2025年信息系统安全专家EDR在Linux_macOS环境下的应用专题试卷及解析.pdfVIP

2025年信息系统安全专家EDR在LINUX_MACOS环境下的应用专题试卷及解析1

2025年信息系统安全专家EDR在Linux_macOS环境

下的应用专题试卷及解析

2025年信息系统安全专家EDR在Linux_macOS环境下的应用专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在Linux系统中，EDR（端点检测与响应）工具主要通过哪种机制实现对进程

行为的实时监控？

A、定期扫描进程列表

B、利用内核模块hook系统调用

C、分析系统日志文件

D、监控网络流量

【答案】B

【解析】正确答案是B。EDR工具通过内核模块hook系统调用（如execve、open、

write等）实现实时监控，这是最直接高效的进程行为捕获方式。A选项的定期扫描存

在延迟，C选项的日志分析无法实时响应，D选项仅覆盖网络层面。知识点：Linux内

核监控机制。易错点：容易混淆日志分析和实时监控的区别。

2、macOS系统中，EDR工具获取进程树信息最可靠的API是？

A、ps命令输出

B、libproc库的proc_pidinfo

C、/proc文件系统

D、dtrace工具

【答案】B

【解析】正确答案是B。libproc是macOS官方提供的进程信息库，proc_pidinfo可

获取完整的进程树关系。A选项的ps命令输出格式不稳定，C选项的/proc是Linux

特有，D选项的dtrace更适用于性能分析。知识点：macOS进程管理API。易错点：

容易将Linux的/proc机制误用于macOS。

3、针对Linux内存取证，EDR工具通常采用哪种技术避免影响系统稳定性？

A、直接读取/dev/mem

B、利用kprobes动态插桩

C、通过/proc/kcore获取内存快照

D、修改内核页表

【答案】C

【解析】正确答案是C。/proc/kcore提供内核内存的只读快照，是最安全的内存取

证方式。A选项的/dev/mem在现代系统已禁用，B选项的kprobes可能影响性能，D

2025年信息系统安全专家EDR在LINUX_MACOS环境下的应用专题试卷及解析2

选项的页表修改风险极高。知识点：Linux内存取证技术。易错点：容易忽视现代Linux

对/dev/mem的限制。

4、macOS的T2芯片对EDR监控的主要影响是？

A、阻止内核模块加载

B、限制SSD数据访问

C、加密系统内存

D、禁用网络监控

【答案】B

【解析】正确答案是B。T2芯片的SSD控制器加密使得传统磁盘取证失效，EDR

需要通过其他方式获取数据。A选项的内核模块加载仍可进行，C选项的内存加密是

IntelSGX特性，D选项的网络监控不受影响。知识点：AppleT2芯片安全特性。易错

点：容易混淆T2芯片与IntelSGX的功能。

5、Linux系统中，EDR检测无文件攻击最有效的指标是？

A、磁盘文件变化

B、内存中的shellcode特征

C、网络连接异常

D、用户登录行为

【答案】B

【解析】正确答案是B。无文件攻击主要在内存中执行，检测shellcode特征是最直

接的方式。A选项的磁盘文件变化可能不存在，C选项的网络连接可能被隐藏，D选项

的登录行为关联性弱。知识点：无文件攻击检测技术。易错点：容易过度依赖传统文件

监控。

6、macOS系统中，EDR工具绕过SystemIntegrityProtection（SIP）的正确做法

是？

A、禁用SIP保护

B、使用MFI认证的驱动

C、通过EndpointSecurity框架

D、修改nvram变量

【答案】C

【解析】正确答案是C。EndpointSecurity框架是Apple提供的官方EDR接口，无

需禁用SIP。A选项的禁用SIP会降低安全性，B选项的MFI认证不适用，D选项的

nvram修改可能影响系统启动。