2025年大學(xué)技術(shù)偵查學(xué)專業(yè)題庫——木馬程序攻擊溯源與防范考試時(shí)間：______分鐘總分：______分姓名：______一、選擇題1.下列哪一項(xiàng)不屬于木馬程序的主要特征？A.隱蔽性B.傳染性C.交互性D.可信性2.根據(jù)傳播方式，下列哪一項(xiàng)通常被歸類為“客戶端-服務(wù)器”型木馬？A.網(wǎng)頁木馬B.系統(tǒng)服務(wù)木馬C.郵件附件木馬D.下載木馬3.在木馬攻擊溯源過程中，分析出站網(wǎng)絡(luò)連接是識別C&C服務(wù)器的常用方法，主要依據(jù)是？A.惡意軟件與控制端之間的指令交互B.攻擊者IP地址的地理位置C.受感染主機(jī)產(chǎn)生的異常網(wǎng)絡(luò)流量D.木馬程序特有的文件哈希值4.以下哪種技術(shù)不屬于常見的木馬偽裝手段？A.文件打包B.加殼C.代碼混淆D.系統(tǒng)服務(wù)偽裝5.靜態(tài)分析木馬程序時(shí)，主要關(guān)注的是？A.程序運(yùn)行時(shí)的內(nèi)存狀態(tài)B.程序文件本身的結(jié)構(gòu)和內(nèi)容C.程序與網(wǎng)絡(luò)外部的交互行為D.程序?qū)ο到y(tǒng)資源的消耗情況6.以下哪項(xiàng)技術(shù)通常用于檢測已知的、具有特定特征碼的木馬？A.基于行為的檢測B.基于異常的檢測C.基于簽名的檢測D.啟發(fā)式分析7.檢測到系統(tǒng)存在異常進(jìn)程時(shí)，初步判斷為木馬感染的第一步通常是？A.立即終止該進(jìn)程B.分析該進(jìn)程的來源和行為特征C.對整個系統(tǒng)進(jìn)行格式化D.禁用系統(tǒng)賬戶8.在木馬溯源分析中，IP地址溯源通常作為起點(diǎn)，但其局限性在于？A.可能存在DDoS攻擊干擾B.可能存在VPN、代理服務(wù)器等隱藏真實(shí)來源C.只能識別操作系統(tǒng)版本D.需要復(fù)雜的密碼破解9.以下哪項(xiàng)措施屬于木馬防范中的“縱深防御”策略？A.僅安裝一款殺毒軟件B.使用復(fù)雜的強(qiáng)密碼C.定期更新系統(tǒng)和應(yīng)用補(bǔ)丁D.禁用所有外來賬戶10.惡意軟件C&C服務(wù)器通常使用哪些通信方式來降低被檢測的風(fēng)險(xiǎn)？（多選，請選擇最符合的選項(xiàng)）A.使用HTTPS協(xié)議B.采用加密或Base64編碼通信數(shù)據(jù)C.使用低頻次、短時(shí)長的連接D.選擇非主流端口進(jìn)行通信二、填空題1.木馬程序通常由________模塊和________模塊兩部分組成。2.分析木馬植入后的系統(tǒng)日志，查找異常的________創(chuàng)建、修改或刪除操作。3.使用Wireshark等工具捕獲網(wǎng)絡(luò)流量，分析木馬與C&C服務(wù)器的________特征，是溯源的重要手段。4.對捕獲的惡意樣本進(jìn)行動態(tài)分析時(shí)，需要在________環(huán)境下運(yùn)行，并監(jiān)控其行為。5.防范木馬攻擊的第一道防線是部署________和防火墻。6.基于行為的檢測通過監(jiān)控系統(tǒng)進(jìn)程、文件、注冊表、網(wǎng)絡(luò)連接等對象的________來發(fā)現(xiàn)異常。7.當(dāng)懷疑系統(tǒng)被木馬感染時(shí)，應(yīng)先進(jìn)行________，隔離受感染主機(jī)，防止進(jìn)一步擴(kuò)散。8.木馬溯源的目標(biāo)是盡可能還原攻擊者的________、使用的工具和攻擊過程。9.清除木馬后，需要進(jìn)行系統(tǒng)________和數(shù)據(jù)備份恢復(fù)，確保系統(tǒng)穩(wěn)定。10.技術(shù)偵查人員在處理木馬案件時(shí)，必須嚴(yán)格遵守相關(guān)的________和操作規(guī)程。三、簡答題1.簡述木馬程序的生命周期及其各階段的主要特點(diǎn)。2.比較靜態(tài)分析木馬程序和動態(tài)分析木馬程序的原理、優(yōu)缺點(diǎn)及適用場景。3.簡述在終端上檢測木馬程序常用的幾種技術(shù)手段及其基本原理。4.闡述制定木馬攻擊應(yīng)急預(yù)案的主要步驟和關(guān)鍵內(nèi)容。四、分析題1.假設(shè)你正在調(diào)查一起疑似木馬感染的網(wǎng)絡(luò)入侵事件。受害主機(jī)報(bào)告出現(xiàn)以下現(xiàn)象：系統(tǒng)運(yùn)行緩慢，頻繁彈出廣告窗口，瀏覽器主頁被篡改，并發(fā)現(xiàn)有一個名為`svchost.exe`的異常進(jìn)程占用大量CPU資源，且產(chǎn)生了大量出站網(wǎng)絡(luò)連接到一個可疑的域名``。