0x5C 二进制安全面经汇总

来源：https://github.com/vvmdx/Sec-Interview-4-2023

说明：本文件按原面经问题整理答题要点，答案为面试复习口径。

C/C++逆向开发

1. C/C++结构体大小如何计算?

参考完整回答（c/c++结构体大小如何计算）：

这题我会这样完整回答：针对“C/C++结构体大小如何计算?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

2. C++的结构体和C的区别?

参考完整回答（c++的结构体和c的区别）：

这题我会这样完整回答：针对“C++的结构体和C的区别?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

3. new和malloc的区别（delete和free的区别）

参考完整回答（new和malloc的区别delete和free的区别）：

这题我会这样完整回答：针对“new和malloc的区别（delete和free的区别）”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

4. 如何找到main函数?（这里要继续细分，win32桌面程序，控制台程序，linux下的命令行程序）

参考完整回答（Linux安全）：

Linux 安全我会从账号、权限、进程、网络、启动项、日志和补丁几个方面回答。账号侧检查 /etc/passwd、sudoers、SSH key、弱口令和异常登录；权限侧关注 SUID/SGID、777 目录、敏感文件权限和 Web 目录可写可执行；进程和网络侧用 ps、top、ss、lsof 看异常进程和外连；持久化侧看 crontab、systemd、rc.local、shell profile 和自启动服务。

加固时禁用 root 远程登录，使用密钥和 MFA，最小化 sudo 权限，关闭不必要服务，配置防火墙，开启日志审计，及时打补丁。发现入侵时先保留证据，再做隔离和清除。

5. 构造函数与析构函数调用时机

参考完整回答（构造函数与析构函数调用时机）：

这题我会这样完整回答：针对“构造函数与析构函数调用时机”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

6. C/C++编程有没有遇到的安全问题（我讲的一个浅构造导致的double free）

参考完整回答（c/c++编程有没有遇到的安全问题我讲的一个浅构造导致的doublefree）：

这题我会这样完整回答：针对“C/C++编程有没有遇到的安全问题（我讲的一个浅构造导致的double free）”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

7. 重载如何实现（静态函数名重载，动态虚函数重写）

参考完整回答（重载如何实现静态函数名重载动态虚函数重写）：

这题我会这样完整回答：针对“重载如何实现（静态函数名重载，动态虚函数重写）”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

8. 虚函数如何实现?（重点，几乎必问，虚表指针位置）

参考完整回答（虚函数如何实现重点几乎必问虚表指针位置）：

这题我会这样完整回答：针对“虚函数如何实现?（重点，几乎必问，虚表指针位置）”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

9. 虚继承/多重继承的内存结构（VC和G++中虚继承中虚表结构不太一样，这里我研究过，扯了一大堆）

参考完整回答（虚继承/多重继承的内存结构vc和g++中虚继承中虚表结构不太一样这里我研究过扯了一大堆）：

这题我会这样完整回答：针对“虚继承/多重继承的内存结构（VC和G++中虚继承中虚表结构不太一样，这里我研究过，扯了一大堆）”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

10. switch的实现与优化（难点）

参考完整回答（switch的实现与优化难点）：

这题我会这样完整回答：针对“switch的实现与优化（难点）”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

11. try-catch的实现与优化（难点，会顺着问到windows异常处理机制）

参考完整回答（try-catch的实现与优化难点会顺着问到windows异常处理机制）：

这题我会这样完整回答：针对“try-catch的实现与优化（难点，会顺着问到windows异常处理机制）”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

12. 三种循环哪种效率最高?

参考完整回答（三种循环哪种效率最高）：

这题我会这样完整回答：针对“三种循环哪种效率最高?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

13. 32位下调用约定有哪些?（stdcall c标准调用 fastcall thiscall）

参考完整回答（位下调用约定有哪些stdcallc标准调用fastcallthiscall）：

这题我会这样完整回答：针对“32位下调用约定有哪些?（stdcall c标准调用 fastcall thiscall）”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

14. 64位下调用约定?（VC：rdx rcx r8 r9，GCC: 多rdi rsi）

参考完整回答（位下调用约定vcrdxrcxrrgcc多rdirsi）：

这题我会这样完整回答：针对“64位下调用约定?（VC：rdx rcx r8 r9，GCC: 多rdi rsi）”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

二进制逆向（反调试/脱壳/免杀/挂钩/注入）

15. 32位程序如何在64位机器上运行?

