2022年全國職業(yè)院校技能大賽高職組“信息安全管理與評估”賽項-第2階段-賽題

第二階段競賽項目試題

本文件為信息安全管理與評估項目競賽-第二階段試題，第二階段內(nèi)容包括：網(wǎng)絡(luò)安全事

件響應(yīng)、數(shù)字取證調(diào)查和應(yīng)用程序安全。

本次比賽時間為180分鐘。

介紹

競賽有固定的開始和結(jié)束時間，選手必須決定如何有效的分配時間。請閱讀以下指引！

（1）當(dāng)競賽結(jié)束，離開時請不要關(guān)機(jī)；

（2）所有配置應(yīng)當(dāng)在重啟后有效；

（3）除了CD-ROM/HDD/NET驅(qū)動器，請不要修改實體機(jī)的配置和虛擬機(jī)本身的硬件設(shè)置。

所需的設(shè)備、機(jī)械、裝置和材料

所有測試項目都可以由參賽選手根據(jù)基礎(chǔ)設(shè)施列表中指定的設(shè)備和軟件完成。

評分方案

本項目模塊分?jǐn)?shù)為350分。

項目和任務(wù)描述

隨著網(wǎng)絡(luò)和信息化水平的不斷發(fā)展，網(wǎng)絡(luò)安全事件也層出不窮，網(wǎng)絡(luò)惡意代碼傳播、信

息竊取、信息篡改、遠(yuǎn)程控制等各種網(wǎng)絡(luò)攻擊行為已嚴(yán)重威脅到信息系統(tǒng)的機(jī)密性、完整性

和可用性。因此，對抗網(wǎng)絡(luò)攻擊，組織安全事件應(yīng)急響應(yīng)，采集電子證據(jù)等技術(shù)工作是網(wǎng)絡(luò)

安全防護(hù)的重要部分?，F(xiàn)在，A集團(tuán)已遭受來自不明組織的非法惡意攻擊，您的團(tuán)隊需要幫助

A集團(tuán)追蹤此網(wǎng)絡(luò)攻擊來源，分析惡意攻擊攻擊行為的證據(jù)線索，找出操作系統(tǒng)和應(yīng)用程序中

的漏洞或者惡意代碼，幫助其鞏固網(wǎng)絡(luò)安全防線。

本模塊主要分為以下幾個部分：

●網(wǎng)絡(luò)安全事件響應(yīng)

●數(shù)字取證調(diào)查

●應(yīng)用程序安全

本部分的所有工作任務(wù)素材或環(huán)境均已放置在指定的計算機(jī)上，參賽選手完成后，填寫

在電腦桌面上“信息安全管理與評估競賽-第二階段答題卷”中。選手的電腦中已經(jīng)安裝好

Office軟件并提供必要的軟件工具（Tools工具包）。

2/8

工作任務(wù)

第一部分網(wǎng)絡(luò)安全事件響應(yīng)

任務(wù)1：應(yīng)急響應(yīng)

A集團(tuán)的WebServer服務(wù)器被黑客入侵，該服務(wù)器的應(yīng)用系統(tǒng)被上傳惡意軟件，重要文件

被破壞，作為一個信息安全工程師需要針對企業(yè)發(fā)生的網(wǎng)絡(luò)安全事件啟動應(yīng)急響應(yīng)，根據(jù)企

業(yè)提供的環(huán)境信息進(jìn)行數(shù)據(jù)取證調(diào)查，調(diào)查服務(wù)器被黑客攻擊的相關(guān)信息，發(fā)現(xiàn)被黑客放置

在服務(wù)器上的惡意軟件或后門程序，分析黑客如何入侵進(jìn)服務(wù)器。

本任務(wù)素材包括：Server服務(wù)器虛擬機(jī)（VMWare格式）

受攻擊的Server服務(wù)器已整體打包成虛擬機(jī)文件保存，請選手自行導(dǎo)入分析,WebServer

服務(wù)器的基本配置參見如下，若題目中未明確規(guī)定，請使用默認(rèn)配置。

Linux：root/123456

Mysql：web/chinaskills@2022

請按要求完成該部分的工作任務(wù)，答案有多項內(nèi)容的請用換行分隔。

任務(wù)1：應(yīng)急響應(yīng)