請根據(jù)這些現(xiàn)象，分析可能存在的木馬感染跡象，并描述你將采取哪些初步的溯源分析步驟來確認(rèn)感染、識別木馬特征和追蹤攻擊來源。2.分析以下網(wǎng)絡(luò)流量片段（假設(shè)已捕獲并解密）的關(guān)鍵信息，說明這可能是一段木馬與C&C服務(wù)器的通信。請描述該通信模式的特點(diǎn)，并說明作為技術(shù)偵查人員，你將如何利用這些信息進(jìn)行更深入的溯源分析（例如，追蹤域名解析鏈、分析通信協(xié)議、識別可能的加密方式等）。```TimestampSourceIP:PortDestinationIP:PortProtocolLengthData14:23:05.12300:5060:8080TCP1024Base64encodedstring"cmd=stat&user=admin"14:23:06.234:808000:5060TCP2048Base64encodedstring"status=ok&data=filesz:1250"14:23:10.34500:5060:8080TCP512Base64encodedstring"cmd=download&filename=config.txt"```五、綜合應(yīng)用題你是一名技術(shù)偵查專業(yè)的學(xué)生，參與一個模擬木馬攻擊事件的演練。場景描述如下：某公司網(wǎng)絡(luò)疑似遭受“門羅”木馬（一種常見的遠(yuǎn)程訪問木馬）攻擊，多個終端報(bào)告出現(xiàn)異常行為。你的任務(wù)是通過分析提供的模擬證據(jù)材料（如系統(tǒng)日志文件`system_log_20231027.zip`、網(wǎng)絡(luò)流量包`netcap_20231027.pcap`、可疑文件`SuspiciousFile.exe`），完成以下任務(wù)：1.描述你將如何綜合運(yùn)用多種分析工具和技術(shù)（如日志分析工具、網(wǎng)絡(luò)抓包分析工具、沙箱、反編譯器等），對提供的證據(jù)材料進(jìn)行分析。2.簡要說明你將重點(diǎn)關(guān)注哪些方面的證據(jù)，用以確認(rèn)木馬感染、識別木馬特征（如版本、功能、C&C通信協(xié)議等）、確定攻擊時(shí)間窗口和可能的影響范圍。3.基于你的分析結(jié)果，提出至少三項(xiàng)針對性的防范建議，以幫助該公司加固防御，防止類似攻擊再次發(fā)生。試卷答案一、選擇題1.D2.B3.C4.D5.B6.C7.B8.B9.C10.ABCD二、填空題1.植入/控制，服務(wù)器/客戶端(順序可顛倒)2.進(jìn)程3.通信4.沙箱5.防火墻6.變化/行為7.隔離8.身份/特征/路徑9.修復(fù)10.法律三、簡答題1.木馬的生命周期通常包括植入、潛伏、通信、控制和擴(kuò)散（或傳播）階段。植入階段是指木馬被引入目標(biāo)系統(tǒng)；潛伏階段是指木馬在系統(tǒng)中隱藏自身，等待指令；通信階段是指木馬與其C&C服務(wù)器建立聯(lián)系，傳輸數(shù)據(jù)；控制階段是指攻擊者通過木馬對受感染主機(jī)進(jìn)行控制；擴(kuò)散階段是指木馬嘗試感染其他主機(jī)。2.靜態(tài)分析是在不運(yùn)行程序的情況下，通過查看程序文件的內(nèi)容、結(jié)構(gòu)、元數(shù)據(jù)等來分析其特征。優(yōu)點(diǎn)是安全、快速，不改變原始程序。缺點(diǎn)是無法了解程序的實(shí)際行為，特別是涉及動態(tài)交互或解密/加殼的木馬。動態(tài)分析是在受控環(huán)境下運(yùn)行程序，監(jiān)控其行為，如系統(tǒng)調(diào)用、網(wǎng)絡(luò)連接、文件操作等。優(yōu)點(diǎn)是可以觀察到木馬的實(shí)際行為和功能。缺點(diǎn)是可能存在誤報(bào)（良性程序也可能行為異常），且可能對系統(tǒng)造成影響，分析環(huán)境設(shè)置復(fù)雜。靜態(tài)分析適用于初步篩選、特征提?。粍討B(tài)分析適用于深入理解功能、行為分析、脫殼。3.常用的檢測技術(shù)包括：基于簽名的檢測，通過比對文件哈希值或特征碼來識別已知木馬；基于行為的檢測，監(jiān)控系統(tǒng)行為與正常行為模式deviation，識別異常活動；基于異常的檢測，建立系統(tǒng)基線，檢測偏離基線的行為；啟發(fā)式分析，根據(jù)木馬可能存在的可疑特征（如修改注冊表啟動項(xiàng)、創(chuàng)建計(jì)劃任務(wù)等）進(jìn)行判斷；完整性校驗(yàn)，檢測系統(tǒng)文件或關(guān)鍵文件是否被篡改。