2025年信息系统安全专家移动端威胁狩猎案例分析专题试卷及解析.pdfVIP

2025年信息系统安全专家移动端威胁狩猎案例分析专题试卷及解析1

2025年信息系统安全专家移动端威胁狩猎案例分析专题试

卷及解析

2025年信息系统安全专家移动端威胁狩猎案例分析专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在移动端威胁狩猎中，以下哪项技术最常用于检测Android设备上的恶意软件

动态行为？

A、静态代码分析

B、沙箱环境模拟

C、数字签名验证

D、权限清单审查

【答案】B

【解析】正确答案是B。沙箱环境模拟通过在隔离环境中运行可疑应用，实时监控

其行为（如网络连接、文件操作等），是检测动态行为的核心技术。A选项静态分析无

法观察运行时行为；C选项数字签名验证仅能验证应用来源，无法检测恶意行为；D选

项权限审查属于静态检测手段，无法覆盖动态威胁。知识点：动态行为检测技术。易错

点：混淆静态分析与动态分析的应用场景。

2、某iOS设备频繁出现异常耗电和发热，威胁狩猎团队应优先检查以下哪个组件？

A、系统日志

B、电池使用统计

C、网络流量记录

D、应用崩溃报告

【答案】B

【解析】正确答案是B。电池使用统计能直接反映后台异常活动（如恶意软件持续

运行），是排查资源异常消耗的首选。A选项系统日志信息量大但针对性弱；C选项网

络流量可能不涉及本地资源消耗；D选项崩溃报告与耗电无直接关联。知识点：移动设

备资源监控。易错点：忽视电池统计在威胁狩猎中的快速定位价值。

3、针对移动端零日漏洞利用，以下哪种狩猎策略最有效？

A、基于特征码的检测

B、行为异常建模

C、定期系统更新

D、应用商店白名单

【答案】B

【解析】正常答案是B。零日漏洞无已知特征码，行为异常建模通过学习正常行为

模式可识别未知威胁。A选项特征码检测对零日漏洞无效；C选项系统更新属于预防而

2025年信息系统安全专家移动端威胁狩猎案例分析专题试卷及解析2

非狩猎；D选项白名单无法覆盖漏洞利用链。知识点：零日漏洞应对策略。易错点：过

度依赖传统特征检测手段。

4、在Android威胁狩猎中，以下哪个权限最可能被间谍软件滥用？

A、CAMERA

B、READ_CONTACTS

C、SYSTEM_ALERT_WINDOW

D、ACCESS_FINE_LOCATION

【答案】C

【解析】正确答案是C。SYSTEM_ALERT_WINDOW权限允许应用覆盖其他界

面，常被间谍软件用于实施钓鱼或监控。A、B、D权限虽敏感但需用户主动触发，而

C权限可隐蔽操作。知识点：高风险权限识别。易错点：忽视非直观权限的潜在危害。

5、移动端威胁狩猎中，以下哪项数据源最能反映横向移动行为？

A、应用安装记录

B、蓝牙连接日志

C、短信发送历史

D、GPS轨迹数据

【答案】B

【解析】正确答案是B。蓝牙日志可记录设备间通信，是检测横向移动（如通过蓝

牙传播的恶意软件）的关键。A选项安装记录反映本地变化；C选项短信可能被用于远

程控制但非横向移动；D选项GPS与设备间通信无关。知识点：移动端横向移动检测。

易错点：混淆远程控制与横向移动的区别。

6、针对移动端Root/Jailbreak检测，以下哪种方法最可靠？

A、检查系统文件完整性

B、扫描已知越狱工具

C、执行特权命令测试

D、分析应用沙箱状态

【答案】C

【解析】正确答案是C。特权命令测试（如执行su命令）直接验证设备是否已被破

解，结果最准确。A选项文件可能被伪装；B选项无法覆盖未知工具；D选项沙箱状态

可能被篡改。知识点：设备完整性验证。易错点：依赖间接检测手段。

7、在移动端威胁狩猎中，以下哪种技术最适用于检测内存驻留型恶意软件？

A、磁盘镜像分析

B、运行时内存扫描

C、网络流量审计

D、应用行为监控

2025年信息系统安全专家移动端威胁狩猎案例分析专题试卷及