应急响应
应急
以下对于Sysmon事件ID描述错误的是? 0 (1分) A. Event ID 12: RegistryEvent (Object create and delete)注册表事件 B. Event ID 3: Network connection网络连接 C. Event ID 1: Process creation进程创建 D. Event ID 10: ProcessAccess文件访问
Sysmon那个Event ID那个记录文件创建事件( ) A. Event ID 3 B. Event ID 1 C. Event ID 22 D. Event ID 11 Sysmon那个Event ID那个记录网络连接事件() ( 1分) A. Event ID 1 B. EventID 11 C. EventID 22 D. Event ID 3 Sysmon那个EventID那个记录进程创建()(1分) A.EventID 3 B.eventID 22 C eventID 1 D.EventID11
Sysmon那个EventID那个记录DNS查询()(1分) A.EventID22 B.EventID3 C.Event ID1 D.Event ID 11 下列哪项是正确的情报分析流程? ( 1分) A.确认告警信息 分析威胁情报 匹配网络攻击行为是否存在交互信息 B.确认告警信息 四配网络攻击行为分析威胁情报是否存在交互信息 C.分析威胁情报匹配网络攻击行为确认告警信息-是否存在交互信息 D.分析威胁情报确认告警信息匹配网络攻击行为是否存在交互信息
下列对于远控木马描述正确的是? ( 1分) A.是一种入侵计算机系统并植入挖矿机赚取加密数字货币获利的病毒。 B. 是种恶意程序,其中包括在目标计算机上用于管理控制的后门。木马通常与用户请求的程序(如游戏程序)-起, 是一种看不见的下载,或作为电子邮件附件发送。 C.是一种可以利用各种加密算法对文件进行加密,被感染者般无法解密 ,必须拿到解密的私钥才有可能破解。 D.是种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一-旦感染将给用户带来无法估量的损失。
以下wireshark操作描述不正确的是? ( ( 1分) A.过滤MAC mac.dst = =A0:00:00:04:C5:84 B.过滤源IP ip.src == x.x.x.X C.过滤get包http.request.method=="GET" D.过滤端口tcp.port eq 80 or udp.port eq 80
PCHunter中校验数字签名里面各种颜色描述错误的是? 0 ( 1分) A.红色:驱动检测到的可疑对象,隐藏服务、进程、被挂钩函数; B.蓝色:非微软签名的驱动程序; C.黑色:微软签名的驱动程序; D.紫色:非微软签名的内核驱动;
PCHunter中以下不包含部一类功能? 0 (1分) A内核 B.进程 C.网络 D.杀毒 (Windows)使用什么命令可计算样本的MD5?(1分) A.certutil -hash%样本exe% B.certutil %样本exe% MD5 C.certutil -hashfile%样本exe% MD5 D.certutil -hash%样本exe% MD5 Windows日志中SMB远程登录,登录类型为? A.5 B.2 C.3 D.10 关于Windows日志登录失败的事件ID是()1分) A4720 B.4625 C.4634 D.4624 widows系统日志的默认位置是?(1分) A.%SystemRoot%System32WinevtLogsSystem.evtx B.system321Winevt/Log C./var/account/pacct D.%SystemRoot%System32 以下哪项不是windows的相关日志? ( 分) A Sotfware B. System C Security D Setup 交互式登录(用户从控制台登录)的登录类型为?(1分) A5 B.3 C.4 D.2 小明在一次应急过程中查看Windows登录日志发现在登录成功日志中直看到登录类型为2,请问此方式登录为? A解锁登录 B.交互式登录 C.网络登录 D.服务登录 应急响应过程中,关于计划任务,下列错误的是( 1分) A.会引起特定事件间隔触发木马,后门,DNS请求等 B.判断是否存在周期性出现的异常现象,检查/var/spool/cron/crontabs/ ./etc/cron.等常用计划任务配置文件 C.会将后门,木马持久化在系统当中,周期性复发 D.停止计划任务服务后无需再进行操作
