|
|
Windows 系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹有一天,王工在夜间的例行安全巡检过程中,发现有异常日志告警,通过查看 NTA 全流量分析设备,找到了对应的可疑流量,请分析其中可能的安全事件。
|
|
|
|
问题:3.1
访问 windows 系统中的日志记录有多种方法,请问通过命令行窗口快速访问日志的命令名字(事件查看器)是什么?
|
|
|
问题:3.2
Windows 系统通过事件D来记录不同的系统行为,图3-1的事件ID为4625,请结合任务类别,判断导致上述日志的最有可能的情况。备选项:
A、本地成功登录 B、网络失败登录 C、网络成功登录 D、本地失败登录
|
|
|
|
问题:3.3
王工通过对攻击流量的关联分析定位到了图 3-2所示的网络分组,请指出上述攻击针对的是哪一个端口。
|
|
|
|
问题:3.4
如果要在Wireshark当中过滤出上述流量分组请写出在显示过滤框中应输入的过滤表达式
|
|
|
|
问题:3.5
Windows 系统为了实现安全的远程登录使用了 tls 协议,请问图 3-2 中,服务器的数字证书是在哪一个数据包中传递的?通信双方是从哪一个数据包开始传递加密数据的?请给出对应数据包的序号。
|
|
|
|
问题:3.6
网络安全事件可分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他事件。请问上述攻击属于哪一种网络安全事件?
|
|
|
|
问题:3.7
此类攻击针对的是三大安全目标即保密性、完整性、可用性中的哪一个?
|
|
|
|
|
