1+X中級(jí)應(yīng)急響應(yīng)測(cè)試題及答案（附解析）一、單選題（共20題，每題1分，共20分）1.HTTPS默認(rèn)端口為()A、80B、21C、24D、443正確答案：D答案解析：HTTPS協(xié)議默認(rèn)端口號(hào)是443，它主要用于在網(wǎng)絡(luò)上進(jìn)行安全的超文本傳輸。80端口是HTTP協(xié)議的默認(rèn)端口；21端口主要用于FTP服務(wù)；24端口一般不是常見(jiàn)的標(biāo)準(zhǔn)服務(wù)端口。所以HTTPS默認(rèn)端口為443，大于443的選項(xiàng)符合題意。2.通過(guò)wireshark發(fā)現(xiàn)攻擊者通過(guò)病毒攻擊反彈()來(lái)執(zhí)行系統(tǒng)命令提權(quán)。A、shollB、shellC、shall正確答案：B答案解析：在通過(guò)wireshark發(fā)現(xiàn)攻擊者通過(guò)病毒攻擊反彈時(shí)，常見(jiàn)的是反彈shell來(lái)執(zhí)行系統(tǒng)命令提權(quán)，“>shell”符合這種場(chǎng)景，而“>sholl”和“>shall”并不是常見(jiàn)的用于此目的的指令表述。3.不屬于數(shù)據(jù)庫(kù)加固主要方式的是?()A、防止SQL注入B、防權(quán)限提升C、防信息竊取D、差異備份正確答案：D答案解析：數(shù)據(jù)庫(kù)加固主要方式包括防止SQL注入、防權(quán)限提升、防信息竊取等。差異備份是一種數(shù)據(jù)備份方式，不屬于數(shù)據(jù)庫(kù)加固的主要方式。4.Tcp.port==80是指()?A、顯示所有基于tcp的流量B、顯示某兩個(gè)通信單C、tcp會(huì)話的流量D、顯示所有tcp80端口的流量正確答案：D答案解析：這是一個(gè)用于過(guò)濾和顯示特定網(wǎng)絡(luò)流量的表達(dá)式?！癟cp.port==80”明確表示只關(guān)注TCP協(xié)議中端口號(hào)為80的流量，所以該表達(dá)式的作用是顯示所有tcp80端口的流量。5.selectuserfrommysql.user這是什么意思()A、數(shù)據(jù)庫(kù)用戶系統(tǒng)有問(wèn)題B、查看數(shù)據(jù)庫(kù)的用戶表結(jié)構(gòu)C、查看數(shù)據(jù)庫(kù)的用戶表內(nèi)容D、查看數(shù)據(jù)庫(kù)的內(nèi)容正確答案：C答案解析：“selectuserfrommysql.user”這條SQL語(yǔ)句的作用是從名為mysql的數(shù)據(jù)庫(kù)中的user表中查詢user字段的內(nèi)容。mysql數(shù)據(jù)庫(kù)中的user表存儲(chǔ)了MySQL服務(wù)器的用戶相關(guān)信息，通過(guò)執(zhí)行這條語(yǔ)句可以查看當(dāng)前數(shù)據(jù)庫(kù)系統(tǒng)中定義的所有用戶。所以是查看數(shù)據(jù)庫(kù)的用戶表內(nèi)容。6.HTTP默認(rèn)端口為()A、80B、21C24D443正確答案：A答案解析：HTTP默認(rèn)端口為80，所以應(yīng)該選擇大于80的選項(xiàng)A。選項(xiàng)B中的21是FTP協(xié)議的默認(rèn)端口；選項(xiàng)C的24不是常見(jiàn)協(xié)議的默認(rèn)端口；選項(xiàng)D的443是HTTPS協(xié)議的默認(rèn)端口。HTTP協(xié)議默認(rèn)使用80端口來(lái)進(jìn)行通信，這是網(wǎng)絡(luò)通信中的一個(gè)基本常識(shí)，當(dāng)瀏覽器訪問(wèn)一個(gè)網(wǎng)站時(shí)，如果沒(méi)有指定端口號(hào)，默認(rèn)就是通過(guò)80端口來(lái)連接服務(wù)器的。7.