2025年大學(xué)技術(shù)偵查學(xué)專業(yè)題庫——黑客攻擊手段及追蹤技術(shù)研究考試時間：______分鐘總分：______分姓名：______一、選擇題（每題2分，共20分。請將正確選項字母填在題后括號內(nèi)）1.以下哪種網(wǎng)絡(luò)掃描技術(shù)旨在通過發(fā)送特定的TCPSYN包來探測目標(biāo)主機的端口狀態(tài)？（）A.UDPScanB.TCPConnectScanC.TCPSYNScanD.NullScan2.在Web安全領(lǐng)域，通過注入惡意SQL代碼來竊取或篡改數(shù)據(jù)庫信息的攻擊通常被稱為？（）A.跨站腳本攻擊（XSS）B.垂直洞悉C.側(cè)信道攻擊D.SQL注入3.以下哪項技術(shù)不屬于社會工程學(xué)的常見手段？（）A.網(wǎng)絡(luò)釣魚郵件B.惡意軟件傳播C.好奇心驅(qū)動的行為誘導(dǎo)D.社交媒體信息收集4.用于檢測和防御網(wǎng)絡(luò)流量中的惡意活動，并對可疑數(shù)據(jù)包進(jìn)行深度分析的技術(shù)是？（）A.入侵檢測系統(tǒng)（IDS）B.防火墻C.網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）D.虛擬專用網(wǎng)絡(luò)（VPN）5.在數(shù)字取證中，對內(nèi)存數(shù)據(jù)進(jìn)行取證分析的主要目的是什么？（）A.恢復(fù)被刪除的文件B.分析系統(tǒng)運行歷史C.獲取當(dāng)前運行進(jìn)程和網(wǎng)絡(luò)連接信息D.驗證磁盤分區(qū)結(jié)構(gòu)6.以下哪種日志通常包含系統(tǒng)啟動、用戶登錄、服務(wù)變更等關(guān)鍵事件？（）A.應(yīng)用程序日志B.系統(tǒng)日志C.防火墻日志D.數(shù)據(jù)庫日志7.假設(shè)攻擊者成功獲取了目標(biāo)主機的管理員權(quán)限，下一步最可能采取的行動是？（）A.嘗試橫向移動到其他主機B.立即刪除所有日志以掩蓋痕跡C.對目標(biāo)系統(tǒng)進(jìn)行徹底的掃描D.立即下載所有敏感數(shù)據(jù)8.以下哪種技術(shù)常用于隱藏攻擊者的真實IP地址，增加追蹤難度？（）A.VPNB.代理服務(wù)器C.Tor網(wǎng)絡(luò)D.DNS隧道9.分析網(wǎng)絡(luò)流量中的NetFlow數(shù)據(jù)，以識別異常通信模式和潛在攻擊源的技術(shù)屬于？（）A.主機行為分析B.日志關(guān)聯(lián)分析C.流量分析D.逆向工程10.APT攻擊的特點通常不包括？（）A.針對性強，持續(xù)時間長B.通常使用公開的、易于利用的漏洞C.追求隱蔽性和持久性D.可能造成大規(guī)模的網(wǎng)絡(luò)癱瘓二、填空題（每空1分，共15分。請將答案填在題后橫線上）1.通過發(fā)送大量看似合法的請求來耗盡目標(biāo)系統(tǒng)資源的攻擊行為，通常稱為______攻擊。2.在進(jìn)行數(shù)字證據(jù)保全時，首要原則是保證證據(jù)的______和______。3.識別和分析惡意軟件的行為特征，通常需要在受控環(huán)境下運行軟件，這稱為______分析。4.使用______查詢可以了解IP地址的注冊信息、網(wǎng)絡(luò)服務(wù)提供商等。