2022年全国职业院校技能大赛高职组“信息安全管理与评估”赛项第二阶段任务书

第二阶段竞赛项目试题

本文件为信息安全管理与评估项目竞赛-第二阶段试题，第二阶段内容包括：网络安全事件响应、数字取证调查和应用程序安全。

本次比赛时间为180分钟。

介绍

竞赛有固定的开始和结束时间，选手必须决定如何有效的分配时间。请阅读以下指引！

当竞赛结束，离开时请不要关机；
所有配置应当在重启后有效；
除了CD-ROM/HDD/NET驱动器，请不要修改实体机的配置和虚拟机本身的硬件设置。

所需的设备、机械、装置和材料

所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。

评分方案

本项目模块分数为350分。

培训、环境、资料、考证
公众号：Geek极安云科
网络安全群：624032112
网络系统管理群：223627079 
网络建设与运维群：870959784 
移动应用开发群：548238632
短视频制作群：744125867
大数据应用开发群：962141356 
物联网应用与服务群：967579409
物联网应用开发群：884879404极安云科校企合作经理VX liuliu5488233极安云科专注于技能提升，赋能
2024年广东省高校的技能提升，受赋能的客户院校均获奖！
2024年江苏省赛一二等奖前13名中，我们赋能客户占五支队伍！
2024年湖南省赛赋能三所院校均获奖！
2024年山东省赛赋能两所院校均获奖！
2024年湖北省赛赋能参赛院校九支队伍，共计斩获一等奖2项、三等奖7项!

项目和任务描述

随着网络和信息化水平的不断发展，网络安全事件也层出不穷，网络恶意代码传播、信息窃取、信息篡改、远程控制等各种网络攻击行为已严重威胁到信息系统的机密性、完整性和可用性。因此，对抗网络攻击，组织安全事件应急响应，采集电子证据等技术工作是网络安全防护的重要部分。现在，A集团已遭受来自不明组织的非法恶意攻击，您的团队需要帮助 A集团追踪此网络攻击来源，分析恶意攻击攻击行为的证据线索，找出操作系统和应用程序中的漏洞或者恶意代码，帮助其巩固网络安全防线。

本模块主要分为以下几个部分：

网络安全事件响应
数字取证调查 ● 应用程序安全

本部分的所有工作任务素材或环境均已放置在指定的计算机上，参赛选手完成后，填写

在电脑桌面上“信息安全管理与评估竞赛-第二阶段答题卷”中。选手的电脑中已经安装好

Office 软件并提供必要的软件工具（Tools 工具包）。

工作任务

第一部分网络安全事件响应

任务1：应急响应

A集团的WebServer服务器被黑客入侵，该服务器的应用系统被上传恶意软件，重要文件被破坏，作为一个信息安全工程师需要针对企业发生的网络安全事件启动应急响应，根据企业提供的环境信息进行数据取证调查，调查服务器被黑客攻击的相关信息，发现被黑客放置在服务器上的恶意软件或后门程序，分析黑客如何入侵进服务器。

本任务素材包括：Server服务器虚拟机（VMWare格式）

受攻击的Server服务器已整体打包成虚拟机文件保存，请选手自行导入分析, WebServer 服务器的基本配置参见如下，若题目中未明确规定，请使用默认配置。

Linux：root/123456

Mysql：web/chinaskills@2022

请按要求完成该部分的工作任务，答案有多项内容的请用换行分隔。

任务1：应急响应
序号	任务要求	答案
1	提交攻击者的IP地址（5分）
2	识别攻击者使用的操作系统（5分）
3	找出攻击者资产收集所使用的平台（10分）
4	提交攻击者目录扫描所使用的工具名称（10 分）
5	提交攻击者首次攻击成功的时间，格式：DD /MM/YY:HH:MM:SS（10分）
6	找到攻击者写入的恶意后门文件，提交文件名（完整路径）和后门密码（10分）
7	找到攻击者隐藏在正常web应用代码中的恶意代码，提交该文件名（完整路径）（10分）
8	识别系统中存在的恶意程序进程，提交进程名（10分）
9	找到文件系统中的恶意程序文件并提交文件名（完整路径）（10分）

第二部分数字取证调查

任务2 ：操作系统取证

A集团某电脑系统感染恶意程序，导致系统关键文件被破坏，该集团的技术人员已及时发现入侵行为，并对系统内存和硬盘做了镜像固定。请根据A集团提供的磁盘镜像和内存镜像的原始证据，分析并提取入侵行为证据。（本题所需要分析的操作系统为windows系列或linux 系列）。