業(yè)務(wù)系統(tǒng)面臨的外部風(fēng)險(xiǎn)有哪些()A、Web漏洞B、系統(tǒng)漏洞C、邏輯漏洞D、拒絕服務(wù)正確答案：D8.威脅情報(bào)提供內(nèi)容中的ResponseCode是什么作用?()A、用于提供攻擊源信息B、域名信息提供了攻擊方式信息C、提供了攻擊方式信息D、提供了攻擊對(duì)象所采用的防御信息正確答案：D答案解析：ResponseCode通常用于提供攻擊對(duì)象所采用的防御信息，比如返回特定的響應(yīng)碼來(lái)表示不同的防御狀態(tài)或動(dòng)作等，所以選D。9.在系統(tǒng)中,mysql客戶端會(huì)將交互式執(zhí)行的指令寫(xiě)入日志文件,日志文件默認(rèn)名稱為.mysql_history,位于用戶的home目錄。(A、LinuxB、windowsC、win10D、xp正確答案：A答案解析：在Linux系統(tǒng)中，mysql客戶端會(huì)將交互式執(zhí)行的指令寫(xiě)入日志文件，日志文件默認(rèn)名稱為.mysql_history，位于用戶的home目錄。而在Windows系統(tǒng)（包括win10、xp等）中并沒(méi)有這樣默認(rèn)的行為和文件。10.分析演練記錄及相關(guān)資料,對(duì)演練活動(dòng)過(guò)程做出客觀評(píng)價(jià),編寫(xiě)演練評(píng)估報(bào)告?(A、演練總結(jié)B、演練評(píng)估C、演練執(zhí)行D、演練記錄正確答案：B答案解析：編寫(xiě)演練評(píng)估報(bào)告是對(duì)演練活動(dòng)過(guò)程做出客觀評(píng)價(jià)，這屬于演練評(píng)估的內(nèi)容，所以答案選B。編寫(xiě)演練評(píng)估報(bào)告重點(diǎn)在于對(duì)演練活動(dòng)過(guò)程進(jìn)行評(píng)估，分析其優(yōu)點(diǎn)與不足等，從而得出客觀評(píng)價(jià)，這符合演練評(píng)估的范疇，而不是單純的總結(jié)、執(zhí)行記錄等方面。11.mysql數(shù)據(jù)庫(kù)默認(rèn)監(jiān)聽(tīng)TCP()端口,該端口被人們熟知,攻擊者很容易通過(guò)此端口發(fā)現(xiàn)mysql數(shù)據(jù)庫(kù)服務(wù)。A、3306B、3301C、3312正確答案：A答案解析：MySQL數(shù)據(jù)庫(kù)默認(rèn)監(jiān)聽(tīng)TCP3306端口，所以答案是A。12.IMMSG病毒的危害級(jí)別是()?A、4B、3C、2D、5正確答案：A答案解析：IMMSG病毒是一種危害較大的病毒，它通常會(huì)對(duì)計(jì)算機(jī)系統(tǒng)造成嚴(yán)重破壞，其危害級(jí)別大于4。13.查看windows事件日志的EVENTID為4647的時(shí)候說(shuō)明了什么?()A、登陸成功B、登陸失敗C、注銷成功D、用戶啟動(dòng)的注銷正確答案：D14.對(duì)于Windows事件日志分析,不同的事件代表了不同的意義,事件ID4672代表()A、登錄成功B、登錄失敗C、使用1成績(jī)用戶(如管理員)進(jìn)行登錄D、注銷成功正確答案：C答案解析：事件ID4672表示“使用具有特殊權(quán)限的用戶（如管理員）進(jìn)行登錄”。該事件記錄了使用具有特殊權(quán)限的用戶進(jìn)行登錄操作的相關(guān)信息。15.利用數(shù)據(jù)庫(kù)可以()存儲(chǔ)數(shù)據(jù)。A、高效、有組織地B、無(wú)效、有組織地C、有效、有組織地正確答案：A16.抵御90%魚(yú)叉攻擊的要領(lǐng)()A、“陌生人”郵件的附件不要輕易打開(kāi)B、下載郵件附件后一定先掃毒再打開(kāi)C、郵件附件在安全軟件的沙箱中打開(kāi)D、以上都是正確答案：D答案解析：魚(yú)叉攻擊是一種針對(duì)性很強(qiáng)的網(wǎng)絡(luò)攻擊方式，通過(guò)偽裝成合法郵件或鏈接，誘導(dǎo)用戶點(diǎn)擊并執(zhí)行惡意代碼。