近期太忙了，各种公事私事，加班熬夜给大家一次贡献剩下的内容：

这是网络安全面试系列的第二部分，带大家一起回顾情景化的面试内容。

基于场景的问题将测验更深入的知识和思维过程、特定问题的理解和答案：

示例场景：

• 当谈到为你的团队提供安全解决方案时，你什么时候会考虑构建还是购买？

• 有一份漏洞管理报告，其中包含 10 个有效的高严重性漏洞。你会如何优先考虑这些？

• 经典问题：在浏览器中输入“website.com”并按 Enter 键时会发生什么？

所有这些只是为了让你思考在网络安全面试（以蓝队为主）中可能会被要求剖析的场景。

请记住，你将需要深度剖析，并给出合适的思路和架构，而不仅仅是给出答案并继续前进。

考虑以下场景：你收到一台笔记本电脑，由于运行速度缓慢，用户认为其中存在恶意软件，您会怎么做？你希望从哪里证明/反驳这个理论？

首先可以做的一些事情是将范围缩小到特定时间范围，并确定是否要断开计算机与网络的连接。

从这里开始，该过程将根据要调查的操作系统的不同而有所不同。

windows系统：

在 Windows 计算机上，查找可疑活动的位置可以是以下任意位置：

• C:ProgramData 目录

• AppData本地目录

• 计划任务和启动

对于启动程序，您可以执行以下操作。

• 打开“运行”对话框并键入msconfig。

• 导航到“启动”选项卡。

这可能看起来像这样

恶意软件经常使用计划任务和启动程序在特定时间间隔或启动时执行。

苹果系统

对于 MacOS，这可以是以下任意一种：

• login items
  

• /图书馆/应用程序支持/

• /Library/LaunchDaemons 或 /Library/LaunchAgents

MacOS 上的登录项目

Mac 恶意软件最重要的特点之一就是持久性。Mac 上的恶意软件可能并不总是像Windows 那样对系统造成损害，但它们通常会选择隐秘和持久性。

登录项、LaunchDaemons 和 LaunchDaemons 是这些内容出现的主要位置。

Linux

在 Linux 系统上，这可以是以下任意一种：

• 计划任务职位

• 安装的软件包（通过 apt、dpkg、yum 等）

• 运行内置工具进行扫描

对于 Cron ，这可能类似于运行crontab -l或查看/var/spool/cron/crontabs/username来查找用户特定的 crontab。

对于安装的软件包，这会根据使用的 Linux 发行版而有所不同。

对于这里的第三点，可以使用的一个内置工具是 ClamAV。

你可以运行以下命令来开始扫描文件系统是否存在恶意软件。

sudo apt install clamav

安装后，运行以下命令。

clamscan -r /home/user/download

请记住，笔记本电脑运行缓慢可能有合理的原因。这可能包括网络问题、磁盘空间不足或只是同时运行太多资源密集型程序。

尽管您可以通过多种途径来确定这是否是恶意软件，但这些想法可以帮助我们找到正确的方向。

与往常一样，在面试沟通中，我们希望为你给出的任何答案提供支持细节，并能够就此进行对话。

another one：

告诉我一个你参与或领导的（风险、应急）事件，你是如何缓解和解决的？

这更适用于 DART 或 IR 角色。

面向红队的场景问题可能是：将如何攻击<正在面试的公司>，经历攻击周期的每个阶段？

最后，面试官想了解你是如何思考的，以及你如何应对工作中可能遇到的情况。

你的思考过程比任何特定的简洁答案更重要。

在接下来的文章中，我们将讨论包含技术的面试。