本任务素材包括：内存镜像（*.vmem）。

请按要求完成该部分的工作任务。

任务2：操作系统取证
序号	任务要求	答案
1	请找出管理员保存此镜像的时间（格式为：yyyy-mm-dd hour:minute:second ; 东八区) （10分）
2	请找出管理员用户登录密码的hash值（10 分）
3	请找出桌面上某文件里存在的可疑信息（15分）
4	请找出用户在环境变量中留下的有关KEY的痕迹（15分）

任务3：网络数据包分析

A集团工作人员截获了含有攻击行为的网络数据包，请根据A集团提供的网络数据包文件，分析数据包中的恶意的攻击行为，按答题卡的要求完成该部分的工作任务。

本任务素材包括：捕获的网络数据包文件（*.pcap）。

请按要求完成该部分的工作任务，答案有多项内容的请用换行分隔。

任务3：网络数据包分析
序号	任务要求	答案
1	该流量中一共有多少条爆破记录（15 分）
2	该盲注操作的字典内容是什么（15分）
3	藏有flag的数据库内有哪些数据表，以 group_concat结果形式提交答案（15 分）
4	题目中的flag答案是什么（15分）

任务4：计算机单机取证

对给定取证镜像文件进行分析，搜寻证据关键字（线索关键字为“evidence 1”、 “evidence 2”、……、“evidence 10”，有文本形式也有图片形式，不区分大小写），请提取和固定比赛要求的标的证据文件，并按样例的格式要求填写相关信息，证据文件在总文件数中所占比例不低于15%。取证的信息可能隐藏在正常的、已删除的或受损的文件中，您可能需要运用编码转换技术、加解密技术、隐写技术、数据恢复技术，还需要熟悉常用的文件格式（如办公文档、压缩文档、图片等）。

本任务素材包括：取证镜像文件（*.E01）

请根据赛题环境及现场答题卡任务要求提交正确答案。

任务4：计算机单机取证
证据编号	属性		答案
evidence 1	1	文件名（存在于镜像中的文件名）
evidence 1	2	镜像中原文件Hash码（MD5）（7分）
evidence 2	1	文件名（存在于镜像中的文件名）
evidence 2	2	镜像中原文件Hash码（MD5）（7分）
evidence 3	1	文件名（存在于镜像中的文件名）
evidence 3	2	镜像中原文件Hash码（MD5）（7分）
evidence 4	1	文件名（存在于镜像中的文件名）
evidence 4	2	镜像中原文件Hash码（MD5）（7分）
evidence 5	1	文件名（存在于镜像中的文件名）
evidence 5	2	镜像中原文件Hash码（MD5）（7分）
evidence 6	1	文件名（存在于镜像中的文件名）
evidence 6	2	镜像中原文件Hash码（MD5）（7分）
evidence 7	1	文件名（存在于镜像中的文件名）
evidence 7	2	镜像中原文件Hash码（MD5）（7分）
evidence 8	1	文件名（存在于镜像中的文件名）
evidence 8	2	镜像中原文件Hash码（MD5）（7分）
evidence 9	1	文件名（存在于镜像中的文件名）
evidence 9	2	镜像中原文件Hash码（MD5）（7分）
evidence 10	1	文件名（存在于镜像中的文件名）
evidence 10	2	镜像中原文件Hash码（MD5）（7分）

注：表格中每个证据的答案必须全部答对才得分。

第三部分应用程序安全

任务5：应用程序安全分析

A集团在移动样本监控过程中发现病毒样本，你的团队需要协助A集团对该病毒样本进行逆向分析、对黑客攻击的信息进行调查取证，提交相关信息取证分析报告。

本任务素材包括：驱动程序文件（*.sys）请根据赛题环境及现场答题卡任务要求提交正确答案。

任务5：应用程序安全分析
序号	任务要求	答案
1	木马所使用的保护壳名称（20分）
2	木马所使用的算法编码表的CRC32校验码（大写）（20分）
3	最终的key（flag{}）（20分）

任务6：代码审计

A集团发现其发布的应用程序遭到了恶意攻击，A集团提供了应用程序的主要代码，您的团队需要协助A集团对该应用程序代码进行分析，找出存在的脆弱点。

本任务素材清单：Web程序文件（*.php）

请根据赛题环境及现场答题卡任务要求提交正确答案。

任务5：代码审计
序号	任务要求	答案
1	存在主要安全问题的代码行（10分）
2	请指出可能导致威胁的名称（10分）
3	请解释怎样使代码变得安全（10分）

附录A: 分值分配表

序号	描述	分值
B	网络安全事件响应、数字取证调查、应用程序安全	350
B1	应急响应	80
B2	操作系统取证	50
B3	网络数据包分析	60
B4	计算机单机取证	70
B5	应用程序安全分析	60
B6	代码审计	30