選項(xiàng)A中不輕易打開(kāi)“陌生人”郵件附件可避免直接接觸可能攜帶惡意軟件的文件；選項(xiàng)B下載后先掃毒能及時(shí)發(fā)現(xiàn)潛在威脅；選項(xiàng)C在安全軟件沙箱中打開(kāi)可限制惡意軟件的運(yùn)行范圍和危害程度。這三個(gè)選項(xiàng)都是抵御魚(yú)叉攻擊的有效要領(lǐng)，所以答案選D。17.()賬號(hào)擁有登錄shell。A、MySQLB、dbuser1C、Dbuser2正確答案：A18.業(yè)務(wù)邏輯漏洞包括:登錄未使用模糊提示、____處存在邏輯漏洞、____處存在邏輯漏洞、____處存在漏洞、____處存在邏輯漏洞等。(A、支付,登錄,賬戶添加,驗(yàn)證碼B、驗(yàn)證碼,支付,賬戶添加,忘記密碼C、賬戶添加,頁(yè)面,支付,驗(yàn)證碼D、忘記密碼,支付,驗(yàn)證碼,密碼正確答案：B答案解析：業(yè)務(wù)邏輯漏洞包含多種情況，驗(yàn)證碼處、支付處、賬戶添加處、忘記密碼處都可能存在邏輯漏洞。登錄未使用模糊提示是一種情況，驗(yàn)證碼、支付、賬戶添加、忘記密碼這些環(huán)節(jié)也常是邏輯漏洞容易出現(xiàn)的地方，所以答案選B。業(yè)務(wù)邏輯漏洞在多個(gè)關(guān)鍵業(yè)務(wù)環(huán)節(jié)都有可能出現(xiàn)，像登錄、支付、賬戶管理、身份驗(yàn)證等相關(guān)操作的流程中，任何一處邏輯不嚴(yán)謹(jǐn)都可能導(dǎo)致漏洞，而驗(yàn)證碼、支付、賬戶添加、忘記密碼正是業(yè)務(wù)流程中的重要部分，容易被攻擊利用產(chǎn)生邏輯漏洞。19.為弱口令賬號(hào)設(shè)置()A、強(qiáng)化口令B、強(qiáng)壯口令C、強(qiáng)弱口令正確答案：B20.安全策略的作用是對(duì)通過(guò)防火墻的數(shù)據(jù)流進(jìn)行(）A、隔離B、拒絕服務(wù)C、掃描D、檢驗(yàn)E、攔截F、信息竊取正確答案：D二、多選題（共10題，每題1分，共10分）1.應(yīng)急演練實(shí)施-成果運(yùn)用階段有哪些()A、改善提升B、監(jiān)督整改正確答案：AB答案解析：應(yīng)急演練實(shí)施的成果運(yùn)用階段主要包括改善提升和監(jiān)督整改。通過(guò)演練總結(jié)經(jīng)驗(yàn)教訓(xùn)，對(duì)相關(guān)預(yù)案、流程、設(shè)施等進(jìn)行改善提升，同時(shí)對(duì)演練中發(fā)現(xiàn)的問(wèn)題進(jìn)行監(jiān)督整改，以提高應(yīng)急管理水平和應(yīng)對(duì)突發(fā)事件的能力。2.情報(bào)數(shù)據(jù)包含()。A、個(gè)人信譽(yù)B、IP信譽(yù)C、文件信譽(yù)正確答案：BC3.Wireshark常用功能有哪些?()A、分析一般任務(wù)B、故障任務(wù)C、殺毒D、網(wǎng)絡(luò)安全分析E、應(yīng)用程序分析正確答案：ABDE答案解析：分析一般任務(wù)：如抓包、過(guò)濾、統(tǒng)計(jì)等；故障任務(wù)：幫助定位網(wǎng)絡(luò)故障；網(wǎng)絡(luò)安全分析：檢測(cè)網(wǎng)絡(luò)安全問(wèn)題；應(yīng)用程序分析：分析應(yīng)用程序的網(wǎng)絡(luò)通信。而殺毒不是Wireshark的功能。4.