序號任務(wù)要求答案

1提交攻擊者的IP地址（5分）

2識別攻擊者使用的操作系統(tǒng)（5分）

3找出攻擊者資產(chǎn)收集所使用的平臺（10分）

提交攻擊者目錄掃描所使用的工具名稱（10

4

分）

提交攻擊者首次攻擊成功的時間，格式：DD

5

/MM/YY:HH:MM:SS（10分）

找到攻擊者寫入的惡意后門文件，提交文件

6

名（完整路徑）和后門密碼（10分）

找到攻擊者隱藏在正常web應(yīng)用代碼中的惡意

7

代碼，提交該文件名（完整路徑）（10分）

識別系統(tǒng)中存在的惡意程序進(jìn)程，提交進(jìn)程

8

名（10分）

找到文件系統(tǒng)中的惡意程序文件并提交文件

9

名（完整路徑）（10分）

3/8

第二部分?jǐn)?shù)字取證調(diào)查

任務(wù)2：操作系統(tǒng)取證

A集團(tuán)某電腦系統(tǒng)感染惡意程序，導(dǎo)致系統(tǒng)關(guān)鍵文件被破壞，該集團(tuán)的技術(shù)人員已及時發(fā)

現(xiàn)入侵行為，并對系統(tǒng)內(nèi)存和硬盤做了鏡像固定。請根據(jù)A集團(tuán)提供的磁盤鏡像和內(nèi)存鏡像的

原始證據(jù)，分析并提取入侵行為證據(jù)。（本題所需要分析的操作系統(tǒng)為windows系列或linux

系列）。

本任務(wù)素材包括：內(nèi)存鏡像（*.vmem）。

請按要求完成該部分的工作任務(wù)。

任務(wù)2：操作系統(tǒng)取證

序號任務(wù)要求答案

請找出管理員保存此鏡像的時間（格式

1為：yyyy-mm-ddhour:minute:second;

東八區(qū))（10分）

請找出管理員用戶登錄密碼的hash值（10

2

分）

請找出桌面上某文件里存在的可疑信息

3

（15分）

請找出用戶在環(huán)境變量中留下的有關(guān)KEY的

4

痕跡（15分）

任務(wù)3：網(wǎng)絡(luò)數(shù)據(jù)包分析

A集團(tuán)工作人員截獲了含有攻擊行為的網(wǎng)絡(luò)數(shù)據(jù)包，請根據(jù)A集團(tuán)提供的網(wǎng)絡(luò)數(shù)據(jù)包文件，

