第47屆世界技能大賽網絡安全項目江蘇省選拔賽-模塊B樣題

第47屆世界技能大賽網絡安全項目江蘇省選拔賽

模塊B

網絡安全事件響應、數字取證調查和應用程序安全

目錄

目錄........................................................................................................................................................................................1

1競賽項目簡介.....................................................................................................................................................................2

1.1介紹..............................................................................................................................................................................2

1.2所需的設備和材料......................................................................................................................................................2

1.3評分方案......................................................................................................................................................................2

2.項目和任務的描述.............................................................................................................................................................2

工作任務................................................................................................................................................................................3

2.1第一部分網絡安全事件響應.....................................................................................................................................3

2.2第二部分數字取證調查.............................................................................................................................................3

2.3第三部分應用程序安全.............................................................................................................................................5

附錄A分值分配表...............................................................................................................................................................7

-1-

1競賽項目簡介

本文件為：第47屆世界技能大賽網絡安全項目江蘇省選拔賽競賽樣題-模塊B：

本次比賽時間為5個小時。

1.1介紹

競賽有固定的開始和結束時間，參賽隊伍必須決定如何有效的分配時間。請認真閱讀以

下指引！

（1）當競賽結束，離開時請不要關機；

（2）所有配置應當在重啟后有效；

（3）除了CD-ROM/HDD/NET驅動器，請不要修改實體機的配置和虛擬機本身的硬件設置。

1.2所需的設備和材料

所有測試項目都可以由參賽選手根據基礎設施列表中指定的設備和軟件完成。

1.3評分方案

根據本項目的技術工作文件要求，本模塊總分為35分。

2.項目和任務的描述

隨著網絡和信息化水平的不斷發(fā)展，網絡安全事件也層出不窮，網絡惡意代碼傳播、信

息竊取、信息篡改、遠程控制等各種網絡攻擊行為已嚴重威脅到信息系統(tǒng)的機密性、完整性

和可用性。因此，對抗網絡攻擊，組織安全事件應急響應，采集電子證據等技術工作是網絡

安全防護的重要部分?，F在，A集團已遭受來自不明組織的非法惡意攻擊，您的團隊需要幫

助A集團追蹤此網絡攻擊來源，分析惡意攻擊攻擊行為的證據線索，找出操作系統(tǒng)和應用程

序中的漏洞或者惡意代碼，幫助其鞏固網絡安全防線。

任務分為以下幾個部分：

●網絡安全事件響應

●數字取證調查

●應用程序安全

-2-

本部分的各任務試題素材已放置在選手操作機對應任務目錄下，參賽選手完成任務后，

請將答案填寫在電腦桌面上“第47屆世界技能大賽網絡安全項目江蘇省選拔賽-模塊B答題

卷”中。選手的電腦中已經安裝好Office軟件并提供必要的軟件工具（Tools工具包）。

工作任務

2.1第一部分網絡安全事件響應

任務1：應急響應

A集團的WebServer服務器被黑客入侵，該服務器的Web應用系統(tǒng)被上傳惡意軟件，系

統(tǒng)文件被惡意軟件破壞，您的團隊需要幫助該公司追蹤此網絡攻擊的來源，在服務器上進行

全面的檢查，包括日志信息、進程信息、系統(tǒng)文件、惡意文件等，從而分析黑客的攻擊行為，

和殘留的關鍵證據信息。

本任務素材清單：WebServer服務器虛擬機

受攻擊的WebServer服務器已打包成VMWare虛擬機保存，請選手自行導入分析。

注意：WebServer服務器的基本配置信息若題目中未明確說明，請使用默認配置。

請按答題卡的要求完成該部分的工作任務。

（答題卡樣例）

序號任務內容答案

請指出攻擊者第一次攻擊成功的時間

1

（格式：dd/MM/yyyy:hh:mm:ss）

2請指出攻擊者上傳后門文件的文件名

3請寫出攻擊者修改了哪兩個文件

4提交在使用http通道攻擊時的源IP地址

5......