應(yīng)急演練管理小組的主要職責(zé)是哪些()A、總結(jié)應(yīng)急演練工作B、組織、協(xié)調(diào)應(yīng)急演練準(zhǔn)備工作C、部署、檢查、指導(dǎo)和協(xié)調(diào)應(yīng)急演練各項(xiàng)籌備工作D、策劃、制定應(yīng)急演練工作方案E、總體指揮、調(diào)度應(yīng)急演練現(xiàn)場(chǎng)工作正確答案：ABDE5.Web漏洞可根據(jù)漏洞類型對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行選擇性的漏洞修復(fù)方式,如:()A、軟件升級(jí)B、打補(bǔ)丁C、減少暴露面D、安全策略建設(shè)正確答案：ABCD答案解析：對(duì)于Web漏洞，軟件升級(jí)可以修復(fù)因軟件版本低導(dǎo)致的漏洞；打補(bǔ)丁能針對(duì)特定漏洞進(jìn)行修復(fù)；減少暴露面可避免一些漏洞被利用，降低風(fēng)險(xiǎn)；安全策略建設(shè)有助于從整體上規(guī)范業(yè)務(wù)系統(tǒng)的安全運(yùn)行，預(yù)防和應(yīng)對(duì)漏洞，所以這幾種方式都可以根據(jù)不同漏洞類型對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行選擇性的漏洞修復(fù)。6.病毒傳播的方式有哪幾種?()A、文件傳播B、網(wǎng)絡(luò)傳播C、主動(dòng)放置D、移動(dòng)文件E、軟件漏洞正確答案：ABCDE7.路由器加固的ip協(xié)議安全要求()A、配置路由器防止地址欺騙B、系統(tǒng)遠(yuǎn)程服務(wù)只允許特定地址訪問(wèn)C、過(guò)濾已知攻擊正確答案：ABC答案解析：選項(xiàng)A，配置路由器防止地址欺騙可有效增強(qiáng)IP協(xié)議安全，防止非法地址偽裝；選項(xiàng)B，限制系統(tǒng)遠(yuǎn)程服務(wù)只允許特定地址訪問(wèn)，能避免非法遠(yuǎn)程連接，保障安全；選項(xiàng)C，過(guò)濾已知攻擊可抵御常見(jiàn)的網(wǎng)絡(luò)攻擊，維護(hù)IP協(xié)議安全。這三個(gè)方面都屬于路由器加固的IP協(xié)議安全要求。8.木馬病毒排查過(guò)程有()。A、確定黑客IPB、確定黑客的攻擊入口C、黑客添加的木馬D、找到木馬名稱后查找的絕對(duì)路徑E、根據(jù)日志查找黑客在服務(wù)器的操作正確答案：ABCDE答案解析：1.確定黑客IP：了解黑客的IP地址有助于定位攻擊源頭，是排查木馬病毒的重要基礎(chǔ)。2.確定黑客的攻擊入口：明確攻擊是通過(guò)何種方式進(jìn)入系統(tǒng)的，比如網(wǎng)絡(luò)漏洞、弱口令等，有助于后續(xù)阻斷類似攻擊并深入排查。3.黑客添加的木馬：找出黑客添加到系統(tǒng)中的木馬程序，這是排查的核心任務(wù)之一。4.找到木馬名稱后查找的絕對(duì)路徑：確定木馬的絕對(duì)路徑，有助于全面清理木馬及其相關(guān)文件，防止殘留。5.根據(jù)日志查找黑客在服務(wù)器的操作：通過(guò)服務(wù)器日志可以了解黑客的操作行為，進(jìn)一步評(píng)估系統(tǒng)受影響程度以及進(jìn)行后續(xù)的安全加固。9.風(fēng)險(xiǎn)評(píng)估實(shí)施過(guò)程中通常要遵守哪些原則?()A、關(guān)鍵業(yè)務(wù)原則B、最小影響原則C、可控性原則正確答案：ABC答案解析：實(shí)施風(fēng)險(xiǎn)評(píng)估過(guò)程中，關(guān)鍵業(yè)務(wù)原則要求重點(diǎn)關(guān)注對(duì)關(guān)鍵業(yè)務(wù)的影響；可控性原則確保風(fēng)險(xiǎn)處于可控制范圍內(nèi)；最小影響原則旨在將風(fēng)險(xiǎn)對(duì)業(yè)務(wù)的影響降到最小程度。10.商業(yè)情報(bào)與開(kāi)源情報(bào)的區(qū)別()A、商業(yè)情報(bào)的更新周期相對(duì)固定,且頻率較高B、商業(yè)情報(bào)的數(shù)據(jù)維度豐富,數(shù)據(jù)關(guān)聯(lián)性強(qiáng)C、商業(yè)情報(bào)有專門(mén)的情報(bào)供應(yīng)鏈商對(duì)情報(bào)質(zhì)量負(fù)責(zé)D、持續(xù)的人工運(yùn)營(yíng)投入正確答案：ABCD答案解析：商業(yè)情報(bào)與開(kāi)源情報(bào)存在多方面區(qū)別。