5.______是指通過欺騙用戶泄露敏感信息的行為，釣魚郵件是常見的______攻擊形式。6.對于懷疑被入侵的主機，分析______和______日志是追蹤攻擊路徑的重要起點。7.某惡意軟件通過修改系統(tǒng)注冊表啟動，并嘗試連接外部的C&C服務(wù)器。這種行為特征分析屬于______分析范疇。8.在追蹤網(wǎng)絡(luò)攻擊時，如果發(fā)現(xiàn)攻擊者使用了多層代理和VPN，追蹤難度會顯著______。9.分析Web服務(wù)器訪問日志，發(fā)現(xiàn)大量來自同一IP地址的GET請求，訪問特定目錄下的所有文件，這可能屬于______攻擊的跡象。10.無線網(wǎng)絡(luò)攻擊中，利用弱加密或配置錯誤竊取Wi-Fi網(wǎng)絡(luò)信息的攻擊，通常稱為______攻擊。三、簡答題（每題5分，共20分）1.簡述TCPSYNScan的工作原理及其相較于TCPConnectScan的優(yōu)勢。2.惡意軟件可能通過哪些途徑感染目標(biāo)主機？請列舉至少三種。3.簡述數(shù)字證據(jù)收集過程中，鏡像制作的重要性及常用方法。4.當(dāng)懷疑發(fā)生網(wǎng)絡(luò)攻擊時，技術(shù)偵查人員應(yīng)遵循哪些基本步驟進(jìn)行初步響應(yīng)和證據(jù)固定？四、論述題（每題10分，共20分）1.結(jié)合具體技術(shù)手段，論述如何綜合運用多種日志（如系統(tǒng)日志、防火墻日志、應(yīng)用日志）進(jìn)行攻擊溯源分析。2.隨著技術(shù)發(fā)展，網(wǎng)絡(luò)攻擊手段不斷演進(jìn)（如勒索軟件、APT攻擊）。從技術(shù)偵查學(xué)的角度，應(yīng)如何提升對新型攻擊的監(jiān)測、追蹤與取證能力？五、案例分析題（15分）假設(shè)某公司服務(wù)器遭受了一次入侵，安全團隊發(fā)現(xiàn)以下線索：1.系統(tǒng)防火墻日志顯示，在某個時間點，有一個來自外部IP地址的多次連接嘗試，目標(biāo)端口為某個非標(biāo)準(zhǔn)端口，最終建立連接。2.系統(tǒng)日志顯示，在連接建立后不久，某個系統(tǒng)賬戶異常登錄，并執(zhí)行了權(quán)限提升操作。3.后臺應(yīng)用程序日志顯示，數(shù)據(jù)庫文件被修改，并發(fā)現(xiàn)了一個可疑的SQL語句執(zhí)行記錄。4.從被入侵服務(wù)器內(nèi)存中恢復(fù)的數(shù)據(jù)顯示，存在一個異常的進(jìn)程，并嘗試連接一個外部的域名。請基于以上線索，分析可能發(fā)生的攻擊類型，推測攻擊者的可能行為，并提出后續(xù)的追蹤取證方向和措施。試卷答案一、選擇題1.C2.D3.B4.A5.C6.B7.A8.C9.C10.B解析1.TCPSYNScan通過發(fā)送SYN包探測端口狀態(tài)，不建立連接，效率較高。A項UDPScan使用UDP包。B項TCPConnectScan建立完整TCP連接。D項NullScan發(fā)送無標(biāo)志位TCP包。2.SQL注入是向Web應(yīng)用輸入惡意SQL代碼，篡改數(shù)據(jù)庫。A項XSS攻擊注入腳本。B項垂直洞悉是越權(quán)訪問。C項側(cè)信道攻擊通過間接信息推斷秘密。3.