在SIP上检测出主机上有挖矿病毒，但是EDR查不出任何问题，这时不正确的思路为

试卷相关题目

• 1SIP上检测到主机存在挖矿，给出了连接的IP，但到第三方威胁平台上查看不到该IP有任何问题，这时正常的分析思路是

  A.SIP误报了，该IP是正常的

  B.使用第三方威胁情报反查IP的域名，再查域名是否为挖矿地址

  C.第三方威胁情报有问题

  D.使用腾讯哈勃进行确认

  开始考试点击查看答案
• 2客户一台主机在SIP上显示一直在连接矿池IP,但是微步上查不到该IP地址为矿池，首先你应该怎样分析

  A.和总部反馈该事件为误判，修改特征库

  B.直接使用EDR到客户服务器进行查杀

  C.通过微步对IP地址进行域名反查，再查询反查得到的域名

  D.对服务器进行进程分析

  开始考试点击查看答案
• 3使用以下哪个工具可以查看进程的内存空间

  A.everything

  B.D盾

  C.process hacker

  D.火绒剑

  开始考试点击查看答案
• 4SIP检测到终端存在挖矿病毒，但是终端的cpu/内存占用率都很低的可能原因是

  A.终端无法上网，挖矿病毒无法连接矿池，执行挖矿病毒失败

  B.终端是一台虚拟机

  C.终端通过内网DNS代理服务器请求域名

  D.终端加入了域控

  开始考试点击查看答案
• 5客户大面积出现蓝屏情况，查看主机的windows目录中存在C:Windowsqeriuwjhrf文件，由可以分析出来的结果是

  A.客户有大部分服务器出现了蓝屏

  B.病毒使用RDP传播

  C.病毒使用SMB传播

  D.病毒使用永恒之蓝漏洞传播

  开始考试点击查看答案
• 6PowershellMiner、挖矿描述不正常的是

  A.利用WMI+Powershell方式实现的无文件攻击行为

  B.SMB弱口令爆破攻击和"永恒之蓝"漏洞攻击

  C.只访问一个矿池地址

  D.杀软较难查杀

  开始考试点击查看答案
• 7对于恶意程序分析的最常用的第三方工具是

  A.微步

  B.everything

  C.EDR

  D.火绒

  开始考试点击查看答案
• 8微步可以查询到的信息不包括哪一项

  A.url/ip

  B.恶意文件

  C.域名反查

  D.勒索病毒是否可以解密

  开始考试点击查看答案
• 9在使用第三方威胁情况也确认不的情况时，可以通过人工分析的方法分析主机是否存在异常行为，以下思路扫描错误的是

  A.查看描述后面拼接的域名是否很多个，且都是看起来随机的、所有域名有相似性、疑似工具生成

  B.有多台主机访问了一些相同的且与业务无关的域名

  C.安全事件查看的访问的次数较多，且查看安全日志（辅助查询）可以看出访问在时间上有一定的规律

  D.查看到的多个无规则域名，都可以在站长之家查到注册信息

  开始考试点击查看答案
• 10以下描述的是哪种病毒：1、该病毒使用445、139进行传播。2、在开机启动服务项使用随机名单。3、无法访问安全网站

  A.飞客蠕虫

  B.Nitolifi尸网络

  C.Gamarue僵尸网络

  D.Virut僵尸网络

  开始考试点击查看答案