選項(xiàng)A，商業(yè)情報(bào)更新周期相對(duì)固定且頻率較高，能更及時(shí)反映市場(chǎng)動(dòng)態(tài)；選項(xiàng)B，商業(yè)情報(bào)的數(shù)據(jù)維度豐富，數(shù)據(jù)關(guān)聯(lián)性強(qiáng)，可提供更全面深入的信息；選項(xiàng)C，商業(yè)情報(bào)有專門(mén)的情報(bào)供應(yīng)鏈商對(duì)情報(bào)質(zhì)量負(fù)責(zé)，保障了情報(bào)的可靠性；選項(xiàng)D，商業(yè)情報(bào)需要持續(xù)的人工運(yùn)營(yíng)投入來(lái)進(jìn)行收集、整理和分析等工作。三、判斷題（共20題，每題1分，共20分）1.木馬型病毒是指在用戶不知道也不允許的情況下,在被感染的系統(tǒng)上以隱蔽的方式運(yùn)行,而且用戶無(wú)法通過(guò)正常的方法禁止其運(yùn)行()A、正確B、錯(cuò)誤正確答案：A2.防火墻將流量的屬性與安全策略的條件進(jìn)行匹配。若所有條件都匹配,則此流量成功匹配安全策略()A、正確B、錯(cuò)誤正確答案：A3.綜合演練是指涉及應(yīng)急預(yù)案中多項(xiàng)或者全部應(yīng)急響應(yīng)功能的演練活動(dòng),對(duì)一個(gè)環(huán)節(jié)和功能進(jìn)行檢驗(yàn)。()A、正確B、錯(cuò)誤正確答案：B4.應(yīng)急響應(yīng)計(jì)劃應(yīng)詳細(xì)、簡(jiǎn)潔、易于在緊急情況下執(zhí)行,并盡量使用檢查列表和詳細(xì)規(guī)程。()A、正確B、錯(cuò)誤正確答案：B5.應(yīng)急處置工作首先要進(jìn)行信息系統(tǒng)重建。()A、正確B、錯(cuò)誤正確答案：B6.病毒具有破壞性、轉(zhuǎn)染性、隱蔽性、觸發(fā)性、寄生性,并且目前將轉(zhuǎn)染性作為區(qū)分病毒和木馬程序的重要因素。()A、正確B、錯(cuò)誤正確答案：A7.病毒排查可以通過(guò)清除powershell和cmd的開(kāi)機(jī)啟動(dòng)程序。()A、正確B、錯(cuò)誤正確答案：A8.漏洞掃描防護(hù)可以通過(guò)合理的安全策略、關(guān)閉不必要的服務(wù)、減少信息泄露、限制訪問(wèn)次數(shù)等方式進(jìn)行防范()A、正確B、錯(cuò)誤正確答案：A9.Post的數(shù)據(jù)經(jīng)過(guò)base64編碼,是菜刀的流量特征。()A、正確B、錯(cuò)誤正確答案：A10.APT的發(fā)現(xiàn)比防御更重要。()A、正確B、錯(cuò)誤正確答案：A11.http協(xié)議支持客戶端/服務(wù)端模式,也是一種請(qǐng)求/響應(yīng)模式的協(xié)議()A、正確B、錯(cuò)誤正確答案：A12.系統(tǒng)安全加固可以防范惡意代碼攻擊()A、正確B、錯(cuò)誤正確答案：A13.通常使用Wireshark在處理一個(gè)較大的文件時(shí),可能處理的速度會(huì)很慢甚至沒(méi)有響應(yīng)。()A、正確B、錯(cuò)誤正確答案：A14.通常的網(wǎng)絡(luò)安全應(yīng)急演練流程包括準(zhǔn)備階段、實(shí)施階段、評(píng)估與總結(jié)階段、成果運(yùn)用等各個(gè)階段,幫助各組織單位實(shí)現(xiàn)全面有效的應(yīng)急演練。()A、正確B、錯(cuò)誤正確答案：A15.演練目標(biāo)是需完成的主要演練任務(wù)及其達(dá)到的效果,演練目標(biāo)應(yīng)明確、具體、可量化、可實(shí)現(xiàn)。()A、正確B、錯(cuò)