2023全国职业技能竞赛“信息安全管理与评估赛项“参考答案-二阶段

2023全国职业技能竞赛"信息安全管理与评估赛项"参考答案-二阶段

第一部分 网络安全事件响应

任务1：CentOS服务器应急响应（70分）

A集团的应用服务器被黑客入侵，该服务器的Web应用系统被上传恶意软件，系统文件被恶意软件破坏，您的团队需要帮助该公司追踪此网络攻击的来源，在服务器上进行全面的检查，包括日志信息、进程信息、系统文件、恶意文件等，从而分析黑客的攻击行为，发现系统中的漏洞，并对发现的漏洞进行修复。
本任务素材清单：CentOS服务器虚拟机。
受攻击的Server服务器已整体打包成虚拟机文件保存，请选手自行导入分析。用户名：root，密码：nanyidian…
注意：Server服务器的基本配置参见附录，若题目中未明确规定，请使用默认配置。
请按要求完成该部分的工作任务。

第二部分 数字取证调查

任务2 ：基于Windows的内存取证（40分）

A集团某服务器系统感染恶意程序，导致系统关键文件被破坏，请分析A集团提供的系统镜像和内存镜像，找到系统镜像中的恶意软件，分析恶意软件行为。
本任务素材清单：内存镜像（*.raw）。
请按要求完成该部分的工作任务。

任务3：通信数据分析取证（50分）

A集团的网络安全监控系统发现恶意份子正在实施高级可持续攻击（APT），并抓取了部分可疑流量包。请您根据捕捉到的流量包，搜寻出网络攻击线索，分解出隐藏的恶意程序，并分析恶意程序的行为。
本任务素材清单：捕获的通信数据文件。
请按要求完成该部分的工作任务。

任务4：基于Linux计算机单机取证（60分）

对给定取证镜像文件进行分析，搜寻证据关键字（线索关键字为“evidence 1”、“evidence 2”、……、“evidence 10”，有文本形式也有图片形式，不区分大小写），请提取和固定比赛要求的标的证据文件，并按样例的格式要求填写相关信息，证据文件在总文件数中所占比例不低于15%。取证的信息可能隐藏在正常的、已删除的或受损的文件中，您可能需要运用编码转换技术、加解密技术、隐写技术、数据恢复技术，还需要熟悉常用的文件格式（如办公文档、压缩文档、图片等）。
本任务素材清单：取证镜像文件。
请按要求完成该部分的工作任务。

第三部分 应用程序安全

任务5：Android恶意程序分析（50分）
A集团发现其发布的Android移动应用程序文件遭到非法篡改，您的团队需要协助A集团对该恶意程序样本进行逆向分析、对其攻击/破坏的行为进行调查取证。
本任务素材清单：Android移动应用程序文件。
请按要求完成该部分的工作任务。

任务6：C代码审计（30分）

代码审计是指对源代码进行检查，寻找代码存在的脆弱性，这是一项需要多方面技能的技术。作为一项软件安全检查工作，代码安全审查是非常重要的一部分，因为大部分代码从语法和语义上来说是正确的，但存在着可能被利用的安全漏洞，你必须依赖你的知识和经验来完成这项工作。
本任务素材清单：C源代码文件。
请按要求完成该部分的工作任务。