以下描述的是哪种病毒：1、该病毒使用445、139进行传播。2、在开机启动服务项使用随机名单。3、无法访问安全网站

试卷相关题目

• 1在使用第三方威胁情况也确认不的情况时，可以通过人工分析的方法分析主机是否存在异常行为，以下思路扫描错误的是

  A.查看描述后面拼接的域名是否很多个，且都是看起来随机的、所有域名有相似性、疑似工具生成

  B.有多台主机访问了一些相同的且与业务无关的域名

  C.安全事件查看的访问的次数较多，且查看安全日志（辅助查询）可以看出访问在时间上有一定的规律

  D.查看到的多个无规则域名，都可以在站长之家查到注册信息

  开始考试点击查看答案
• 2微步可以查询到的信息不包括哪一项

  A.url/ip

  B.恶意文件

  C.域名反查

  D.勒索病毒是否可以解密

  开始考试点击查看答案
• 3对于恶意程序分析的最常用的第三方工具是

  A.微步

  B.everything

  C.EDR

  D.火绒

  开始考试点击查看答案
• 4PowershellMiner、挖矿描述不正常的是

  A.利用WMI+Powershell方式实现的无文件攻击行为

  B.SMB弱口令爆破攻击和"永恒之蓝"漏洞攻击

  C.只访问一个矿池地址

  D.杀软较难查杀

  开始考试点击查看答案
• 5在SIP上检测出主机上有挖矿病毒，但是EDR查不出任何问题，这时不正确的思路为

  A.通过SIP确认挖矿病毒类型到千里目公众号查是否有对应的文章，确认病毒的机制是否免杀

  B.更换其它杀软进行查杀

  C.SIP存在误报，客户的主机无问题

  D.使用第三方工具，对主机进行排查

  开始考试点击查看答案
• 6客户在SIP在查看到终端中了Virut,处理的第一步是

  A.重装系统

  B.使用EDR在感染病毒的电脑上进行全盘扫描查杀

  C.使用专杀工具进行查杀

  D.分析终端上的HTML文档

  开始考试点击查看答案
• 7某客户采购了我司态势感知，某日内网主机出现蓝屏现象，安全感知中也发现部分主机对内网其他主机进行smb扫描，作为一线技服人员，针对这种现象不正确的处理方式是

  A.使用科来网络分析工具抓包，抓取失陷主机外发smb扫描的进程，上传到病毒文件分析平台进行查杀，看是否是病毒

  B.查看安全感知平台，找到失陷主机，使用EDR僵尸网络查杀工具对失陷主机进行检查

  C.利用Tcpviews processhacker等流量分析工具定位发包进程

  D.联系深信服安全服务团队应急响应接口人处理

  开始考试点击查看答案
• 8对于异常流量SIP的检测较AF好的原因是

  A.SIP对外网攻击的检测比AF好

  B.AF可以做拦截

  C.SIP的探针可以部署在内网多个位置，进行东西向和南北向的检测

  D.AF需要串接在客户网络中

  开始考试点击查看答案
• 9内容异常流量的收集，异常现象时间的原因，不正确的是

  A.用于分析出现异常流量前被攻击的情况

  B.用于溯源分析确认入侵的时间点

  C.用于检查安全设备上的日志时使用

  D.用于确认网络变更时间

  开始考试点击查看答案
• 10在检测到SMB扫描是出现1小时扫描一次的情况，可以分析这是什么行为

  A.人为行为

  B.共享文件夹快捷键原因

  C.业务心跳

  D.恶意文件行为

  开始考试点击查看答案