELAND木马检测专题试卷及解析2

选项缓存增长是正常现象。知识点：无文件攻击的行为特征。易错点：将正常系统活动

误判为攻击。

4、检测LotL木马时，最有效的技术是？

A、静态文件扫描

B、行为分析和异常检测

C、端口扫描

D、密码策略审计

【答案】B

【解析】正确答案是B。LotL木马不依赖文件，行为分析能捕捉其异常操作模式。A

选项静态扫描无效；C选项端口扫描针对网络攻击；D选项密码审计与木马检测无关。

知识点：LotL木马的检测方法。易错点：依赖传统检测手段。

5、无文件攻击中，攻击者常利用的持久化机制是？

A、注册表Run键

B、浏览器插件

C、桌面快捷方式

D、系统日志

【答案】A

【解析】正确答案是A。注册表Run键是常见持久化手段，无需文件落地。B、C

选项需要文件；D选项日志用于记录而非持久化。知识点：无文件攻击的持久化技术。

易错点：混淆持久化与正常系统功能。

6、以下哪种工具最常用于LotL攻击中的横向移动？

A、SQLServer

B、PsExec

C、Wireshark

D、VirtualBox

【答案】B

【解析】正确答案是B。PsExec是微软官方工具，常被用于横向移动。A选项SQL

Server用于数据库；C选项Wireshark用于网络分析；D选项VirtualBox是虚拟化软

件。知识点：LotL攻击中的横向移动工具。易错点：误将非系统工具归类为LotL。

7、无文件攻击与LotL攻击的核心区别是？

A、是否使用加密

B、是否依赖文件

C、是否需要网络

D、是否利用漏洞

【答案】B

2025年信息系统安全专家无文件攻击与LIVINGOFFTHELAND木马检测专题试卷及解析3

【解析】正确答案是B。无文件攻击不依赖文件，而LotL特指利用合法工具。A、

C、D选项非