2025上海号百攻防演练响应处置培训考试
您的单位:
姓名:
1、在 Windows 主机排查中,通过 netstat -ano 命令查看网络连接,以下哪种情况可能表明主机失陷?
A、主机对内网网段的 22、445 等端口发起大量连接尝试
B、主机与外网 IP 建立 ESTABLISHED 状态连接,且 IP 归属地为国内
C、主机的网络连接数量较少
D、以上都不是
2、Windows 主机中,攻击者常隐藏恶意程序,排查前需在文件夹选项中设置显示所有文件,这是为了排查以下哪个方面?
A、网络连接
B、后门文件
C、后门账号
D、计划任务
3、在 Linux 主机排查中,执行 netstat -anp 命令查看网络连接,以下哪种情况可能异常?
A、主机对内网网段的 22 端口发起少量连接尝试
B、主机与外网 IP 建立 ESTABLISHED 状态连接,且 IP 归属地为国外云厂商
C、主机的网络连接均为正常业务连接
D、以上都不是
4、Windows 主机中,以下哪个目录不是攻击者常上传可疑文件的敏感目录?
A、C:\TEMP
B、C:\Windows\
C、C:\Users\Administrator\AppData\Roaming
D、C:$Recycle.Bin
5、在排查 Linux 主机的计划任务时,以下哪个命令可用于查看当前用户的计划任务?
A、crontab -e
B、crontab -l
C、cat /etc/crontab
D、cat /var/spool/cron/
6、在 Windows 主机的日志排查中,以下哪个事件 ID 表示账户登录失败?
A、4624
B、4625
C、528
D、529
7、在 Windows 主机排查中,以下哪些步骤可用于排查后门账号?
A、查看注册表中的账号
B、查看 administrators 组中的账号
C、查看计划任务
D、查看自启动项
8、在 Linux 主机排查中,以下哪些文件或目录可能存在恶意文件?
A、/tmp
B、/var/tmp
C、/etc/passwd
D、/etc/crontab
9、在 Windows 主机的日志分析中,以下哪些事件 ID 与账户管理相关,可用于排查账号创建等痕迹?
A、4720
B、4722
C、4738
D、4624
10、在 Linux 主机的 Web 应用排查中,以下哪些方法可用于查找可疑的 webshell 文件?
A、查找最近创建或被修改的代码文件
B、使用 D 盾等工具扫描源码文件
C、查看网络连接
D、查看进程信息
关闭
更多问卷
复制此问卷