安全调查技巧实践测试.docxVIP

安全调查技巧实践测试

考试时间：______分钟总分：______分姓名：______

一、情景模拟题

你所在公司的服务器部门报告，一台处理敏感客户数据的Windows服务器出现异常，后台日志显示有多次登录失败记录，且系统时间被多次修改。同时，网络流量分析显示有外部IP地址在尝试建立与该服务器上未知端口（9999）的连接。作为安全团队的调查员，请描述你将如何启动和执行此安全事件的初步调查。

二、技能应用题

1.你需要从一台被怀疑感染勒索软件的终端上获取证据。该终端正在运行，并且无法确定是否已被清理。请列出你在进行数字取证证据收集前，需要考虑并执行的关键步骤，并说明原因。

2.你正在调查一起疑似内部人员下载公司机密文件的行为。你获得了过去一个月该员工的上网行为记录报告，其中包含大量的正常业务访问和几次对非工作时间的云存储服务的访问。报告中还提到该员工近期有离职意向。请描述你将如何分析这份报告，以判断是否存在安全事件，并说明你需要关注哪些关键点。

3.为了了解员工对最新数据泄露事件的认知程度以及安全意识水平，你需要设计一个简短的调查问卷。请列举至少三个你会在问卷中包含的问题，并说明选择这些问题的原因。

三、理论与原则题

1.在安全调查过程中，如果需要临时访问加密的硬盘数据以获取紧急证据，但缺少解密密钥，调查员可以采取哪些方法尝试获取数据？请至少列举三种方法，并简述其可能的有效性和局限性。

2.解释“证据链完整性”在数字取证中的重要性。如果在证据收集过程中，发现原始介质被不当移动过，这对证据链完整性意味着什么？调查员应如何处理这种情况？

3.当调查人员需要从第三方（如云服务提供商、互联网服务提供商）获取与安全事件相关的日志或数据时，通常需要遵循哪些步骤？请描述这一过程的关键环节。

四、分析与判断题

```

[2023-10-2709:15:30]EventID4625:Anaccountfailedtologon.

Source:Security

LogonType:3(Network)

AccountName:user123

WorkstationName:SERVER01

FailureReason:BadPassword

SourceIPAddress:192.168.1.100

[2023-10-2709:20:45]EventID7036:TheserviceWinlogononcomputerSERVER01didnotstartduetothefollowingerror:Theservicedidnotstartduetoalogonfailure.

Source:ServiceControlManager

ErrorCode:0x800706D8

[2023-10-2709:25:10]EventID1074:Theprocesslsass.exeoncomputerSERVER01terminatedunexpectedly.

Source:System

ErrorCode:0xC0000142

[2023-10-2709:30:00]EventID6005:Theprevioussystemshutdownwasunexpected.

Source:Kernel-Power

ErrorCode:0xC000009F

```

请分析以上日志片段，描述可能发生的实际情况，并指出其中存在的可疑点或需要进一步调查的方向。

五、报告撰写题

假设你完成了对上述情景模拟题中描述的服务器异常事件的初步调查。你发现了一些可疑的登录尝试、系统时间修改痕迹，并通过网络流量分析确定了尝试连接的外部IP地址（例如203.0.113.5）。初步判断可能存在未授权访问或恶意软件活动。请根据你的初步调查发现，撰写一份简要的调查报告摘要，内容应包括：调查背景、已执行的主要调查步骤、关键发现、当前结论以及下一步建议。

试卷答案

一、情景模拟题答案与解析

答案：

启动调查时，首先确认事件响应流程，通知相关人员，隔离受影响服务器（如可能）以防止进一步损害，并记录时间。接着，收集初步信息，包括服务器配置、受影响的系统和服务、已知攻击者信息（如有）。启动日志收集，重点是安全日志（System,Security）、应用程序日志、DNS/VPN日志以及系统备份（如适用）。使用工具（如Windows内置工具或第三方工具）检查系统文件完整性（如使