在处理Linux操作系统应急过程中发现某命令被替换了,应该使用( )工具来进行处理 A. preload B. tyton C. dpkg D. busybox
关于Linux时间戳描述正确的是? 0(1分) A atime (访问时间) mtime (修改如时间) ctime (元数据变化时间) B. ctime (访问时间) atime (修改时间) mtime (元数据变化时间) C. ctime (访回时间) mtime (修改时间) atime (元数据交化时间) D. mtime (访问时间) atime (修改时间) ctime (元数据变 化时间) Linux中列出某个用户cron服务的详细内容命令为? ( 1分) A. crontab -r B. crontab d C. crontab -l D. crontab -e 在linux操作系统中,禁用可疑账号的命令为?(1分) A useradd-M user B.usermod -M user C.useradd-Luser D.usermod -L user (lsof)查看pid对应的可执行程序的命令是() ( 1分) A. Isof -a pid B. Isof -b pid C. Isof C pid D. Isof -p pid
(lsof)查看8080端口是哪个进程打开的命令是() ( 1分) A. Isof -a:8080 B. Isof p:8080 C. Isof -i:8080 D. Isof s:8080 (lsof)查有root用户启动了什么进程的命令是() (1分) A.lsof-iroot B. Isof -uroot C. Isof -d root D. Isof :p root 以下对Linux常见命令描述不正确的是?0(1分) A.who查看当前登录用(tty本地登陆pts远程登录) B.last显示用户最近登录信息 C.W查看系统信息,想知道某一时刻用户的行为 D.uptime查看系统时间 通过find命令查看一天内访问/opt下的文件正确命今是?06 D A. find /opt -iname"-atime +1 -type1 B.find /opt -iname "" -atime 2 -type f C. find /opt -iname"" -atime 1 -type f D. find /opt -iname"" -atime -1 -type f 威胁情报(ioc)不包括下列哪种类型? ( 1分) A邮箱 B. QQ C.域名 D.IP
挖矿木马中矿工网不包括下列哪项?(1分) A矿机 B.矿池 C.钱包 D.肉鸡
对于挖矿病毒,常见的挖矿协议不包据下 B A.STRATUM B.POP C.GETWORK D. Getblocktemplate 以下哪项不属于挖矿病毒特征(1分) A隐蔽性强 B.能够加密文件 C.能够内网横向传播 D.CPU占比高
下列哪项可能是勒索病毒加密后的后缀?(1分) Arar B..alco C..zip D..word 下列关于勒索病毒修复建议描述是错误的?(1分) A.关闭网络共享端口 B.及时更新官方最新补丁 C.关闭高危端口如135/137/139/445等端口 D.关闭主机,之后永不开机 发现后门程序njRat通信行为的攻击特征是什么? A.VHJvamFuXOMONkY2RTk= B.vhhskvnssksfj= C.KIDJGidhcnjcxnxj D.REDhcjsdn
其他 下列哪些是文件上传中黑名单过滤绕过方式 ABD A大小写绕过 B.上传黑名单中没有的扩展名文 C.修改黑名单过滤内容 D.修改配置文件下 下列哪项能准确判断文件上传成功的是? A. 响应内容有返回文件上传的路径 B. 响应状态码为200 C. 响应内容有“上传成功”的文字 D. 响应状态码为302
下列关于405状态码描述正确的是? ( 1分 A.保留,将来使用 B. 客户端请求中的方法被禁止 C.请求要求用户的身份认证 D.服务器内部错误,无法完成请求 下列哪项不是XML实体注入漏洞的利用方式?(1分)A A sql注入点探测 B.内网存活主机探测 C执行系统命令 D.任意文件读取
下列查询字段中哪个是被当前邮件回复的邮件ID字段? A. references B. plain C. cC D.from
显示文件访问时间、 数据修改时间、状态修改时间的命令是? ( A Isof B. stat C. strace D. xargs
查看文件(文件夹)详细信息的命令是() ( 1分) A.stot B. stao c. info D stat
下列是目录穿越的攻击特征的是哪项? (1分)
A. %27%26ls +%26%27
B.././././././p/.
C 1'//ANd/*/1=1%23
D.