社會工程學(xué)利用心理操縱獲取信息或權(quán)限。A、C、D均屬社會工程學(xué)手段。B項惡意軟件傳播是技術(shù)手段。4.IDS專門檢測網(wǎng)絡(luò)流量中的惡意活動。防火墻主要進(jìn)行訪問控制。NAT用于地址轉(zhuǎn)換。VPN用于建立加密隧道。5.內(nèi)存取證可獲取當(dāng)前運行進(jìn)程、網(wǎng)絡(luò)連接、密碼等動態(tài)信息。A項文件恢復(fù)需磁盤取證。B項系統(tǒng)歷史在日志中。D項磁盤分區(qū)分析是磁盤取證內(nèi)容。6.系統(tǒng)日志記錄系統(tǒng)關(guān)鍵事件。應(yīng)用程序日志記錄應(yīng)用事件。防火墻日志記錄網(wǎng)絡(luò)流量過濾。數(shù)據(jù)庫日志記錄數(shù)據(jù)庫操作。7.獲得管理員權(quán)限后，攻擊者常為后續(xù)操作做準(zhǔn)備，如橫向移動探索網(wǎng)絡(luò)。A項橫向移動是常見后續(xù)步驟。B項刪除日志通常在最后階段。C項全面掃描可能在早期。D項數(shù)據(jù)竊取是目的之一，但移動更優(yōu)先。8.Tor網(wǎng)絡(luò)通過隨機節(jié)點路由，提供高匿名性。VPN隱藏IP，但通常有服務(wù)提供商。代理服務(wù)器僅轉(zhuǎn)發(fā)請求。DNS隧道隱藏通信內(nèi)容而非源地址。9.流量分析是檢查網(wǎng)絡(luò)數(shù)據(jù)包傳輸。主機行為分析是檢查系統(tǒng)活動。日志關(guān)聯(lián)分析是整合多源日志。逆向工程是分析軟件代碼。10.APT攻擊特點是隱蔽、持久、目標(biāo)明確，使用零日漏洞或定制工具。B項使用公開漏洞不符合APT特點，APT更傾向于利用未公開或定制的漏洞。二、填空題1.拒絕服務(wù)2.完整性，合法性3.動態(tài)4.WHOIS5.社會工程學(xué)，網(wǎng)絡(luò)6.系統(tǒng)日志，應(yīng)用程序7.行為8.增加9.目錄遍歷10.中竊聽（或WEP攻擊）解析1.拒絕服務(wù)攻擊通過耗盡資源使服務(wù)不可用。2.數(shù)字證據(jù)保全需保證在收集、傳輸、存儲過程中不被篡改（完整性），且來源可靠、符合法律要求（合法性）。3.動態(tài)分析是在運行時監(jiān)控軟件行為。4.WHOIS數(shù)據(jù)庫提供IP地址注冊信息查詢服務(wù)。5.社會工程學(xué)通過欺騙手段獲取信息。網(wǎng)絡(luò)釣魚是利用網(wǎng)絡(luò)環(huán)境實施的社會工程學(xué)攻擊。6.系統(tǒng)日志記錄系統(tǒng)事件。應(yīng)用程序日志記錄應(yīng)用事件，兩者都可能與攻擊相關(guān)。7.分析軟件運行時行為屬于行為分析。8.多層代理和VPN增加了追蹤的跳數(shù)和難度。9.請求特定目錄所有文件可能試圖獲取敏感信息，是目錄遍歷攻擊特征。10.中竊聽（或中繼攻擊）是針對無線網(wǎng)絡(luò)竊聽信號。WEP攻擊是針對WEP加密的古老攻擊，但填中竊聽更符合現(xiàn)代無線攻擊概念。三、簡答題1.TCPSYNScan工作原理：發(fā)送SYN包到目標(biāo)端口，若收到SYN-ACK則端口開放，若收到RST則端口關(guān)閉。它不完成三次握手的最后一步（ACK），因此不建立連接。