4.制定應(yīng)急預(yù)案的主要步驟包括：準(zhǔn)備階段（確定事件響應(yīng)團(tuán)隊(duì)、明確職責(zé)、準(zhǔn)備工具和資源）；檢測與分析階段（識別事件、收集證據(jù)、分析原因）；響應(yīng)階段（遏制損害、根除威脅、恢復(fù)系統(tǒng)）；事后階段（總結(jié)經(jīng)驗(yàn)教訓(xùn)、改進(jìn)安全措施、更新應(yīng)急預(yù)案）。四、分析題1.木馬感染跡象分析：報(bào)告的現(xiàn)象（系統(tǒng)緩慢、廣告彈窗、主頁被篡改、異常`svchost.exe`進(jìn)程、大量出站連接至``）高度符合木馬感染特征。異常進(jìn)程可能是木馬本身或被利用的宿主進(jìn)程，大量出站連接指向C&C服務(wù)器，``可能是惡意域名。初步溯源步驟：首先，使用任務(wù)管理器或進(jìn)程監(jiān)控工具（如ProcessExplorer）確認(rèn)`svchost.exe`的真實(shí)身份和路徑，檢查其數(shù)字簽名、文件哈希值是否可信。其次，分析系統(tǒng)日志（應(yīng)用、安全、系統(tǒng)），查找該進(jìn)程的創(chuàng)建時(shí)間、來源IP、修改的注冊表項(xiàng)或計(jì)劃任務(wù)。再次，使用網(wǎng)絡(luò)監(jiān)控工具（如Wireshark、Netstat）捕獲并分析該進(jìn)程的出站網(wǎng)絡(luò)連接，記錄目標(biāo)IP、端口、協(xié)議和流量特征，嘗試解析數(shù)據(jù)內(nèi)容。接著，將可疑文件提交給在線病毒庫或使用沙箱進(jìn)行動態(tài)分析，觀察其行為。最后，結(jié)合所有信息，嘗試追蹤``域名的注冊信息、DNS解析鏈，以及可能的攻擊來源IP。2.流量分析及溯源思路：該流量片段顯示受害主機(jī)（SourceIP:Port00:5060）與一個外部IP（DestinationIP:Port:8080）建立了TCP連接，并傳輸了Base64編碼的數(shù)據(jù)。特點(diǎn)：存在明確的C&C服務(wù)器通信模式（Client<->Server），使用TCP協(xié)議，數(shù)據(jù)采用Base64編碼，命令（cmd）和參數(shù)（user,filesz等）結(jié)構(gòu)化。深入溯源分析：首先，解析Base64數(shù)據(jù)，明確指令和數(shù)據(jù)內(nèi)容。其次，查詢``的WHOIS信息，獲取域名注冊商、注冊人等背景信息。再次，分析``域名的DNS解析記錄，查看其解析服務(wù)器、解析時(shí)間、CNAME記錄等，追蹤解析鏈。然后，分析TCP連接的連接模式（如連接頻率、持續(xù)時(shí)間、時(shí)序），判斷是否使用代理、VPN或Tor網(wǎng)絡(luò)。接著，分析通信協(xié)議細(xì)節(jié)，判斷是否使用加密（如HTTPS,TLS），嘗試解密或分析加密流量模式。最后，結(jié)合受害主機(jī)地理位置、時(shí)間戳等信息，綜合判斷攻擊來源和TTPs。五、綜合應(yīng)用題1.分析證據(jù)材料的思路：首先，解壓`system_log_20231027.zip`，使用日志分析工具（如LogParser,ELKStack）搜索異常進(jìn)程創(chuàng)建（如`svchost.exe`）、可疑文件訪問、注冊表修改、網(wǎng)絡(luò)連接（特別是出站）、服務(wù)安裝/啟動等關(guān)鍵詞。其次，打開`netcap_20231027.pcap`，使用Wireshark分析捕獲的網(wǎng)絡(luò)流量，重點(diǎn)檢查出站TCP連接指向``或相似域名的流量，分析端口、時(shí)序、數(shù)據(jù)包特征，嘗試解碼應(yīng)用層數(shù)據(jù)（如HTTP/HTTPS）。再次，將`SuspiciousFile.exe`放入沙箱（如CuckooSandbox）運(yùn)行，監(jiān)控其行為，包括創(chuàng)建的進(jìn)程、文件、注冊表項(xiàng)、網(wǎng)絡(luò)連接、系統(tǒng)調(diào)用等。最后，如果沙箱分析需要，可使用反編譯器（如IDAPro,Ghidra）靜態(tài)分析該可執(zhí)行文件的代碼、結(jié)構(gòu)和可能的C&C通信協(xié)議。2.重點(diǎn)關(guān)注證據(jù)：重點(diǎn)關(guān)注異常進(jìn)程的詳細(xì)信息（命令行參數(shù)、模塊加載、資源使用）；可疑文件的特征（文件哈希、簽名、代碼結(jié)構(gòu)、行為特征）；出站網(wǎng)絡(luò)連接的目標(biāo)IP、端口、協(xié)議、流量大小