2025年信息系统安全专家威胁狩猎中的反制措施专题试卷及解析.pdfVIP

2025年信息系统安全专家威胁狩猎中的反制措施专题试卷及解析1

2025年信息系统安全专家威胁狩猎中的反制措施专题试卷

及解析

2025年信息系统安全专家威胁狩猎中的反制措施专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在威胁狩猎过程中，当发现攻击者正在使用合法的Windows管理工具（如Pow-

erShell）进行横向移动时，最有效的反制措施是什么？

A、立即禁用所有PowerShell功能

B、实施PowerShell约束语言模式

C、仅记录PowerShell活动而不干预

D、强制所有管理员使用CMD替代PowerShell

【答案】B

【解析】正确答案是B。约束语言模式可以限制PowerShell的执行能力，阻止恶意

操作同时保留基本管理功能。A选项过于激进会影响正常运维；C选项属于被动防御；

D选项治标不治本。知识点：PowerShell安全加固。易错点：容易选择完全禁用的极端

方案。

2、针对攻击者使用的LivingofftheLand（LotL）技术，以下哪种反制措施最有效？

A、安装更多杀毒软件

B、实施应用程序白名单

C、增加防火墙规则

D、定期更换密码

【答案】B

【解析】正确答案是B。应用程序白名单可以限制系统只能运行授权程序，有效对

抗LotL技术。A选项对合法工具无效；C选项无法控制内部进程；D选项与LotL技

术无关。知识点：LotL攻击防护。易错点：忽视LotL技术利用合法程序的特点。

3、在检测到攻击者使用凭证转储技术时，最优先的反制措施应该是？

A、重启受影响系统

B、强制重置所有用户凭证

C、启用CredentialGuard

D、断开网络连接

【答案】C

【解析】正确答案是C。CredentialGuard能从硬件层面保护凭证。A选项可能丢

失证据；B选项范围过大；D选项只是临时措施。知识点：凭证保护技术。易错点：容

易选择简单粗暴的断网方案。

4、针对攻击者使用的隐蔽性命令与控制（C2）通道，最有效的反制措施是？

2025年信息系统安全专家威胁狩猎中的反制措施专题试卷及解析2

A、阻止所有出站流量

B、实施DNS流量分析

C、禁用所有非必要端口

D、增加带宽限制

【答案】B

【解析】正确答案是B。DNS流量分析能发现异常C2通信模式。A选项影响业务；

C选项可能被绕过；D选项无效。知识点：C2检测技术。易错点：忽视DNS在隐蔽通

信中的作用。

5、当发现攻击者正在使用进程注入技术时，最合适的反制措施是？

A、终止所有可疑进程

B、启用WindowsDefenderExploitGuard

C、禁用所有第三方软件

D、增加进程监控频率

【答案】B

【解析】正确答案是B。ExploitGuard能阻止常见的进程注入技术。A选项可能误

杀；C选项不现实；D选项只是检测。知识点：进程注入防护。易错点：混淆检测与防

护措施。

6、针对攻击者使用的文件less恶意软件，最有效的反制措施是？

A、增加磁盘扫描频率

B、实施内存保护机制

C、禁止所有脚本执行

D、安装更多HIPS

【答案】B

【解析】正确答案是B。内存保护能直接对抗fileless技术。A选项对内存无效；C

选项影响业务；D选项效果有限。知识点：Fileless恶意软件防护。易错点：忽视内存

层面的防护。

7、在发现攻击者正在利用WMI进行持久化时，最合适的反制措施是？

A、禁用WMI服务

B、实施WMI事件订阅监控

C、删除所有WMI库

D、限制管理员权限

【答案】B

【解析】正确答案是B。监控能发现恶意WMI活动。A选项影响系统管理；C选

项破坏系统；D选项治标不治本。知识点：WMI安