分析數(shù)據(jù)包中的惡意的攻擊行為，按答題卡的要求完成該部分的工作任務(wù)。

本任務(wù)素材包括：捕獲的網(wǎng)絡(luò)數(shù)據(jù)包文件（*.pcap）。

請按要求完成該部分的工作任務(wù)，答案有多項內(nèi)容的請用換行分隔。

任務(wù)3：網(wǎng)絡(luò)數(shù)據(jù)包分析

序號任務(wù)要求答案

該流量中一共有多少條爆破記錄（15

1

分）

2該盲注操作的字典內(nèi)容是什么（15分）

藏有flag的數(shù)據(jù)庫內(nèi)有哪些數(shù)據(jù)表，以

3group_concat結(jié)果形式提交答案（15

分）

4/8

4題目中的flag答案是什么（15分）

任務(wù)4：計算機(jī)單機(jī)取證

對給定取證鏡像文件進(jìn)行分析，搜尋證據(jù)關(guān)鍵字（線索關(guān)鍵字為“evidence1”、

“evidence2”、……、“evidence10”，有文本形式也有圖片形式，不區(qū)分大小寫），請

提取和固定比賽要求的標(biāo)的證據(jù)文件，并按樣例的格式要求填寫相關(guān)信息，證據(jù)文件在總文

件數(shù)中所占比例不低于15%。取證的信息可能隱藏在正常的、已刪除的或受損的文件中，您可

能需要運用編碼轉(zhuǎn)換技術(shù)、加解密技術(shù)、隱寫技術(shù)、數(shù)據(jù)恢復(fù)技術(shù)，還需要熟悉常用的文件

格式（如辦公文檔、壓縮文檔、圖片等）。

本任務(wù)素材包括：取證鏡像文件（*.E01）

請根據(jù)賽題環(huán)境及現(xiàn)場答題卡任務(wù)要求提交正確答案。

任務(wù)4：計算機(jī)單機(jī)取證

證據(jù)編號屬性答案

1文件名（存在于鏡像中的文件名）

evidence1

2鏡像中原文件Hash碼（MD5）（7分）

1文件名（存在于鏡像中的文件名）

evidence2

2鏡像中原文件Hash碼（MD5）（7分）

1文件名（存在于鏡像中的文件名）

evidence3

2鏡像中原文件Hash碼（MD5）（7分）

1文件名（存在于鏡像中的文件名）

evidence4

2鏡像中原文件Hash碼（MD5）（7分）

1文件名（存在于鏡像中的文件名）

evidence5

2鏡像中原文件Hash碼（MD5）（7分）

1文件名（存在于鏡像中的文件名）

evidence6

2鏡像中原文件Hash碼（MD5）（7分）

5/8

1文件名（存在于鏡像中的文件名）

evidence7

2鏡像中原文件Hash碼（MD5）（7分）

1文件名（存在于鏡像中的文件名）

evidence8

2鏡像中原文件Hash碼（MD5）（7分）

1文件名（存在于鏡像中的文件名）

evidence9

2鏡像中原文件Hash碼（MD5）（7分）

1文件名（存在于鏡像中的文件名）

evidence10

2鏡像中原文件Hash碼（MD5）（7分）

注：表格中每個證據(jù)的答案必須全部答對才得分。

6/8

第三部分應(yīng)用程序安全

任務(wù)5：應(yīng)用程序安全分析

A集團(tuán)在移動樣本監(jiān)控過程中發(fā)現(xiàn)病毒樣本，你的團(tuán)隊需要協(xié)助A集團(tuán)對該病毒樣本進(jìn)行

逆向分析、對黑客攻擊的信息進(jìn)行調(diào)查取證，提交相關(guān)信息取證分析報告。

本任務(wù)素材包括：驅(qū)動程序文件（*.sys）

請根據(jù)賽題環(huán)境及現(xiàn)場答題卡任務(wù)要求提交正確答案。

任務(wù)5：應(yīng)用程序安全分析

序號任務(wù)要求答案

1木馬所使用的保護(hù)殼名稱（20分）

木馬所使用的算法編碼表的CRC32校驗

2

碼（大寫）（20分）

3最終的key（flag{}）（20分）

任務(wù)6：代碼審計

A集團(tuán)發(fā)現(xiàn)其發(fā)布的應(yīng)用程序遭到了惡意攻擊，A集團(tuán)提供了應(yīng)用程序的主要代碼，您的

團(tuán)隊需要協(xié)助A集團(tuán)對該應(yīng)用程序代碼進(jìn)行分析，找出存在的脆弱點。

本任務(wù)素材清單：Web程序文件（*.php）

請根據(jù)賽題環(huán)境及現(xiàn)場答題卡任務(wù)要求提交正確答案。

任務(wù)5：代碼審計

序號任務(wù)要求答案

1存在主要安全問題的代碼行（10分）

2請指出可能導(dǎo)致威脅的名稱（10分）

3請解釋怎樣使代碼變得安全（10分）

7/8

附錄A:分值分配表

序號描述分值

B網(wǎng)絡(luò)安全事件響應(yīng)、數(shù)字取證調(diào)查、應(yīng)用程序安全350

B1應(yīng)急響應(yīng)80

B2操作系統(tǒng)取證50

B3網(wǎng)絡(luò)數(shù)據(jù)包分析60

B4計算機(jī)單機(jī)取證70

B5應(yīng)用程序安全分析60

B6代碼審計30

8/8

信息安全管理與評估第二階段

網(wǎng)絡(luò)安全事件響應(yīng)

數(shù)字取證調(diào)查

應(yīng)用程序安全

競賽試題

1/8

第二階段競賽項目試題

本文件為信息安全管理與評估項目競賽-第二階段試題，第二階段內(nèi)容包括：網(wǎng)絡(luò)安全事

件響應(yīng)、數(shù)字取證調(diào)查和應(yīng)用程序安全。

本次比賽時間為180分鐘。

介紹

競賽有固定的開始和結(jié)束時間，選手必須決定如何有效的分配時間。請閱讀以下指引！

（1）當(dāng)競賽結(jié)束，離開時請不要關(guān)機(jī)；

（2）所有配置應(yīng)當(dāng)在重啟后有效；

（3）除了CD-ROM/HDD/NET驅(qū)動器，請不要修改實體機(jī)的配置和虛擬機(jī)本身的硬件設(shè)置。

所需的設(shè)備、機(jī)械、裝置和材料

所有測試項目都可以由參賽選手根據(jù)基礎(chǔ)設(shè)施列表中指定的設(shè)備和軟件完成。

評分方案

本項目模塊分?jǐn)?shù)為350分。

項目和任務(wù)描述

隨著網(wǎng)絡(luò)和信息化水平的不斷發(fā)展，網(wǎng)絡(luò)安全事件也層出不窮，網(wǎng)絡(luò)惡意代碼傳播、信

息竊取、信息篡改、遠(yuǎn)程控制等各種網(wǎng)絡(luò)攻擊行為已嚴(yán)重威脅到信息系統(tǒng)的機(jī)密性、完整性

和可用性。因此，對抗網(wǎng)絡(luò)攻擊，組織安全事件應(yīng)急響應(yīng)，采集電子證據(jù)等技術(shù)工作是網(wǎng)絡(luò)

