東莞市偵探調(diào)查-信息安全管理和2023年國家職業(yè)大學(xué)技能競爭模塊的評(píng)估兩項(xiàng)任務(wù)簿

（2）參賽者首先需要在USB閃存驅(qū)動(dòng)器的根目錄中創(chuàng)建一個(gè)名為“ AGWXX”的文件夾（XX被特定的工作站編號(hào)取代）。請(qǐng)放置“信息安全管理和評(píng)估競賽答案卡 - 模塊2”的答案文件，該文件在“ AGWXX”文件夾的第二階段完成。

例如：08 Workstation，您需要在USB磁盤的根目錄中創(chuàng)建“ AGW08”文件夾。請(qǐng)放置“信息安全管理和評(píng)估競賽答案卡 - 模塊2”的答案文件，該文件在“ AGW08”文件夾的第二階段完成。

（3）請(qǐng)不要修改物理計(jì)算機(jī)的配置和虛擬機(jī)身的硬件參數(shù)。

2。所需的硬件和軟件設(shè)備和材料

所有測(cè)試項(xiàng)目都可以由參賽者根據(jù)基礎(chǔ)架構(gòu)列表中指定的設(shè)備和軟件完成。

3。評(píng)分計(jì)劃

此階段的總分為300分。

iv。項(xiàng)目和任務(wù)描述

隨著網(wǎng)絡(luò)和信息級(jí)別的持續(xù)發(fā)展，網(wǎng)絡(luò)安全事件正在逐漸出現(xiàn)。各種網(wǎng)絡(luò)攻擊，例如惡意網(wǎng)絡(luò)代碼傳播，信息盜竊，篡改信息和遙控器都嚴(yán)重威脅了信息系統(tǒng)的機(jī)密性，完整性和可用性。因此，諸如打擊網(wǎng)絡(luò)攻擊，組織安全事件的緊急響應(yīng)以及收集電子證據(jù)之類的技術(shù)工作是網(wǎng)絡(luò)安全保護(hù)的重要組成部分。既然A組遭受了未知組織的非法惡意攻擊，您的團(tuán)隊(duì)需要幫助A對(duì)追蹤這種網(wǎng)絡(luò)攻擊的來源東莞重婚取證，分析惡意攻擊的證據(jù)和線索，在操作系統(tǒng)和應(yīng)用程序中找到漏洞或惡意代碼，并幫助其鞏固其網(wǎng)絡(luò)安全防御。

該模塊主要分為以下三個(gè)部分：

?網(wǎng)絡(luò)安全事件響應(yīng)

?數(shù)字取證調(diào)查

?應(yīng)用程序安全

V.工作任務(wù)

第一部分網(wǎng)絡(luò)安全事件響應(yīng)

任務(wù)1：CENTOS服務(wù)器緊急響應(yīng)（70分）

A組的應(yīng)用程序服務(wù)器被黑客入侵，服務(wù)器的Web應(yīng)用程序系統(tǒng)已上傳惡意軟件，并且系統(tǒng)文件被惡意軟件損壞。您的團(tuán)隊(duì)需要幫助公司跟蹤該網(wǎng)絡(luò)攻擊的來源，并在服務(wù)器上進(jìn)行全面檢查，包括日志信息，過程信息，系統(tǒng)文件，惡意文件等，以分析黑客的攻擊行為，發(fā)現(xiàn)系統(tǒng)中的漏洞并修復(fù)發(fā)現(xiàn)的漏洞。

此任務(wù)材料的列表：CentOS服務(wù)器虛擬機(jī)。

攻擊服務(wù)器服務(wù)器已作為虛擬機(jī)文件打包并保存。請(qǐng)自己導(dǎo)入并分析。

用戶名：根

密碼：Nanoidian…

請(qǐng)根據(jù)需要完成此部分的工作任務(wù)。

任務(wù)1：CENTOS服務(wù)器緊急響應(yīng)

回答序列號(hào)任務(wù)內(nèi)容

1請(qǐng)?zhí)峤痪W(wǎng)站管理員的用戶名和密碼

2攻擊者通過應(yīng)用程序背景修改了文件并獲得了服務(wù)器權(quán)限。請(qǐng)?zhí)峤晃募奈募?/p>

3攻擊者使用該文件后，他可以通過網(wǎng)站的官方網(wǎng)站執(zhí)行任何未經(jīng)授權(quán)的命令。請(qǐng)?zhí)峤挥行лd荷，以使用特洛伊木馬執(zhí)行phpinfo，例如：/shell.php？cmd = phpinfo（）;

4攻擊者在網(wǎng)站中進(jìn)一步的無象相關(guān)的網(wǎng)絡(luò)殼，請(qǐng)?zhí)峤煌鈿ぴ嘉谋镜淖詈唵涡问剑纾?/p>

5攻擊者修改了一個(gè)文件，該文件將在刪除網(wǎng)絡(luò)殼后自動(dòng)生成。請(qǐng)向文件提交絕對(duì)路徑。

6請(qǐng)?zhí)峤痪W(wǎng)站服務(wù)使用的數(shù)據(jù)庫帳戶和密碼連接到數(shù)據(jù)庫

7請(qǐng)以格式提交攻擊者在數(shù)據(jù)庫中留下的信息：flag {…}

第2部分?jǐn)?shù)字取證調(diào)查

任務(wù)2：基于Windows的內(nèi)存取證（40分）

A組的某個(gè)服務(wù)器系統(tǒng)感染了惡意程序東莞本地調(diào)查取證，從而導(dǎo)致關(guān)鍵系統(tǒng)文件被損壞。請(qǐng)分析A組提供的系統(tǒng)圖像和內(nèi)存圖像，在系統(tǒng)圖像中找到惡意軟件東莞市偵探調(diào)查-信息安全管理和2023年國家職業(yè)大學(xué)技能競爭模塊的評(píng)估兩項(xiàng)任務(wù)簿，然后分析惡意軟件行為。