参考完整回答（位程序如何在位机器上运行）：

这题我会这样完整回答：针对“32位程序如何在64位机器上运行?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

16. PE格式（重点，几乎必问）

参考完整回答（pe格式重点几乎必问）：

这题我会这样完整回答：针对“PE格式（重点，几乎必问）”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

17. PE装载进内存执行的过程（重点，内存对齐，IAT表建立，重定位）

参考完整回答（pe装载进内存执行的过程重点内存对齐iat表建立重定位）：

这题我会这样完整回答：针对“PE装载进内存执行的过程（重点，内存对齐，IAT表建立，重定位）”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

18. 知道哪些反调试手段?（SEH，反断点，查调试环境）

参考完整回答（知道哪些反调试手段seh反断点查调试环境）：

这题我会这样完整回答：针对“知道哪些反调试手段?（SEH，反断点，查调试环境）”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

19. gdb/od基本命令

参考完整回答（gdb/od基本命令）：

这题我会这样完整回答：针对“gdb/od基本命令”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

20. 调试器原理（三大断点实现）

参考完整回答（调试器原理三大断点实现）：

这题我会这样完整回答：针对“调试器原理（三大断点实现）”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

21. 如何脱壳（压缩壳/加密壳/虚拟化壳）

参考完整回答（加密/签名）：

对称加密是同一把密钥加解密，例如 AES，速度快，适合大量数据传输，但密钥分发是问题。非对称加密使用公钥和私钥，例如 RSA/ECC，公钥可以公开，私钥保密，适合密钥交换和数字签名，但性能较慢。哈希是单向摘要，例如 SHA-256，用于完整性校验；HMAC 是带密钥的摘要，能防止消息被篡改。

数字签名的流程是先对消息做哈希，再用私钥签名，接收方用公钥验签。它能证明消息来自私钥持有者、内容未被篡改，并提供不可否认性。TLS 里通常用非对称算法完成身份认证和密钥交换，再用对称加密传输数据。

22. 为什么脱完壳要修复导入表?

参考完整回答（为什么脱完壳要修复导入表）：

这题我会这样完整回答：针对“为什么脱完壳要修复导入表?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

23. 花指令有没有脱过?

参考完整回答（花指令有没有脱过）：

这题我会这样完整回答：针对“花指令有没有脱过?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

24. 有没有写过IDA脚本（逆向岗位几乎必问）

参考完整回答（职业方向）：

职业方向我会结合岗位回答。如果投漏洞研究/代码审计，我会说自己更喜欢从漏洞原理、源码调用链和补丁差异里分析问题，希望后续能沉淀漏洞模式、检测规则和工具；如果投安全工程/安全研发，我会强调希望把安全能力产品化，比如扫描器、风控、检测平台和自动化运营；如果投攻防，我会强调攻击链思维和实战复盘。

完整回答可以是：短期我希望把 Web 安全、代码审计和应急基础打牢，能独立完成漏洞分析和修复推动；中期希望在某个方向形成专长，同时补齐工程化能力，把经验沉淀成工具和规则。

25. 如果一个程序没有字符串/字符串被混淆了如何找核心代码?

参考完整回答（如果一个程序没有字符串/字符串被混淆了如何找核心代码）：

这题我会这样完整回答：针对“如果一个程序没有字符串/字符串被混淆了如何找核心代码?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

26. 内存泄漏如何排除

参考完整回答（内存泄漏如何排除）：

这题我会这样完整回答：针对“内存泄漏如何排除”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

27. 有没有做过免杀，怎么做的?（静态二分法定位，思考对面规则怎么写的，动态绕钩子检查，卸钩子，提权走底层）

参考完整回答（免杀）：

免杀的本质是绕过静态特征、行为检测和沙箱检测。常见思路包括编码/加密载荷、分阶段加载、API 动态解析、混淆、反沙箱、内存加载和行为降噪。但在面试中我会注意边界，不展示可直接滥用的细节，而是从防守视角说明检测点。

