2022年全國職業(yè)院校技能大賽高職組“信息安全管理與評估”賽項-第2階段-賽題

第二階段競賽項目試題

本文件為信息安全管理與評估項目競賽-第二階段試題，第二階段內容包括：網絡安全事

件響應、數字取證調查和應用程序安全。

本次比賽時間為180分鐘。

介紹

競賽有固定的開始和結束時間，選手必須決定如何有效的分配時間。請閱讀以下指引！

（1）當競賽結束，離開時請不要關機；

（2）所有配置應當在重啟后有效；

（3）除了CD-ROM/HDD/NET驅動器，請不要修改實體機的配置和虛擬機本身的硬件設置。

所需的設備、機械、裝置和材料

所有測試項目都可以由參賽選手根據基礎設施列表中指定的設備和軟件完成。

評分方案

本項目模塊分數為350分。

項目和任務描述

隨著網絡和信息化水平的不斷發(fā)展，網絡安全事件也層出不窮，網絡惡意代碼傳播、信

息竊取、信息篡改、遠程控制等各種網絡攻擊行為已嚴重威脅到信息系統(tǒng)的機密性、完整性

和可用性。因此，對抗網絡攻擊，組織安全事件應急響應，采集電子證據等技術工作是網絡

安全防護的重要部分?，F在，A集團已遭受來自不明組織的非法惡意攻擊，您的團隊需要幫助

A集團追蹤此網絡攻擊來源，分析惡意攻擊攻擊行為的證據線索，找出操作系統(tǒng)和應用程序中

的漏洞或者惡意代碼，幫助其鞏固網絡安全防線。

本模塊主要分為以下幾個部分：

●網絡安全事件響應

●數字取證調查

●應用程序安全

本部分的所有工作任務素材或環(huán)境均已放置在指定的計算機上，參賽選手完成后，填寫

在電腦桌面上“信息安全管理與評估競賽-第二階段答題卷”中。選手的電腦中已經安裝好

Office軟件并提供必要的軟件工具（Tools工具包）。

2/8

工作任務

第一部分網絡安全事件響應

任務1：應急響應

A集團的WebServer服務器被黑客入侵，該服務器的應用系統(tǒng)被上傳惡意軟件，重要文件

被破壞，作為一個信息安全工程師需要針對企業(yè)發(fā)生的網絡安全事件啟動應急響應，根據企

業(yè)提供的環(huán)境信息進行數據取證調查，調查服務器被黑客攻擊的相關信息，發(fā)現被黑客放置

在服務器上的惡意軟件或后門程序，分析黑客如何入侵進服務器。

本任務素材包括：Server服務器虛擬機（VMWare格式）

受攻擊的Server服務器已整體打包成虛擬機文件保存，請選手自行導入分析,WebServer

服務器的基本配置參見如下，若題目中未明確規(guī)定，請使用默認配置。

Linux：root/123456

Mysql：web/chinaskills@2022

請按要求完成該部分的工作任務，答案有多項內容的請用換行分隔。

任務1：應急響應

序號任務要求答案

1提交攻擊者的IP地址（5分）

2識別攻擊者使用的操作系統(tǒng)（5分）

3找出攻擊者資產收集所使用的平臺（10分）

提交攻擊者目錄掃描所使用的工具名稱（10

4

分）

提交攻擊者首次攻擊成功的時間，格式：DD

5

/MM/YY:HH:MM:SS（10分）

找到攻擊者寫入的惡意后門文件，提交文件

6

名（完整路徑）和后門密碼（10分）

找到攻擊者隱藏在正常web應用代碼中的惡意

7

代碼，提交該文件名（完整路徑）（10分）

識別系統(tǒng)中存在的惡意程序進程，提交進程

8

名（10分）

找到文件系統(tǒng)中的惡意程序文件并提交文件

9

名（完整路徑）（10分）

3/8

第二部分數字取證調查

任務2：操作系統(tǒng)取證

A集團某電腦系統(tǒng)感染惡意程序，導致系統(tǒng)關鍵文件被破壞，該集團的技術人員已及時發(fā)

現入侵行為，并對系統(tǒng)內存和硬盤做了鏡像固定。請根據A集團提供的磁盤鏡像和內存鏡像的

原始證據，分析并提取入侵行為證據。（本題所需要分析的操作系統(tǒng)為windows系列或linux

系列）。

本任務素材包括：內存鏡像（*.vmem）。

請按要求完成該部分的工作任務。

任務2：操作系統(tǒng)取證

序號任務要求答案

請找出管理員保存此鏡像的時間（格式

1為：yyyy-mm-ddhour:minute:second;

