2025年信息系统安全专家固件与BIOS_UEFI级木马的检测与清除专题试卷及解析.pdfVIP

2025年信息系统安全专家固件与BIOS_UEFI级木马的检测与清除专题试卷及解析1

2025年信息系统安全专家固件与BIOS_UEFI级木马的

检测与清除专题试卷及解析

2025年信息系统安全专家固件与BIOS_UEFI级木马的检测与清除专题试卷及解

析

第一部分：单项选择题（共10题，每题2分）

1、在UEFI固件安全启动过程中，用于验证固件组件完整性的核心机制是？

A、TPM芯片

B、SecureBoot签名验证

C、ACPI表

D、SMM模式

【答案】B

【解析】正确答案是B。SecureBoot通过验证固件组件的数字签名来确保其完整性，

是UEFI安全启动的核心机制。A选项TPM芯片主要用于密钥存储和远程证明，不直

接参与固件验证；C选项ACPI表是系统配置接口，与安全验证无关；D选项SMM是

系统管理模式，可能被木马利用但不是验证机制。知识点：UEFI安全启动机制。易错

点：混淆TPM与SecureBoot的功能。

2、BIOS/UEFI级木马最隐蔽的持久化方式是？

A、修改MBR引导扇区

B、感染操作系统内核

C、植入SPIFlash固件

D、篡改注册表启动项

【答案】C

【解析】正确答案是C。SPIFlash固件存储在主板芯片中，独立于操作系统，是

BIOS/UEFI木马最隐蔽的持久化位置。A选项MBR属于传统引导方式，现代系统较

少使用；B选项内核级木马会被操作系统检测；D选项注册表启动项容易被安全软件发

现。知识点：固件级木马持久化技术。易错点：误认为MBR比固件更隐蔽。

3、检测UEFI固件木马最有效的方法是？

A、运行杀毒软件全盘扫描

B、对比固件哈希值

C、检查系统日志

D、监控网络流量

【答案】B

【解析】正确答案是B。固件哈希值对比能直接发现固件内容篡改，是检测固件木

马的金标准。A选项杀毒软件无法扫描固件区域；C选项系统日志可能被木马篡改；D

2025年信息系统安全专家固件与BIOS_UEFI级木马的检测与清除专题试卷及解析2

选项网络流量只能发现行为异常。知识点：固件完整性验证技术。易错点：依赖传统安

全工具检测固件威胁。

4、LoJax恶意程序的主要特点是？

A、利用CPU漏洞

B、感染UEFI固件

C、通过邮件传播

D、加密用户文件

【答案】B

【解析】正确答案是B。LoJax是首个公开的UEFI固件级木马，能持久化存在于

固件中。A选项CPU漏洞如熔断/幽灵属于不同类型威胁；C选项邮件传播是传统恶

意软件特征；D选项加密文件是勒索软件行为。知识点：著名固件木马案例。易错点：

混淆不同类型恶意软件的特征。

5、清除BIOS/UEFI木马最彻底的方法是？

A、重装操作系统

B、运行系统还原

C、刷写官方固件

D、格式化硬盘

【答案】C

【解析】正确答案是C。刷写官方固件能彻底替换被篡改的固件内容。A选项重装

系统无法清除固件木马；B选项系统还原不涉及固件层；D选项格式化硬盘对固件无

效。知识点：固件木马清除技术。易错点：误认为重装系统能解决所有问题。

6、UEFI固件中的DXE阶段主要负责？

A、硬件初始化

B、执行安全验证

C、加载操作系统

D、建立执行环境

【答案】D

【解析】正确答案是D。DXE（驱动执行环境）阶段负责建立系统执行环境并加载

驱动。A选项硬件初始化主要在PEI阶段；B选项安全验证在SEC阶段；C选项加载

操作系统在BDS阶段。知识点：UEFI启动流程。易错点：混淆UEFI各阶段功能。

7、SPIFlash编程器在固件安全中的作用是？

A、验证固件签名

B、提取和重写固件

C、监控固件行为

D、加密固件数据

2025年信息系统安全专家固件与BIOS_UEFI级木马的检测与清除专题试卷及解析3

【答案】B

【解析】正确答案是B。SPI编程器能直接读写固件芯片，用于固件提取和修复。A