防护上不能只依赖特征查杀，要结合行为监控、命令行审计、父子进程关系、网络外连、内存执行、脚本执行策略和最小权限。对企业来说，PowerShell 日志、EDR、应用白名单和出网控制很关键。

28. 沙箱有接触过吗?（并没有...）

参考完整回答（沙箱有接触过吗并没有）：

这题我会这样完整回答：针对“沙箱有接触过吗?（并没有...）”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

29. 有没有用过虚拟机?（QEMU, VMware Bochs）虚拟化有哪几种方式实现?虚拟机查杀有什么思路过吗?

参考完整回答（有没有用过虚拟机qemuvmwarebochs虚拟化有哪几种方式实现虚拟机查杀有什么思路过吗）：

这题我会这样完整回答：针对“有没有用过虚拟机?（QEMU, VMware Bochs）虚拟化有哪几种方式实现?虚拟机查杀有什么思路过吗?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

30. Hook有哪些方法?（几乎必问，inline hook，函数表hook）

参考完整回答（hook有哪些方法几乎必问inlinehook函数表hook）：

这题我会这样完整回答：针对“Hook有哪些方法?（几乎必问，inline hook，函数表hook）”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

31. 如果inline hook前几个字节不能正好5字节Patch如何处理?

参考完整回答（如果inlinehook前几个字节不能正好字节patch如何处理）：

这题我会这样完整回答：针对“如果inline hook前几个字节不能正好5字节Patch如何处理?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

32. 分析过哪些病毒样本?病毒分析有什么方法?（问到了深信服的实习）

参考完整回答（项目/实习经历）：

项目经历我会用 STAR 讲完整，而不是只列技术名词。先说项目背景：这是一个什么系统、业务价值是什么、我负责哪块安全工作；再说任务：比如接口鉴权、代码审计、漏洞验证、应急处置或安全工具开发；然后讲行动：我如何定位入口、使用了哪些工具、验证了哪些风险、如何推动修复；最后讲结果：修复了什么漏洞、减少了什么暴露面、沉淀了什么规则或文档。

如果面试官深挖，我会准备一个具体案例。例如“我在某系统审计中发现订单详情接口只校验登录态，没有校验订单 owner，导致水平越权。我用两个普通账号互换订单 ID 复现，确认能读取他人数据。修复方案是在服务端统一鉴权中间件里加入用户、租户和资源归属校验，并补充异常访问日志。复测时原越权请求返回 403，正常用户访问不受影响。”

33. 特征码怎么提取的?

参考完整回答（特征码怎么提取的）：

这题我会这样完整回答：针对“特征码怎么提取的?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

34. .NET的实现（因为项目研究过.NET）

参考完整回答（项目/实习经历）：

35. flags寄存器有哪些位，有什么作用（OF, ZF, TF, 虚拟位）

参考完整回答（flags寄存器有哪些位有什么作用ofzftf虚拟位）：

这题我会这样完整回答：针对“flags寄存器有哪些位，有什么作用（OF, ZF, TF, 虚拟位）”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

36. 控制寄存器有哪些，有什么作用（可以重点说说CR0和CR3）

参考完整回答（控制寄存器有哪些有什么作用可以重点说说cr和cr）：

这题我会这样完整回答：针对“控制寄存器有哪些，有什么作用（可以重点说说CR0和CR3）”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

37. 共享内存怎么实现

参考完整回答（共享内存怎么实现）：

这题我会这样完整回答：针对“共享内存怎么实现”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

38. windows下有哪些注入方式?怎么实现?（重点）

参考完整回答（SQL注入）：

SQL 注入的本质是用户输入进入 SQL 语句后被数据库当作语法执行，改变了原本查询逻辑。比如登录、搜索、筛选、排序、导出接口中，如果后端直接拼接 username、id、keyword、orderBy 等参数，就可能导致布尔盲注、报错注入、联合查询、时间盲注甚至写文件或提权。

修复上我会首选预编译和参数化查询，让用户输入只作为数据而不是 SQL 语法。对于 order by、表名、列名这类无法直接用占位符的位置，不能拼接用户输入，而应该做白名单映射，例如前端传 name，后端映射到固定字段 user_name；排序方向只允许 asc/desc。除此之外，还要限制数据库账号权限、关闭详细报错、记录异常 SQL 行为，并在上线前做 SAST/DAST 和手工复测。

39. windows下3环向0环的切换过程?