優(yōu)勢在于效率高，掃描速度快，不易被目標(biāo)系統(tǒng)檢測到（因為它不建立連接，減少了系統(tǒng)負(fù)擔(dān)和攻擊跡象）。2.惡意軟件感染途徑：①惡意郵件附件或鏈接：誘導(dǎo)用戶下載或點擊。②可信來源漏洞利用：利用軟件漏洞自動傳播。③滲透后的遠(yuǎn)程執(zhí)行：攻擊者獲取權(quán)限后上傳。④捆綁在合法軟件中：用戶安裝時一同安裝。⑤物理接觸：通過U盤等移動介質(zhì)傳播。3.鏡像制作重要性：保證原始數(shù)據(jù)在取證分析過程中不被修改，提供可信賴的證據(jù)副本。常用方法：①原始副本制作（Bit-streamCopy）：按字節(jié)復(fù)制，保證絕對一致。②邏輯鏡像：按文件系統(tǒng)結(jié)構(gòu)復(fù)制，速度更快但可能因文件系統(tǒng)錯誤導(dǎo)致不一致。4.初步響應(yīng)和證據(jù)固定步驟：①立即隔離受感染主機：防止攻擊擴散。②評估損害范圍：確定受影響系統(tǒng)和數(shù)據(jù)。③限制訪問：阻止非授權(quán)訪問。④收集初步證據(jù)：屏幕截圖、日志快照、網(wǎng)絡(luò)流量記錄。⑤記錄所有操作：詳細(xì)記錄時間、操作、發(fā)現(xiàn)。⑥聯(lián)系專業(yè)人員：進(jìn)行深入取證和分析。四、論述題1.綜合運用多種日志進(jìn)行攻擊溯源分析：*系統(tǒng)日志分析：檢查登錄記錄（誰、何時、何處登錄）、權(quán)限變更（哪些賬戶獲得提升）、關(guān)鍵進(jìn)程啟動（可疑進(jìn)程）、系統(tǒng)服務(wù)狀態(tài)（異常服務(wù)）等，確定攻擊入口和內(nèi)部活動。*防火墻/網(wǎng)絡(luò)設(shè)備日志分析：查找異常連接嘗試（來源IP、目的IP、端口、協(xié)議）、非法訪問拒絕記錄、流量模式異常（如DDoS攻擊特征），定位攻擊來源和網(wǎng)絡(luò)入口點。*應(yīng)用程序日志分析：針對特定應(yīng)用（如Web服務(wù)器、數(shù)據(jù)庫），檢查錯誤日志、訪問日志、模塊加載記錄等，發(fā)現(xiàn)攻擊者利用的應(yīng)用漏洞、訪問模式（如SQL注入嘗試、文件訪問模式）。*關(guān)聯(lián)分析：將不同來源的日志按時間戳進(jìn)行關(guān)聯(lián)，構(gòu)建攻擊時間線。例如，結(jié)合防火墻的連接嘗試時間和系統(tǒng)日志的登錄時間，確定攻擊發(fā)生的具體窗口。通過關(guān)聯(lián)不同系統(tǒng)的日志，如Web服務(wù)器和應(yīng)用服務(wù)器的日志，可以重建攻擊者在系統(tǒng)內(nèi)的移動路徑。*數(shù)據(jù)提?。簭娜罩局刑崛￡P(guān)鍵信息，如攻擊者使用的IP地址、使用的工具特征、訪問的文件路徑、修改的配置等，作為追蹤和定罪的證據(jù)。*綜合判斷：結(jié)合日志信息，分析攻擊者的行為模式、目的和技能水平，判斷攻擊類型（如內(nèi)部威脅、外部攻擊、惡意軟件感染），并預(yù)測可能的下一步行動或隱藏的痕跡。2.提升對新型攻擊的監(jiān)測、追蹤與取證能力：*加強威脅情報能力：積極訂閱和利用外部威脅情報，了解最新的攻擊手法、漏洞信息、惡意軟件家族和攻擊者TTPs（戰(zhàn)術(shù)、技術(shù)和過程），指導(dǎo)監(jiān)測和防御。