2025年信息系统安全专家安全运营中心多阶段攻击场景还原与分析专题试卷及解析.pdfVIP

2025年信息系统安全专家安全运营中心多阶段攻击场景还原与分析专题试卷及解析1

2025年信息系统安全专家安全运营中心多阶段攻击场景还

原与分析专题试卷及解析

2025年信息系统安全专家安全运营中心多阶段攻击场景还原与分析专题试卷及解

析

第一部分：单项选择题（共10题，每题2分）

1、在多阶段攻击的初始访问阶段，攻击者最常利用的攻击向量是什么？

A、SQL注入

B、钓鱼邮件

C、DDoS攻击

D、暴力破解

【答案】B

【解析】正确答案是B。钓鱼邮件是攻击者在初始访问阶段最常用的攻击向量，因

为它能直接诱骗用户执行恶意操作。A选项SQL注入属于Web应用漏洞利用，通常发

生在漏洞利用阶段；C选项DDoS攻击属于拒绝服务攻击，不涉及系统入侵；D选项

暴力破解虽然也是初始访问手段，但相比钓鱼邮件，成功率较低且更容易被检测。知识

点：多阶段攻击生命周期。易错点：混淆不同攻击阶段的主要攻击手段。

2、在安全运营中心（SOC）中，用于检测横向移动最有效的日志源是？

A、防火墙日志

B、DNS日志

C、Windows安全日志

D、Web代理日志

【答案】C

【解析】正确答案是C。Windows安全日志记录了用户登录、权限变更等事件，是检

测横向移动的核心数据源。A选项防火墙日志主要用于网络流量分析；B选项DNS日

志可用于检测C2通信，但对横向移动检测有限；D选项Web代理日志主要记录Web

访问行为。知识点：横向移动检测技术。易错点：忽视主机日志在横向移动检测中的重

要性。

3、攻击者在多阶段攻击中使用”LivingofftheLand”技术的目的是什么？

A、提高攻击速度

B、避免被杀毒软件检测

C、利用合法系统工具执行恶意操作

D、加密通信流量

【答案】C

2025年信息系统安全专家安全运营中心多阶段攻击场景还原与分析专题试卷及解析2

【解析】正确答案是C。“LivingofftheLand”指利用系统自带合法工具执行恶意操

作，以降低被检测的风险。A选项提高攻击速度不是主要目的；B选项避免被杀毒软件

检测是结果而非目的；D选项加密通信流量属于C2通信技术。知识点：攻击者规避技

术。易错点：混淆攻击手段与攻击目的。

4、在MITREATTCK框架中，“T1059.001PowerShell”属于哪个战术阶段？

A、初始访问

B、执行

C、持久化

D、权限提升

【答案】B

【解析】正确答案是B。PowerShell是攻击者常用的执行手段，属于执行战术。A选

项初始访问涉及获取系统访问权限；C选项持久化关注维持访问；D选项权限提升涉及

获取更高权限。知识点：MITREATTCK框架分类。易错点：混淆不同战术阶段的技

术分类。

5、在多阶段攻击还原中，“时间线分析”的主要作用是？

A、确定攻击来源

B、重建攻击事件序列

C、评估攻击影响

D、识别攻击工具

【答案】B

【解析】正确答案是B。时间线分析主要用于重建攻击事件的时间顺序。A选项确

定攻击来源需要结合威胁情报；C选项评估攻击影响属于事后分析；D选项识别攻击工

具需要通过特征匹配。知识点：事件响应分析方法。易错点：混淆不同分析方法的侧重

点。

6、攻击者在多阶段攻击中使用”DLL劫持”技术的主要目的是？

A、提升权限

B、绕过安全检测

C、维持持久化

D、窃取数据

【答案】B

【解析】正确答案是B。DLL劫持通过替换合法DLL来执行恶意代码，主要用于

绕过安全检测。A选项提升权限需要其他技术；C选项持久化通常通过注册表或计划任

务实现；D选项数据窃取属于攻击后期阶段。知识点：攻击者规避技术。易错点：混淆

不同技术的具体用途。

7、在SOC分析中，“异常行为检测”最适用于发现？

2025年信息系统安全专家安全运营中心多阶段攻击场景还原与分析专题试卷及解析3

A、已知恶意软件

B、零日漏洞利用

C、配置错误

D、密码泄露

【答案】B

【解析】正确答案是B。异常