東莞市偵探調查-信息安全管理和2023年國家職業大學技能競爭模塊的評估兩項任務簿

（2）參賽者首先需要在USB閃存驅動器的根目錄中創建一個名為“ AGWXX”的文件夾（XX被特定的工作站編號取代）。請放置“信息安全管理和評估競賽答案卡 - 模塊2”的答案文件，該文件在“ AGWXX”文件夾的第二階段完成。

例如：08 Workstation，您需要在USB磁盤的根目錄中創建“ AGW08”文件夾。請放置“信息安全管理和評估競賽答案卡 - 模塊2”的答案文件，該文件在“ AGW08”文件夾的第二階段完成。

（3）請不要修改物理計算機的配置和虛擬機身的硬件參數。

2。所需的硬件和軟件設備和材料

所有測試項目都可以由參賽者根據基礎架構列表中指定的設備和軟件完成。

3。評分計劃

此階段的總分為300分。

iv。項目和任務描述

隨著網絡和信息級別的持續發展，網絡安全事件正在逐漸出現。各種網絡攻擊，例如惡意網絡代碼傳播，信息盜竊，篡改信息和遙控器都嚴重威脅了信息系統的機密性，完整性和可用性。因此，諸如打擊網絡攻擊，組織安全事件的緊急響應以及收集電子證據之類的技術工作是網絡安全保護的重要組成部分。既然A組遭受了未知組織的非法惡意攻擊，您的團隊需要幫助A對追蹤這種網絡攻擊的來源東莞重婚取證，分析惡意攻擊的證據和線索，在操作系統和應用程序中找到漏洞或惡意代碼，并幫助其鞏固其網絡安全防御。

該模塊主要分為以下三個部分：

?網絡安全事件響應

?數字取證調查

?應用程序安全

V.工作任務

第一部分網絡安全事件響應

任務1：CENTOS服務器緊急響應（70分）

A組的應用程序服務器被黑客入侵，服務器的Web應用程序系統已上傳惡意軟件，并且系統文件被惡意軟件損壞。您的團隊需要幫助公司跟蹤該網絡攻擊的來源，并在服務器上進行全面檢查，包括日志信息，過程信息，系統文件，惡意文件等，以分析黑客的攻擊行為，發現系統中的漏洞并修復發現的漏洞。

此任務材料的列表：CentOS服務器虛擬機。

攻擊服務器服務器已作為虛擬機文件打包并保存。請自己導入并分析。

用戶名：根

密碼：Nanoidian…

請根據需要完成此部分的工作任務。

任務1：CENTOS服務器緊急響應

回答序列號任務內容

1請提交網站管理員的用戶名和密碼

2攻擊者通過應用程序背景修改了文件并獲得了服務器權限。請提交文件的文件名

3攻擊者使用該文件后，他可以通過網站的官方網站執行任何未經授權的命令。請提交有效載荷，以使用特洛伊木馬執行phpinfo，例如：/shell.php？cmd = phpinfo（）;

4攻擊者在網站中進一步的無象相關的網絡殼，請提交外殼原始文本的最簡單形式，例如：

5攻擊者修改了一個文件，該文件將在刪除網絡殼后自動生成。請向文件提交絕對路徑。

6請提交網站服務使用的數據庫帳戶和密碼連接到數據庫

7請以格式提交攻擊者在數據庫中留下的信息：flag {…}

第2部分數字取證調查

任務2：基于Windows的內存取證（40分）

A組的某個服務器系統感染了惡意程序東莞本地調查取證，從而導致關鍵系統文件被損壞。請分析A組提供的系統圖像和內存圖像，在系統圖像中找到惡意軟件東莞市偵探調查-信息安全管理和2023年國家職業大學技能競爭模塊的評估兩項任務簿，然后分析惡意軟件行為。

此任務的材料列表：內存鏡像（*.raw）。

任務2：基于Windows的內存取證

回答序列號任務內容

1請在記憶中指出一個可疑的惡意過程

2請指示員工使用的公司OA平臺的密碼

3黑客在特洛伊木馬文件中通過并維護了權限。特洛伊木馬文件名是什么？

4請提交此計算機上記錄的重要聯系的家庭住址

請根據需要完成此部分的工作任務。

任務3：通信數據分析和取證（50分）

A組的網絡安全監測系統發現，惡意元素正在進行先進的可持續攻擊（APT），并爬了一些可疑的交通包。請根據捕獲的流量包搜索網絡攻擊線索，分解隱藏的惡意程序，并分析惡意程序的行為。

此任務材料列表：捕獲的通信數據文件。

請根據需要完成此部分的工作任務。

任務3：通信數據分析和取證

回答序列號任務內容

1請提交網絡數據包中傳輸的可執行惡意程序文件名稱

2請提交惡意程序的IP和端口以下載有效載荷

3請提交當地文件名（包括路徑），由惡意程序有效載荷讀取

4請提交惡意程序讀取的本地文件的內容

任務4：基于Linux計算機的單機示例（60分）取證

分析給定的證據取證圖像文件并搜索證據關鍵詞（線索關鍵詞是“證據1”，“證據2”，...，“證據10”，無論是文本和圖像格式，而不是對病例敏感的）。請提取并修復競賽所需的主題證據文件，并根據樣本的格式填寫相關信息。證據檔案總數中的證據檔案比例不得小于15％。取證的信息可能隱藏在普通，刪除或損壞的文件中。您可能需要使用編碼轉換技術，加密和解密技術，隱肌技術，數據恢復技術，并且還需要熟悉常用的文件格式（例如辦公文檔，壓縮文檔，圖片等）。

此任務的材料列表：取證鏡像。

請根據需要完成此部分的工作任務。

任務4：基于Linux計算機的取證

取證映像鏡像中元文件中的證據編號的文件名哈希代碼（MD5，案例不敏感）

證據1

證據2

證據3

證據4

證據5

證據6

證據7

證據8

證據9

證據10

第3部分應用程序安全

任務5：Android惡意計劃分析（50分）

A組發現，它發布的Android移動應用程序文件已被非法篡改，您的團隊需要協助A組對惡意程序樣本進行逆轉分析，并調查取證其攻擊/犯罪行為。

此任務材料的列表：Android移動應用程序文件。

請根據需要完成此部分的工作任務。

任務5：Android惡意程序分析

回答序列號任務內容

1提交材料中惡意應用程序的URL地址以將數據傳遞回去

2在材料中提交惡意代碼以保存數據文件名（包括路徑）

3提交材料中惡意行為引發的DEX的SHA1簽名值

4描述材料中惡意代碼的行為

任務6：C代碼審核（30分）

代碼審核是指檢查源代碼以查找代碼的漏洞，該代碼是需要多種技能的技術。作為軟件安全檢查，代碼安全審核是其中的一個非常重要的部分，因為大多數代碼在語法上和語義上都是正確的，但是可能會利用安全漏洞，并且您必須依靠自己的知識和經驗來執行此操作。

此任務的材料列表：C源代碼文件。

請根據需要完成此部分的工作任務。

任務6：C代碼審核

回答序列號任務內容

1請指出此代碼中存在哪些漏洞

2請指示具有漏洞的功能的名稱，例如：scanf