東八區(qū))（10分）

請找出管理員用戶登錄密碼的hash值（10

2

分）

請找出桌面上某文件里存在的可疑信息

3

（15分）

請找出用戶在環(huán)境變量中留下的有關KEY的

4

痕跡（15分）

任務3：網絡數據包分析

A集團工作人員截獲了含有攻擊行為的網絡數據包，請根據A集團提供的網絡數據包文件，

分析數據包中的惡意的攻擊行為，按答題卡的要求完成該部分的工作任務。

本任務素材包括：捕獲的網絡數據包文件（*.pcap）。

請按要求完成該部分的工作任務，答案有多項內容的請用換行分隔。

任務3：網絡數據包分析

序號任務要求答案

該流量中一共有多少條爆破記錄（15

1

分）

2該盲注操作的字典內容是什么（15分）

藏有flag的數據庫內有哪些數據表，以

3group_concat結果形式提交答案（15

分）

4/8

4題目中的flag答案是什么（15分）

任務4：計算機單機取證

對給定取證鏡像文件進行分析，搜尋證據關鍵字（線索關鍵字為“evidence1”、

“evidence2”、……、“evidence10”，有文本形式也有圖片形式，不區(qū)分大小寫），請

提取和固定比賽要求的標的證據文件，并按樣例的格式要求填寫相關信息，證據文件在總文

件數中所占比例不低于15%。取證的信息可能隱藏在正常的、已刪除的或受損的文件中，您可

能需要運用編碼轉換技術、加解密技術、隱寫技術、數據恢復技術，還需要熟悉常用的文件

格式（如辦公文檔、壓縮文檔、圖片等）。

本任務素材包括：取證鏡像文件（*.E01）

請根據賽題環(huán)境及現場答題卡任務要求提交正確答案。

任務4：計算機單機取證

證據編號屬性答案

1文件名（存在于鏡像中的文件名）

evidence1

2鏡像中原文件Hash碼（MD5）（7分）

1文件名（存在于鏡像中的文件名）

evidence2

2鏡像中原文件Hash碼（MD5）（7分）

1文件名（存在于鏡像中的文件名）

evidence3

2鏡像中原文件Hash碼（MD5）（7分）

1文件名（存在于鏡像中的文件名）

evidence4

2鏡像中原文件Hash碼（MD5）（7分）

1文件名（存在于鏡像中的文件名）

evidence5

2鏡像中原文件Hash碼（MD5）（7分）

1文件名（存在于鏡像中的文件名）

evidence6

2鏡像中原文件Hash碼（MD5）（7分）

5/8

1文件名（存在于鏡像中的文件名）

evidence7

2鏡像中原文件Hash碼（MD5）（7分）

1文件名（存在于鏡像中的文件名）

evidence8

2鏡像中原文件Hash碼（MD5）（7分）

1文件名（存在于鏡像中的文件名）

evidence9

2鏡像中原文件Hash碼（MD5）（7分）

1文件名（存在于鏡像中的文件名）

evidence10

2鏡像中原文件Hash碼（MD5）（7分）

注：表格中每個證據的答案必須全部答對才得分。

6/8

第三部分應用程序安全

任務5：應用程序安全分析

A集團在移動樣本監(jiān)控過程中發(fā)現病毒樣本，你的團隊需要協(xié)助A集團對該病毒樣本進行

逆向分析、對黑客攻擊的信息進行調查取證，提交相關信息取證分析報告。

本任務素材包括：驅動程序文件（*.sys）

請根據賽題環(huán)境及現場答題卡任務要求提交正確答案。

任務5：應用程序安全分析

序號任務要求答案

1木馬所使用的保護殼名稱（20分）

木馬所使用的算法編碼表的CRC32校驗

2

碼（大寫）（20分）

3最終的key（flag{}）（20分）

任務6：代碼審計

A集團發(fā)現其發(fā)布的應用程序遭到了惡意攻擊，A集團提供了應用程序的主要代碼，您的

團隊需要協(xié)助A集團對該應用程序代碼進行分析，找出存在的脆弱點。

本任務素材清單：Web程序文件（*.php）

請根據賽題環(huán)境及現場答題卡任務要求提交正確答案。

任務5：代碼審計

序號任務要求答案

1存在主要安全問題的代碼行（10分）

2請指出可能導致威脅的名稱（10分）

3請解釋怎樣使代碼變得安全（10分）

7/8

附錄A:分值分配表

序號描述分值

