题目1

某日接到客户应急需求，客户连接工业控制系统的核心网络设备遭到入侵，初步推测可能是网络设备的远程登录密码被破解，请通过对给出的流量包分析，得到黑客登录网络设备后窃取的机密数据key1。题目附件为桌面上的"Capture.pcapng"。(key1为8位随机数字和字母构成的字符串)

题目2

某公司网站发现流量监测设备告警，提示存在异常连接。目标URL对应的服务器系统为Linux，Web应用开发语言为PHP，数据库为Mysql。请分析桌面上提供的该网站Apache服务的日志文件access.log，并从中找到黑客利用漏洞从Web系统中窃取的敏感数据key2的值。(key2为8位随机数字和字母构成的字符串)

题目3

2021年2月，接到某单位的应急响应需求，客户的网站遭到黑客入侵。请你协助找出黑客留下的webshell，并从中获取到key3的值。(key3为8位随机数字和字母构成的字符串) 注释： (1)网站访问地址：http://172.16.12.151/。 (2)该服务器共有两块网卡，遭受攻击的IP地址为192.168.99.190/24。 (3)网站根目录在服务器上的位置：/var/www/html。

题目4

2021年2月，接到某单位的应急响应需求，客户的网站遭到黑客入侵。请你结合网站日志分析，协助找出黑客留下的另一个隐蔽性较高的免杀webshell，并从中获取到key4的值。(key4为8位随机数字和字母构成的字符串)

题目5

2021年2月，接到某单位的应急响应需求，客户的网站遭到黑客入侵。且一段时间后监测到服务器大量资源被占用，初步判断为感染挖矿木马。该企业的系统管理员已经将挖矿木马的进程清除掉了。不过，因为其技术水平有限，尚不知服务器上是否还有残留的挖矿木马启动脚本。请身为应急响应工程师的你协助该系统管理员找到挖矿木马的启动脚本，并通过对该脚本的分析找出挖矿木马的母体程序与key5的值。(key5为8位随机数字和字母构成的字符串)

题目6

近日，某单位发现其网站主页遭遇劫持。具体表现为：当直接打开浏览器输入网址访问该网站时，是可以正常访问的；但当在搜索引擎结果页中打开该网站时，会跳转到一些其他网站，比如博彩，虚假广告，淘宝搜索页面等。请通过前后端代码分析该网站是如何被搜索引擎劫持的并彻底清除该恶意代码，从劫持代码处找到key6的信息(key6为8位随机数字和字母构成的字符串)。

题目7

近日，某单位发现其网站主页遭遇劫持。而且，该网站管理员还发现当用户点击网站首页右上方的登录按钮时，还会固定跳转到博彩页面https://lemcoo.com/?dt处，请通过前后端代码分析该网站的注册页面是如何被劫持的并彻底清除该恶意代码。从劫持代码处找到key7的信息(key7为8位随机数字和字母构成的字符串)。

题目8

在应急响应过程中，很多木马病毒都是内存驻留形成的，不会在磁盘上留下痕迹，这个时候内存分析就显得尤为重要。为了避免这类木马病毒在完成任务后自我销毁，需要在事发时对内存做一次镜像，保留下来，以便反复的分析。分析桌面上提供的某次客户遭遇永恒之蓝攻击时制作的内存镜像EternalBlue.raw。请从中分析出黑客创建的影子账户信息，并得到key8的值。(key8为8位随机数字和字母构成的字符串)