安全防護(hù)的重要部分?，F(xiàn)在，A集團(tuán)已遭受來自不明組織的非法惡意攻擊，您的團(tuán)隊需要幫助

A集團(tuán)追蹤此網(wǎng)絡(luò)攻擊來源，分析惡意攻擊攻擊行為的證據(jù)線索，找出操作系統(tǒng)和應(yīng)用程序中

的漏洞或者惡意代碼，幫助其鞏固網(wǎng)絡(luò)安全防線。

本模塊主要分為以下幾個部分：

●網(wǎng)絡(luò)安全事件響應(yīng)

●數(shù)字取證調(diào)查

●應(yīng)用程序安全

本部分的所有工作任務(wù)素材或環(huán)境均已放置在指定的計算機(jī)上，參賽選手完成后，填寫

在電腦桌面上“信息安全管理與評估競賽-第二階段答題卷”中。選手的電腦中已經(jīng)安裝好

Office軟件并提供必要的軟件工具（Tools工具包）。

2/8

工作任務(wù)

第一部分網(wǎng)絡(luò)安全事件響應(yīng)

任務(wù)1：應(yīng)急響應(yīng)

A集團(tuán)的WebServer服務(wù)器被黑客入侵，該服務(wù)器的應(yīng)用系統(tǒng)被上傳惡意軟件，重要文件

被破壞，作為一個信息安全工程師需要針對企業(yè)發(fā)生的網(wǎng)絡(luò)安全事件啟動應(yīng)急響應(yīng)，根據(jù)企

業(yè)提供的環(huán)境信息進(jìn)行數(shù)據(jù)取證調(diào)查，調(diào)查服務(wù)器被黑客攻擊的相關(guān)信息，發(fā)現(xiàn)被黑客放置

在服務(wù)器上的惡意軟件或后門程序，分析黑客如何入侵進(jìn)服務(wù)器。

本任務(wù)素材包括：Server服務(wù)器虛擬機(jī)（VMWare格式）

受攻擊的Server服務(wù)器已整體打包成虛擬機(jī)文件保存，請選手自行導(dǎo)入分析,WebServer

服務(wù)器的基本配置參見如下，若題目中未明確規(guī)定，請使用默認(rèn)配置。

Linux：root/123456

Mysql：web/chinaskills@2022

請按要求完成該部分的工作任務(wù)，答案有多項內(nèi)容的請用換行分隔。

任務(wù)1：應(yīng)急響應(yīng)

序號任務(wù)要求答案

1提交攻擊者的IP地址（5分）

2識別攻擊者使用的操作系統(tǒng)（5分）

3找出攻擊者資產(chǎn)收集所使用的平臺（10分）

提交攻擊者目錄掃描所使用的工具名稱（10

4

分）

提交攻擊者首次攻擊成功的時間，格式：DD

5

/MM/YY:HH:MM:SS（10分）

找到攻擊者寫入的惡意后門文件，提交文件

6

名（完整路徑）和后門密碼（10分）

找到攻擊者隱藏在正常web應(yīng)用代碼中的惡意

7

代碼，提交該文件名（完整路徑）（10分）

識別系統(tǒng)中存在的惡意程序進(jìn)程，提交進(jìn)程

8

名（10分）

找到文件系統(tǒng)中的惡意程序文件并提交文件

9

名（完整路徑）（10分）

3/8

第二部分?jǐn)?shù)字取證調(diào)查

任務(wù)2：操作系統(tǒng)取證

A集團(tuán)某電腦系統(tǒng)感染惡意程序，導(dǎo)致系統(tǒng)關(guān)鍵文件被破壞，該集團(tuán)的技術(shù)人員已及時發(fā)

現(xiàn)入侵行為，并對系統(tǒng)內(nèi)存和硬盤做了鏡像固定。請根據(jù)A集團(tuán)提供的磁盤鏡像和內(nèi)存鏡像的

原始證據(jù)，分析并提取入侵行為證據(jù)。（本題所需要分析的操作系統(tǒng)為windows系列或linux

系列）。

本任務(wù)素材包括：內(nèi)