*部署先進(jìn)的檢測技術(shù)：采用基于行為分析（如EDR-endpointdetectionandresponse）和機器學(xué)習(xí)/人工智能的檢測系統(tǒng)，能夠識別異常行為和未知威脅，提高對零日攻擊和APT的早期發(fā)現(xiàn)能力。利用SIEM（securityinformationandeventmanagement）系統(tǒng)進(jìn)行日志集中管理和智能分析。*實施網(wǎng)絡(luò)分段和微隔離：將網(wǎng)絡(luò)劃分為更小的安全區(qū)域，限制攻擊者在網(wǎng)絡(luò)內(nèi)部的橫向移動，即使某個區(qū)域被攻破，也能有效限制損害范圍，便于追蹤。*完善日志管理和分析能力：確保所有關(guān)鍵系統(tǒng)和應(yīng)用啟用詳細(xì)日志記錄，并采用有效的日志管理和分析工具，實現(xiàn)快速查詢、關(guān)聯(lián)分析和異常檢測。關(guān)注網(wǎng)絡(luò)流量中的微小異常，如DNS請求模式、加密流量內(nèi)容等。*加強供應(yīng)鏈安全：對第三方軟件、服務(wù)和硬件進(jìn)行安全評估和監(jiān)控，防止通過供應(yīng)鏈引入惡意代碼或后門。*提升取證專業(yè)技能：技術(shù)偵查人員需要不斷學(xué)習(xí)新的取證技術(shù)和工具，特別是針對新型攻擊（如內(nèi)存取證、內(nèi)存加密分析、云環(huán)境取證）的方法，并掌握對加密通信和匿名網(wǎng)絡(luò)技術(shù)的追蹤分析方法。*建立快速響應(yīng)機制：制定完善的應(yīng)急響應(yīng)計劃，并定期演練，確保在發(fā)生攻擊時能夠迅速采取措施，限制損害，并進(jìn)行有效取證。五、案例分析題可能發(fā)生的攻擊類型：網(wǎng)絡(luò)釣魚結(jié)合遠(yuǎn)程桌面協(xié)議（RDP）弱口令攻擊或暴力破解，以及可能的命令行工具執(zhí)行。攻擊者可能行為：通過釣魚郵件誘導(dǎo)受害者點擊惡意鏈接或下載惡意附件，獲取初始訪問權(quán)限?？赡芾萌趺艽a或暴力破解RDP，進(jìn)入系統(tǒng)。獲得權(quán)限后，執(zhí)行權(quán)限提升操作，以獲得更高權(quán)限。修改數(shù)據(jù)庫可能是為了破壞數(shù)據(jù)或植入后門。連接外部域名可能是與C&C服務(wù)器通信或下載指令。后續(xù)追蹤取證方向和措施：1.證據(jù)固定：立即對受感染服務(wù)器進(jìn)行鏡像備份（創(chuàng)建完整磁盤鏡像和內(nèi)存鏡像）。收集所有相關(guān)日志（防火墻、系統(tǒng)、應(yīng)用、瀏覽器）。獲取網(wǎng)絡(luò)流量捕獲數(shù)據(jù)（pcap文件）。收集受害者的郵件記錄（釣魚郵件內(nèi)容、收發(fā)時間）。檢查用戶憑證（密碼哈希、憑證緩存）。2.攻擊路徑分析：分析防火墻日志，確定攻擊來源IP、使用的端口和協(xié)議。分析系統(tǒng)日志，重建攻擊者的登錄時間線、執(zhí)行的命令、訪問的文件。分析內(nèi)存鏡像，查找異常進(jìn)程、加載的惡意模塊、網(wǎng)絡(luò)連接嘗試（目的IP和域名）。分析應(yīng)用程序日志，查找數(shù)據(jù)庫修改記錄、SQL語句。3.追蹤溯源：根據(jù)防火墻日志中的外部IP地址，查詢該