遇到勒索事件之后得到的IOC需要在下列哪个网站进行排查? ( 1分) A htps://www.google.com/ B. https://ti.qianxin.com/ C www.baidu.com D. ht://ofa.so/ 下列哪个协议字段是属于SSL协议字段的? (1分) A. addr B. cname C. Public key D. host
以下不属于端口白名单控制选项的是? 0 ( 1分) A.禁止外网暴露 B.允许外网暴露 C.禁止内网暴露 D.允许外连内网
XML基于的标准是?0(1分) A.MIME B.CGI C.SGML D.HTML
下列哪项不属于XML文档构?(1份分) A.文档声明 B.文档元素 C.XML声明 D.文档类型定义
下列哪项不是XML实体注入漏洞的利用方式?(1分) A.执行系统命令 B.sql注入点探测 C.任意文件读取 D.内网存活主机探测
下列对于蠕虫病毒的描述错误的是0(1分) A蠕虫程序般由“传播模块”、“隐藏模块”和“自的功能模块”构成 B.蠕虫的传播需要通过“宿主”程序或文件 C.蠕虫会消耗内存或网络带宽,导致DOS D.蠕虫的传播无需用户操作
以下关于http请求方法描述错误的是?(1分) APUT从客户端向服务器传送的数据取代指定的文档的内容。 B.PATCH对PUT方法的补充,用来对一直资源进行局部更新。 C GET请求指定质面信息,开返回实体主体 D.TRACE请求服务器删除指定的页面
HTTP1.0不支持下列哪个请求方法?(1分) A.POST B.DELETE C.HEAD D.GET 在HTTP协议字段中host字段是什么意思?(1分) A.请求的域名 B.请求的资源 C.传送的数据 D.链接来源 访问web网站的某个页面资源不存在时,HTTP状态码是0(1分) A.401 B.300 C. 403 D.404
IP碎片攻击相关告警归属于“网络攻击”大类,对应的名称下包含下列选项? A. Bonder B.Ping ofDeath C, learDrop D.Joll2
通过哪种方式推导出布尔盲注攻击是否攻击成功?(1分) A.woid B. Txt C.html D.Excel
下列哪一个选项不属于XSS跨站脚本漏洞危害(1分) A.网站挂马 B.身份盗用 C.SQL数据泄露 D.钓鱼欺骗
Apache默认日志格式是()(1分) A.NCSA B.NSCA C.W4C D.W3C
下列在登录中不属于弱口令的是?(1分) A.Hiy126i@#+(&^ B.Passwd1234 C.12345qqq D.112233qwer
下列哪种sql注入手段是基于时间盲注的命令?(1分) A.//or//1//=/**/1 B.%20or%201=1# C.1andlength(database0)=10# D. ?type=1 and if(length(database0)=%d,sleep(5),1)
以下哪种方式于SQl注入 A都属于sql注入 B.联合查尚注人 C.SQL智注 D.报错注人
以下属于W3C日志格式的日志文件是?(1分) A.iis B.apache C.nginx D.tomcat
下列哪项不是PHP命令执行的执行函数?(1分) Asystem B.runtime C.exee D.shell exec 下列关于CSRF描述正确的是?0(1分) A.CSRF就是XSS B.登录受信任网站A,并在本地生成Cookie,在不登出A的情况下,访问危险网站B这样有可能会受到CSRF攻击 C.删除Referer字段可以用来防止CSRF攻击 D.CSRF攻击只能利用GET方式去达到攻击的目的 下列关于判断文件上传有企图攻击行为错误的是 A文件上传的后缀名为php4 B.只要是有文件上传的动作就是企图行为 C.文件上传的后缀有文件流 D.请求体内包含了一句话木马
以下哪项为SQL注入的攻击行为0(1分) D A.<!ENTITY f SYSTEM "file:///etc/passwd"> B.<<SCRIPT>alert("XSS");//</SCRIPT> C. cat,/etc/passwd D. select*from,union select 多选 下列属于PHP文件包含函数的有哪些? A. include once0 B. require( C. include0 D. require once()
多选 攻击者通过端口扫描可以获得下列哪些信息? A.目标主机的口令 B.给目标主机种植木马 C.目标主机开放了那些操作系统 D.目标主机使用了什么操作系统
多选 文件上传常见的绕过手段有哪些? A.无法绕过 B.图片马 C.系统特性 D.禁用JS
多选 下列哪些文件泄露可让攻击者成功进行利用,并目造成敏感文件信息泄露?(多选 A备份文件 B.数据库配置文件 C.phpinfo文件 D..Svn源码
多选 SqI注入按照注入点类型来分类包含下列哪项?(多选)(2分) A.搜索型 B.字符型 C.数字型 D.报错性
多选 下列哪些是本地文件包含的绕过方式? A.点号载断 B.%00截断 C.长路径载断 D.空格截断
多选 文件包含漏洞的防御方法有哪些? A.关闭allow_url_require B.修改php的配置文件将open_basedir的值设置为可以包含的特定目录 C.关团allow_url_include D.关闭allow_url_fopen
多选 对于SQL注入的防御方式有哪些? A.使用参数化语句包 B.动态拼接SQL C.增加过滤 D.部署WAF等安全设备
多选 下列php一句话木马正确的是?
A<? @eval($_post[al)?>
B.<?@eval($POST[al);?>
C.<?phpeval($POST[al);?>
D.<?php@eval($POST[al);?
多选 下列存在解析漏洞的中间件包含下列哪项? A.jboos B.tomcat C.iis D.apache
多选 下列哪种场景可能会造成感染病毒? A从陌生网站上下载软件 B.随意插入U盘 C.下载陌生邮件中的附件 D.关闭系统更新功能
多选 SSRF可用的伪协议有哪些? A.tftp:/l B. gopher:/l C. dict:/I D.file:/ll