2.2第二部分數字取證調查

任務2：操作系統(tǒng)取證

A集團某電腦系統(tǒng)感染惡意程序，導致系統(tǒng)關鍵文件被破壞，請分析A集團提供的系統(tǒng)

鏡像和內存鏡像，找到系統(tǒng)鏡像中的惡意軟件，分析惡意軟件行為。

-3-

本任務素材清單：操作系統(tǒng)鏡像、內存鏡像（*.dump、*.img）

請按答題卡的要求完成該部分的工作任務。

（答題卡樣例）

序號任務內容答案

1請?zhí)峤幌到y(tǒng)內存中的惡意進程名稱

2請指出惡意進程向外連接的IP地址

3請寫出桌面便簽中保存的信息

4......

任務3：網絡數據包分析取證

A集團的網絡安全監(jiān)控系統(tǒng)發(fā)現有惡意攻擊者對集團官方網站進行攻擊，并抓取了部分

可疑流量包。請您根據捕捉到的流量包，搜尋出網絡攻擊線索，并分析黑客的惡意行為。

本任務素材清單：捕獲的網絡數據包文件（*.pcapng、*.pcap）

請按答題卡的要求完成該部分的工作任務。

（答題卡樣例）

序號任務內容答案

1請指出攻擊者實施攻擊成功的源IP地址

2請指出攻擊者實施的攻擊方式名稱

3請寫出攻擊者下載文件的加密方式

4......

任務4：計算機單機取證

對給定取證鏡像文件進行分析，搜尋證據關鍵字（線索關鍵字為“evidence1”、

“evidence2”、……、“evidence10”，有文本形式也有圖片形式，不區(qū)分大小寫），請

提取和固定比賽要求的標的證據文件，并按樣例的格式要求填寫相關信息，證據文件在總文

件數中所占比例不低于15%。取證的信息可能隱藏在正常的、已刪除的或受損的文件中，您

可能需要運用編碼轉換技術、加解密技術、隱寫技術、數據恢復技術，還需要熟悉常用的文

件格式（如辦公文檔、壓縮文檔、圖片等）。

-4-

本任務素材清單：取證鏡像文件（*.e01、*.img）

請按答題卡的要求完成該部分的工作任務。

（答題卡樣例）

證據編號在取證鏡像中的文件名鏡像中原文件Hash碼（MD5，不區(qū)分大小寫）

evidence1

evidence2

evidence3

evidence4

evidence5

evidence6

evidence7

evidence8

evidence9

evidence10

2.3第三部分應用程序安全

任務5：應用程序安全分析

A集團在網絡監(jiān)控過程中發(fā)現有可疑的應用程序樣本，你的團隊需要協(xié)助A集團對該可

疑應用程序進行逆向分析，對黑客攻擊的行為進行調查取證，提交相關信息取證分析報告。

本任務素材清單：應用程序文件（ELF、*.exe、*.sys等）

請按答題卡的要求完成該部分的工作任務。

（答題卡樣例）

序號任務內容答案

1請?zhí)峤辉摮绦蜻\行后創(chuàng)建文件的名稱

2請?zhí)峤辉摮绦蛳蛲膺B接的目標IP地址

3請?zhí)峤辉摮绦蚣用軘祿拿罔€

-5-

4......

任務6：代碼審計

代碼審計是指對源代碼進行檢查，尋找代碼存在的脆弱性，這是一項需要多方面技能的

技術。作為一項軟件安全檢查工作，代碼安全審查是非常重要的一部分，因為大部分代碼從

語法和語義上來說是正確的，但存在著可能被利用的安全漏洞，你必須依賴你的知識和經驗

來完成這項工作。

本任務素材清單：源代碼程序文件（*.php、*.cpp、*.java等）

請按答題卡的要求完成該部分的工作任務。

（答題卡樣例）

序號任務內容答案

1請指出哪一行代碼存在安全漏洞

2請寫出該安全漏洞可被利用的威脅的名稱

3......

-6-

附錄A分值分配表

序號