参考完整回答（windows下环向环的切换过程）：

这题我会这样完整回答：针对“windows下3环向0环的切换过程?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

40. ARM汇编了解过吗（没有...）

参考完整回答（arm汇编了解过吗没有）：

这题我会这样完整回答：针对“ARM汇编了解过吗（没有...）”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

41. 如何防止内存被扫描?

参考完整回答（如何防止内存被扫描）：

这题我会这样完整回答：针对“如何防止内存被扫描?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

42. 如何隐藏进程?（说了一个CPU控制区找EPROCESS断链）隐藏之后对进程运行有影响吗?

参考完整回答（如何隐藏进程说了一个cpu控制区找eprocess断链隐藏之后对进程运行有影响吗）：

这题我会这样完整回答：针对“如何隐藏进程?（说了一个CPU控制区找EPROCESS断链）隐藏之后对进程运行有影响吗?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

漏洞利用

43. windows/linux基本保护机制（栈执行保护，基址随机化，代码段随机化，栈溢出保护）

参考完整回答（Linux安全）：

44. 怎么绕过?

参考完整回答（SQL注入绕过）：

SQL 注入绕过通常是因为防护用了黑名单，比如只过滤空格、逗号、select、union 这类关键字。攻击者可以用大小写混淆、注释符、URL 编码、宽字节、换行、括号、函数等价替代、布尔盲注、时间盲注、二次注入等方式绕过。例如过滤空格时可能用 /**/、换行或括号替代；过滤逗号时，MySQL 某些场景可以用 join、from for 或子查询改写。

但我在面试中会强调：绕过技巧说明黑名单不可靠，修复不能继续堆规则。正确做法还是参数化查询、白名单映射、最小权限和统一 ORM/DAO 层封装。安全设备如 WAF 可以作为辅助，但不能代替代码层修复。

45. pwn的一些印象深刻的题目，或是技巧（这部分如果面试官不是相关领域的建议不要说太深入，太细节的技术很复杂，很难讲懂）

参考完整回答（项目/实习经历）：

46. 堆漏洞利用?（double free, UAF）

参考完整回答（堆漏洞利用doublefreeuaf）：

这题我会这样完整回答：针对“堆漏洞利用?（double free, UAF）”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

47. 栈上漏洞利用有哪些

参考完整回答（栈上漏洞利用有哪些）：

这题我会这样完整回答：针对“栈上漏洞利用有哪些”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

48. linux堆管理，glibc/slab/伙伴算法

参考完整回答（Linux安全）：

49. 脏牛

参考完整回答（脏牛）：

这题我会这样完整回答：针对“脏牛”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

50. web漏洞有了解吗?

参考完整回答（web漏洞有了解吗）：

这题我会这样完整回答：针对“web漏洞有了解吗?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

51. SQL注入、XSS攻击原理?

参考完整回答（XSS）：

XSS 是用户可控内容被浏览器当成脚本执行。反射型常见于搜索参数或错误提示，存储型常见于评论、昵称、工单内容，DOM 型常见于前端从 location、hash、postMessage 中取值后写入页面。影响包括窃取用户信息、发起越权操作、劫持页面、钓鱼和横向传播。

修复要按输出上下文处理：输出到 HTML 文本要 HTML 编码，输出到属性要属性编码，输出到 JS 字符串要 JS 编码，输出到 URL 要限制协议并 URL 编码。富文本不能自己写黑名单，应该用成熟清洗库。Cookie 设置 HttpOnly、Secure、SameSite，降低被盗风险；CSP 可以限制脚本来源，作为纵深防御。

52. ARP欺骗怎么实现的?

参考完整回答（arp欺骗怎么实现的）：

这题我会这样完整回答：针对“ARP欺骗怎么实现的?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

53. 如何判断远端服务器的操作系统?

