2025年信息系统安全专家终端检测与响应（EDR）技术专题试卷及解析.pdfVIP

2025年信息系统安全专家终端检测与响应（EDR）技术专题试卷及解析1

2025年信息系统安全专家终端检测与响应（EDR）技术专

题试卷及解析

2025年信息系统安全专家终端检测与响应（EDR）技术专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在EDR系统中，以下哪项技术主要用于实时监控终端行为并检测异常活动？

A、静态代码分析

B、动态行为监控

C、网络流量分析

D、漏洞扫描

【答案】B

【解析】正确答案是B。动态行为监控是EDR的核心技术，通过实时跟踪终端进

程、文件操作和网络连接等行为来检测异常。A选项静态代码分析主要用于开发阶段，

C选项网络流量分析侧重网络层，D选项漏洞扫描是预防性措施。知识点：EDR核心

技术。易错点：混淆EDR与NDR（网络检测与响应）的功能边界。

2、EDR系统通常采用哪种数据采集方式以最小化对终端性能的影响？

A、全量数据采集

B、事件触发式采集

C、定时轮询采集

D、用户手动触发采集

【答案】B

【解析】正确答案是B。事件触发式采集仅在检测到可疑活动时激活，能有效平衡

检测精度与性能开销。A选项全量采集会严重拖慢终端，C选项定时轮询可能遗漏瞬时

攻击，D选项手动触发不适用于自动化防御。知识点：EDR数据采集策略。易错点：忽

视性能与检测能力的权衡。

3、在EDR的威胁狩猎流程中，以下哪项是建立假设的典型依据？

A、随机猜测

B、攻击框架（如MITREATTCK）

C、用户投诉

D、厂商推荐

【答案】B

【解析】正确答案是B。MITREATTCK等攻击框架提供系统化的攻击技术分类，

是威胁狩猎假设的科学依据。A选项缺乏逻辑性，C选项属于被动响应，D选项缺乏针

对性。知识点：威胁狩猎方法论。易错点：混淆被动响应与主动狩猎的区别。

4、EDR系统检测到无文件攻击时，最可能记录的关键证据是？

2025年信息系统安全专家终端检测与响应（EDR）技术专题试卷及解析2

A、磁盘文件哈希

B、内存注入行为

C、网络协议异常

D、注册表修改

【答案】B

【解析】正确答案是B。无文件攻击的核心特征是利用内存执行恶意代码，因此内

存注入行为是核心证据。A选项无文件攻击不依赖磁盘文件，C选项属于网络层特征，

D选项可能被规避。知识点：无文件攻击检测。易错点：过度依赖传统文件检测手段。

5、以下哪项是EDR与传统杀毒软件（AV）的本质区别？

A、检测病毒能力

B、实时监控能力

C、事后溯源能力

D、文件扫描速度

【答案】C

【解析】正确答案是C。EDR的核心价值在于提供攻击链的完整溯源能力，而AV

主要侧重实时拦截。A、B、D选项两者均具备，但深度和广度不同。知识点：EDR与

AV功能对比。易错点：将功能差异误认为本质区别。

6、在EDR的响应阶段，以下哪项操作属于自动化响应？

A、人工分析日志

B、隔离终端网络

C、编写检测规则

D、更新威胁情报

【答案】B

【解析】正确答案是B。网络隔离是典型的EDR自动化响应动作，可快速阻断攻击

扩散。A、C、D选项均需人工干预。知识点：EDR响应机制。易错点：混淆自动化与

半自动化响应场景。

7、EDR系统检测到PowerShell异常执行时，最应关注的指标是？

A、执行频率

B、命令行参数

C、进程ID

D、内存占用

【答案】B

【解析】正确答案是B。恶意PowerShell通常通过特殊参数（如编码、混淆）规避

检测，因此命令行参数是关键分析点。A选项可能存在误报，C、D选项缺乏上下文关

联性。知识点：脚本攻击检测。易错点：忽视命令行内容的深度分析。

2025年信息系统安全专家终端检测与响应（EDR）技术专题试卷及解析