0x1C 腾讯-科恩实验室实习

来源：https://github.com/vvmdx/Sec-Interview-4-2023

说明：本文件按原面经问题整理答题要点，答案为面试复习口径。

一面

1. 自我介绍

参考完整回答（自我介绍）：

可以按“背景、方向、项目、工具、优势、求职动机”来讲。示例：我主要学习网络安全方向，熟悉 Web 漏洞、渗透测试、Linux 安全、日志分析和代码审计；项目中做过资产收集、漏洞验证、权限控制或应急处置，常用 Burp、Nmap、sqlmap、Wireshark、Linux 等工具。最后强调自己能从漏洞原理、利用条件和修复方案三个层面分析问题。

2. 简单介绍做的项目->基于项目的衍生（搜索域、搜索方法等）

参考完整回答（项目/实习经历）：

项目经历我会用 STAR 讲完整，而不是只列技术名词。先说项目背景：这是一个什么系统、业务价值是什么、我负责哪块安全工作；再说任务：比如接口鉴权、代码审计、漏洞验证、应急处置或安全工具开发；然后讲行动：我如何定位入口、使用了哪些工具、验证了哪些风险、如何推动修复；最后讲结果：修复了什么漏洞、减少了什么暴露面、沉淀了什么规则或文档。

如果面试官深挖，我会准备一个具体案例。例如“我在某系统审计中发现订单详情接口只校验登录态，没有校验订单 owner，导致水平越权。我用两个普通账号互换订单 ID 复现，确认能读取他人数据。修复方案是在服务端统一鉴权中间件里加入用户、租户和资源归属校验，并补充异常访问日志。复测时原越权请求返回 403，正常用户访问不受影响。”

3. 逆向C++相比起逆向C有哪些困难点?有用IDA python吗?

参考完整回答（Python安全库）：

Python 在安全里常用于自动化验证、扫描、协议交互和应急分析。HTTP 测试常用 requests/httpx，底层网络用 socket，构造和解析数据包用 scapy，SSH 运维用 paramiko，Windows/域协议相关常见 impacket，加密和证书处理用 cryptography、hashlib、hmac、ssl，DNS 分析用 dnspython，HTML 解析用 BeautifulSoup/lxml，恶意样本规则可用 yara-python。

如果被问“有没有用 Python 写过工具”，我会举一个具体例子：比如写过一个批量资产存活探测和标题指纹识别脚本，输入域名/IP 列表，异步请求 HTTP/HTTPS，提取状态码、标题、Server、证书信息和指纹，做去重和导出。重点强调限速、超时、异常处理和授权范围。

4. Linux程序分为哪几个段?

参考完整回答（Linux安全）：

Linux 安全我会从账号、权限、进程、网络、启动项、日志和补丁几个方面回答。账号侧检查 /etc/passwd、sudoers、SSH key、弱口令和异常登录；权限侧关注 SUID/SGID、777 目录、敏感文件权限和 Web 目录可写可执行；进程和网络侧用 ps、top、ss、lsof 看异常进程和外连；持久化侧看 crontab、systemd、rc.local、shell profile 和自启动服务。

加固时禁用 root 远程登录，使用密钥和 MFA，最小化 sudo 权限，关闭不必要服务，配置防火墙，开启日志审计，及时打补丁。发现入侵时先保留证据，再做隔离和清除。

5. .data段存放哪些数据?.bss段存放哪些数据?

参考完整回答（data段存放哪些数据bss段存放哪些数据）：

这题我会这样完整回答：针对“.data段存放哪些数据?.bss段存放哪些数据?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

6. 函数调用时的流程，参数如何传入，寄存器的变化，栈的变化?

参考完整回答（函数调用时的流程参数如何传入寄存器的变化栈的变化）：

这题我会这样完整回答：针对“函数调用时的流程，参数如何传入，寄存器的变化，栈的变化?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

7. 了解Linux /proc目录吗?如果要查看进程打开了哪些文件，有哪些方法?

参考完整回答（Linux安全）：

8. 人脸识别有哪些方法?怎样去进行相似度比对?有没有听过三元组损失

参考完整回答（人脸识别有哪些方法怎样去进行相似度比对有没有听过三元组损失）：

这题我会这样完整回答：针对“人脸识别有哪些方法?怎样去进行相似度比对?有没有听过三元组损失”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

9. 如何比较两篇英文文献的相似度?如何比较两个C函数的相似度?

参考完整回答（如何比较两篇英文文献的相似度如何比较两个c函数的相似度）：

这题我会这样完整回答：针对“如何比较两篇英文文献的相似度?如何比较两个C函数的相似度?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

10. 什么情况下源代码与IDA反编译程序的代码差别很大?讲讲函数展开造成的区别?如何消除这种区别实现代码相似度匹配?

参考完整回答（APP安全测试）：

APP 安全测试我会从客户端、通信、服务端接口和本地存储四块看。客户端侧做 APK 反编译，查看敏感信息硬编码、加固情况、调试开关、WebView 配置和组件暴露；通信侧抓包看 HTTPS、证书校验、是否可中间人、参数签名和重放；接口侧测试越权、注入、弱鉴权、验证码绕过；本地侧看 SharedPreferences、SQLite、日志和缓存中是否存敏感数据。

常用工具包括 jadx、apktool、MobSF、Frida、Objection、Burp、Charles。遇到证书绑定可以用 Frida hook 或测试包关闭校验，但要在授权环境中进行。

11. 了解TF-IDF文档匹配算法，搜索引擎的算法吗?