B網絡安全事件響應、數字取證調查、應用程序安全350

B1應急響應80

B2操作系統(tǒng)取證50

B3網絡數據包分析60

B4計算機單機取證70

B5應用程序安全分析60

B6代碼審計30

8/8

信息安全管理與評估第二階段

網絡安全事件響應

數字取證調查

應用程序安全

競賽試題

1/8

第二階段競賽項目試題

本文件為信息安全管理與評估項目競賽-第二階段試題，第二階段內容包括：網絡安全事

件響應、數字取證調查和應用程序安全。

本次比賽時間為180分鐘。

介紹

競賽有固定的開始和結束時間，選手必須決定如何有效的分配時間。請閱讀以下指引！

（1）當競賽結束，離開時請不要關機；

（2）所有配置應當在重啟后有效；

（3）除了CD-ROM/HDD/NET驅動器，請不要修改實體機的配置和虛擬機本身的硬件設置。

所需的設備、機械、裝置和材料

所有測試項目都可以由參賽選手根據基礎設施列表中指定的設備和軟件完成。

評分方案

本項目模塊分數為350分。

項目和任務描述

隨著網絡和信息化水平的不斷發(fā)展，網絡安全事件也層出不窮，網絡惡意代碼傳播、信

息竊取、信息篡改、遠程控制等各種網絡攻擊行為已嚴重威脅到信息系統(tǒng)的機密性、完整性

和可用性。因此，對抗網絡攻擊，組織安全事件應急響應，采集電子證據等技術工作是網絡

安全防護的重要部分。現在，A集團已遭受來自不明組織的非法惡意攻擊，您的團隊需要幫助

A集團追蹤此網絡攻擊來源，分析惡意攻擊攻擊行為的證據線索，找出操作系統(tǒng)和應用程序中

的漏洞或者惡意代碼，幫助其鞏固網絡安全防線。

本模塊主要分為以下幾個部分：

●網絡安全事件響應

●數字取證調查

●應用程序安全

本部分的所有工作任務素材或環(huán)境均已放置在指定的計算機上，參賽選手完成后，填寫

在電腦桌面上“信息安全管理與評估競賽-第二階段答題卷”中。選手的電腦中已經安裝好

Office軟件并提供必要的軟件工具（Tools工具包）。

2/8

工作任務

第一部分網絡安全事件響應

任務1：應急響應

A集團的WebServer服務器被黑客入侵，該服務器的應用系統(tǒng)被上傳惡意軟件，重要文件

被破壞，作為一個信息安全工程師需要針對企業(yè)發(fā)生的網絡安全事件啟動應急響應，根據企

業(yè)提供的環(huán)境信息進行數據取證調查，調查服務器被黑客攻擊的相關信息，發(fā)現被黑客放置

在服務器上的惡意軟件或后門程序，分析黑客如何入侵進服務器。

本任務素材包括：Server服務器虛擬機（VMWare格式）

受攻擊的Server服務器已整體打包成虛擬機文件保存，請選手自行導入分析,WebServer

服務器的基本配置參見如下，若題目中未明確規(guī)定，請使用默認配置。

Linux：root/123456

Mysql：web/chinaskills@2022

請按要求完成該部分的工作任務，答案有多項內容的請用換行分隔。

任務1：應急響應

序號任務要求答案

1提交攻擊者的IP地址（5分）

2識別攻擊者使用的操作系統(tǒng)（5分）

3找出攻擊者資產收集所使用的平臺（10分）

提交攻擊者目錄掃描所使用的工具名稱（10

4

分）

提交攻擊者首次攻擊成功的時間，格式：DD

5

/MM/YY:HH:MM:SS（10分）

找到攻擊者寫入的惡意后門文件，提交文件

6

名（完整路徑）和后門密碼（10分）

找到攻擊者隱藏在正常web應用代碼中的惡意

7

代碼，提交該文件名（完整路徑）（10分）

識別系統(tǒng)中存在的惡意程序進程，提交進程

8

名（10分）

找到文件系統(tǒng)中的惡意程序文件并提交文件

9

名（完整路徑）（10分）

3/8

第二部分數字取證調查

任務2：操作系統(tǒng)取證

A集團某電腦系統(tǒng)感染惡意程序，導致系統(tǒng)關鍵文件被破壞，該集團的技術人員已及時發(fā)

現入侵行為，并對系統(tǒng)內存和硬盤做了鏡像固定。請根據A集團提供的磁盤鏡像和內存鏡像的

原始證據，分析并提取入侵行為證據。（本題所需要分析的操作系統(tǒng)為windows系列或linux

系列）。

本任務素材包括：內