SIP检测到终端存在挖矿病毒，但是终端的cpu/内存占用率都很低的可能原因是

试卷相关题目

• 1客户大面积出现蓝屏情况，查看主机的windows目录中存在C:Windowsqeriuwjhrf文件，由可以分析出来的结果是

  A.客户有大部分服务器出现了蓝屏

  B.病毒使用RDP传播

  C.病毒使用SMB传播

  D.病毒使用永恒之蓝漏洞传播

  开始考试点击查看答案
• 2现在勒索病毒很多不会使用永恒之蓝传播，以至于SIP也检测不到永恒之蓝攻击，那么勒索病毒还可以通过什么方式在内网进行传播

  A.RDP口令暴力破解

  B.收到互联网的恶意邮件

  C.使用struts2漏洞传播

  D.FTP口令暴力破解

  开始考试点击查看答案
• 3everything在处理勒索病毒时的作用是

  A.搜索到病毒样本

  B.搜索到加密文件

  C.分析文件被加密的时间

  D.搜索克隆账号

  开始考试点击查看答案
• 4通过edr官网查询到的勒索病毒信息不包括下以哪项

  A.病毒名称

  B.感染平台

  C.传播方式

  D.钱包地址

  开始考试点击查看答案
• 5勒索病毒wannacry以及挖矿病毒wannamine都是利用了永恒之蓝MS17-010漏洞进行传播，请问病毒在传播时主要利用了哪个端口

  A.3389

  B.445

  C.22345

  D.22

  开始考试点击查看答案
• 6使用以下哪个工具可以查看进程的内存空间

  A.everything

  B.D盾

  C.process hacker

  D.火绒剑

  开始考试点击查看答案
• 7客户一台主机在SIP上显示一直在连接矿池IP,但是微步上查不到该IP地址为矿池，首先你应该怎样分析

  A.和总部反馈该事件为误判，修改特征库

  B.直接使用EDR到客户服务器进行查杀

  C.通过微步对IP地址进行域名反查，再查询反查得到的域名

  D.对服务器进行进程分析

  开始考试点击查看答案
• 8SIP上检测到主机存在挖矿，给出了连接的IP，但到第三方威胁平台上查看不到该IP有任何问题，这时正常的分析思路是

  A.SIP误报了，该IP是正常的

  B.使用第三方威胁情报反查IP的域名，再查域名是否为挖矿地址

  C.第三方威胁情报有问题

  D.使用腾讯哈勃进行确认

  开始考试点击查看答案
• 9在SIP上检测出主机上有挖矿病毒，但是EDR查不出任何问题，这时不正确的思路为

  A.通过SIP确认挖矿病毒类型到千里目公众号查是否有对应的文章，确认病毒的机制是否免杀

  B.更换其它杀软进行查杀

  C.SIP存在误报，客户的主机无问题

  D.使用第三方工具，对主机进行排查

  开始考试点击查看答案
• 10PowershellMiner、挖矿描述不正常的是

  A.利用WMI+Powershell方式实现的无文件攻击行为

  B.SMB弱口令爆破攻击和"永恒之蓝"漏洞攻击

  C.只访问一个矿池地址

  D.杀软较难查杀

  开始考试点击查看答案