参考完整回答（了解tf-idf文档匹配算法搜索引擎的算法吗）：

这题我会这样完整回答：针对“了解TF-IDF文档匹配算法，搜索引擎的算法吗?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

12. python中集合，求交集与并集的时间复杂度是多少?有没有o(1)的方法，迅速判定元素是否在集合中?

参考完整回答（算法基础）：

算法题我会先澄清输入输出和边界条件，再给思路、复杂度和代码。比如快排平均时间复杂度 O(n log n)，最好情况是每次划分比较均衡，最坏情况是每次选到最大或最小导致 O(n^2)，可以用随机 pivot 降低最坏情况概率。深拷贝和浅拷贝的区别是是否复制嵌套对象，浅拷贝只复制第一层引用，深拷贝会递归复制内部对象。

安全岗遇到算法题时，不需要强行往安全靠，重点是表达清楚、边界考虑完整、复杂度说得明白。

二面

13. 工控场景的入侵检测与普通场景入侵检测的区别（简历项目）

参考完整回答（项目/实习经历）：

14. 有了解过真实场景的入侵检测项目吗?（如一个企业办公的出口网部署入侵检测）

参考完整回答（项目/实习经历）：

15. 面对加密后流量，正常访问与木马的区别可能有哪些?如何用AI或传统方法进行检测?是有监督问题还是无监督问题?

参考完整回答（免杀）：

免杀的本质是绕过静态特征、行为检测和沙箱检测。常见思路包括编码/加密载荷、分阶段加载、API 动态解析、混淆、反沙箱、内存加载和行为降噪。但在面试中我会注意边界，不展示可直接滥用的细节，而是从防守视角说明检测点。

防护上不能只依赖特征查杀，要结合行为监控、命令行审计、父子进程关系、网络外连、内存执行、脚本执行策略和最小权限。对企业来说，PowerShell 日志、EDR、应用白名单和出网控制很关键。

16. 面对静态编译的大型木马（几百M...），如何通过IDA定位其网络传输部分的逻辑?

参考完整回答（免杀）：

17. 如何动态地去找导入表->从攻击者的角度，如何不在编码时直接导入相关API的前提下进行攻击?

参考完整回答（如何动态地去找导入表-从攻击者的角度如何不在编码时直接导入相关api的前提下进行攻击）：

这题我会这样完整回答：针对“如何动态地去找导入表->从攻击者的角度，如何不在编码时直接导入相关API的前提下进行攻击?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

18. Windows下有哪些常用的反调试技术?

参考完整回答（windows下有哪些常用的反调试技术）：

这题我会这样完整回答：针对“Windows下有哪些常用的反调试技术?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

19. 单步执行的原理是什么?

参考完整回答（单步执行的原理是什么）：

这题我会这样完整回答：针对“单步执行的原理是什么?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

20. 在内存中已Load的程序，如何快速找到其具有执行权限的段?

参考完整回答（Linux安全）：

21. 恶意软件有哪些方案检测自己处于沙箱中?

参考完整回答（恶意软件有哪些方案检测自己处于沙箱中）：

这题我会这样完整回答：针对“恶意软件有哪些方案检测自己处于沙箱中?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

22. 怎么知道进程和其开的端口的对应关系?

参考完整回答（怎么知道进程和其开的端口的对应关系）：

这题我会这样完整回答：针对“怎么知道进程和其开的端口的对应关系?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

23. SGD和Adam的区别?

参考完整回答（sgd和adam的区别）：

这题我会这样完整回答：针对“SGD和Adam的区别?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

24. 神经网络架构搜索领域目前的进展

参考完整回答（神经网络架构搜索领域目前的进展）：

这题我会这样完整回答：针对“神经网络架构搜索领域目前的进展”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

25. WAF的实现原理，与IDA的区别，WAF针对包会检测哪些字段

参考完整回答（WAF/IDS/误报）：

WAF/IDS 误报多来自规则只看单个关键字、缺少业务上下文、参数位置不同、编码变化、正常运维脚本触发和资产类型差异。比如 mysql 执行 powershell 可能是运维脚本，也可能是入侵后的横向行为，不能只看一个命中点。

优化时我会做分层：高危明确攻击特征可以阻断；中低危先告警并结合频率、来源信誉、参数位置、响应码、命中规则数、登录态和资产重要性打分；对确定的正常业务加精确白名单，而不是大范围放行；持续把处置结果反馈到规则，形成闭环。

26. 简介Linux下的Syscall

参考完整回答（Linux安全）：

27. 工作中符合个人兴趣的研究项目或思路

参考完整回答（项目/实习经历）：

28. 如何缩减模型的检测时延?

参考完整回答（如何缩减模型的检测时延）：

这题我会这样完整回答：针对“如何缩减模型的检测时延?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

29. 如何降低模型的误报率?

参考完整回答（WAF/IDS/误报）：

30. 如何找攻击样本?

参考完整回答（如何找攻击样本）：

这题我会这样完整回答：针对“如何找攻击样本?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

返回安全面经目录