此任務(wù)的材料列表：內(nèi)存鏡像（*.raw）。

任務(wù)2：基于Windows的內(nèi)存取證

回答序列號(hào)任務(wù)內(nèi)容

1請(qǐng)?jiān)谟洃浿兄赋鲆粋€(gè)可疑的惡意過程

2請(qǐng)指示員工使用的公司OA平臺(tái)的密碼

3黑客在特洛伊木馬文件中通過并維護(hù)了權(quán)限。特洛伊木馬文件名是什么？

4請(qǐng)?zhí)峤淮擞?jì)算機(jī)上記錄的重要聯(lián)系的家庭住址

請(qǐng)根據(jù)需要完成此部分的工作任務(wù)。

任務(wù)3：通信數(shù)據(jù)分析和取證（50分）

A組的網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)發(fā)現(xiàn)，惡意元素正在進(jìn)行先進(jìn)的可持續(xù)攻擊（APT），并爬了一些可疑的交通包。請(qǐng)根據(jù)捕獲的流量包搜索網(wǎng)絡(luò)攻擊線索，分解隱藏的惡意程序，并分析惡意程序的行為。

此任務(wù)材料列表：捕獲的通信數(shù)據(jù)文件。

請(qǐng)根據(jù)需要完成此部分的工作任務(wù)。

任務(wù)3：通信數(shù)據(jù)分析和取證

回答序列號(hào)任務(wù)內(nèi)容

1請(qǐng)?zhí)峤痪W(wǎng)絡(luò)數(shù)據(jù)包中傳輸?shù)目蓤?zhí)行惡意程序文件名稱

2請(qǐng)?zhí)峤粣阂獬绦虻腎P和端口以下載有效載荷

3請(qǐng)?zhí)峤划?dāng)?shù)匚募ò窂剑?，由惡意程序有效載荷讀取

4請(qǐng)?zhí)峤粣阂獬绦蜃x取的本地文件的內(nèi)容

任務(wù)4：基于Linux計(jì)算機(jī)的單機(jī)示例（60分）取證

分析給定的證據(jù)取證圖像文件并搜索證據(jù)關(guān)鍵詞（線索關(guān)鍵詞是“證據(jù)1”，“證據(jù)2”，...，“證據(jù)10”，無論是文本和圖像格式，而不是對(duì)病例敏感的）。請(qǐng)?zhí)崛〔⑿迯?fù)競賽所需的主題證據(jù)文件，并根據(jù)樣本的格式填寫相關(guān)信息。證據(jù)檔案總數(shù)中的證據(jù)檔案比例不得小于15％。取證的信息可能隱藏在普通，刪除或損壞的文件中。您可能需要使用編碼轉(zhuǎn)換技術(shù)，加密和解密技術(shù)，隱肌技術(shù)，數(shù)據(jù)恢復(fù)技術(shù)，并且還需要熟悉常用的文件格式（例如辦公文檔，壓縮文檔，圖片等）。

此任務(wù)的材料列表：取證鏡像。

請(qǐng)根據(jù)需要完成此部分的工作任務(wù)。

任務(wù)4：基于Linux計(jì)算機(jī)的取證

取證映像鏡像中元文件中的證據(jù)編號(hào)的文件名哈希代碼（MD5，案例不敏感）

證據(jù)1

證據(jù)2

證據(jù)3

證據(jù)4

證據(jù)5

證據(jù)6

證據(jù)7

證據(jù)8

證據(jù)9

證據(jù)10

第3部分應(yīng)用程序安全

任務(wù)5：Android惡意計(jì)劃分析（50分）

A組發(fā)現(xiàn)，它發(fā)布的Android移動(dòng)應(yīng)用程序文件已被非法篡改，您的團(tuán)隊(duì)需要協(xié)助A組對(duì)惡意程序樣本進(jìn)行逆轉(zhuǎn)分析，并調(diào)查取證其攻擊/犯罪行為。

此任務(wù)材料的列表：Android移動(dòng)應(yīng)用程序文件。

請(qǐng)根據(jù)需要完成此部分的工作任務(wù)。

任務(wù)5：Android惡意程序分析

回答序列號(hào)任務(wù)內(nèi)容

1提交材料中惡意應(yīng)用程序的URL地址以將數(shù)據(jù)傳遞回去

2在材料中提交惡意代碼以保存數(shù)據(jù)文件名（包括路徑）

3提交材料中惡意行為引發(fā)的DEX的SHA1簽名值

4描述材料中惡意代碼的行為

任務(wù)6：C代碼審核（30分）

代碼審核是指檢查源代碼以查找代碼的漏洞，該代碼是需要多種技能的技術(shù)。作為軟件安全檢查，代碼安全審核是其中的一個(gè)非常重要的部分，因?yàn)榇蠖鄶?shù)代碼在語法上和語義上都是正確的，但是可能會(huì)利用安全漏洞，并且您必須依靠自己的知識(shí)和經(jīng)驗(yàn)來執(zhí)行此操作。

此任務(wù)的材料列表：C源代碼文件。

請(qǐng)根據(jù)需要完成此部分的工作任務(wù)。

任務(wù)6：C代碼審核

回答序列號(hào)任務(wù)內(nèi)容

1請(qǐng)指出此代碼中存在哪些漏洞

2請(qǐng)指示具有漏洞的功能的名稱，例如：scanf