参考完整回答（如何判断远端服务器的操作系统）：

这题我会这样完整回答：针对“如何判断远端服务器的操作系统?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

项目相关

54. Powershell防御项目讲一下?

参考完整回答（项目/实习经历）：

55. 怎么防止无文件攻击?

参考完整回答（怎么防止无文件攻击）：

这题我会这样完整回答：针对“怎么防止无文件攻击?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

56. 分析过哪些脚本病毒?

参考完整回答（分析过哪些脚本病毒）：

这题我会这样完整回答：针对“分析过哪些脚本病毒?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

57. 加密混淆怎么处理?

参考完整回答（加密/签名）：

58. 知道哪些加密算法，非对称加密与对称加密的区别?

参考完整回答（加密/签名）：

59. .NET钩子怎么下的?

参考完整回答（net钩子怎么下的）：

这题我会这样完整回答：针对“.NET钩子怎么下的?”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

60. 做过流量检测?说说怎么提的特征?

参考完整回答（流量分析/研判）：

流量分析我会先看五元组、协议、时间分布、包大小、连接状态和请求内容，再和业务基线比较。扫描通常表现为同一源短时间访问大量端口或路径；爆破表现为登录失败暴增；Web 攻击会在参数里出现 union、sleep、../、<script>、jndi 等特征；C2 可能有固定间隔心跳、小包长连接或异常域名；数据外传则体现为内网主机向陌生外部地址持续上传。

工具上可以用 Wireshark 做人工分析，用 tcpdump 抓关键流量，用 Zeek/Suricata 结构化日志和告警。最终要结合主机日志和应用日志确认，不能只靠单包下结论。

61. 顺便问到TCP连接建立与释放（典中典）

参考完整回答（顺便问到tcp连接建立与释放典中典）：

这题我会这样完整回答：针对“顺便问到TCP连接建立与释放（典中典）”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

62. 问到毕业设计，简述一下你的静态分析算法怎么设计的

参考完整回答（问到毕业设计简述一下你的静态分析算法怎么设计的）：

这题我会这样完整回答：针对“问到毕业设计，简述一下你的静态分析算法怎么设计的”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

63. 开发过Linux键盘监控?怎么实现的?

参考完整回答（安全工具开发）：

安全工具开发我会先明确工具目标：是资产发现、漏洞扫描、代码审计、日志分析还是告警处置。以漏洞扫描器为例，核心模块包括任务调度、资产输入、指纹识别、PoC 模板、请求限速、结果去重、误报复核、报告输出和权限控制。PoC 设计上要尽量无害验证，避免写文件、删数据或执行破坏性命令。

工程上还要考虑稳定性和可维护性：超时重试、并发控制、代理支持、失败日志、模板版本管理、资产标签和历史结果对比。安全工具本身也要做鉴权和审计，避免变成新的攻击入口。

64. windows调试器怎么实现的?（3环API...）

参考完整回答（windows调试器怎么实现的环api）：

这题我会这样完整回答：针对“windows调试器怎么实现的?（3环API...）”，我会先说明它对应的安全场景和要解决的问题，再给出一个具体例子。比如在真实测试或审计中，我会先确认入口在哪里、用户输入是否可控、数据经过哪些处理、最终进入哪个敏感操作；验证时尽量使用低风险方式证明影响，例如观察响应差异、日志、时间延迟、回连记录或权限边界，而不是破坏数据。修复时从代码、配置和权限三方面处理：代码层使用安全 API、参数化、白名单和输出编码；配置层关闭危险功能、升级组件、限制网络和文件权限；权限层坚持最小权限，避免单点漏洞扩大影响。最后我会补充复测方法，用原触发条件验证漏洞不可再利用，并确认正常业务流程仍然可用。

65. 写过端口扫描工具，怎么实现的?（netfilter框架编程）

参考完整回答（端口扫描）：

端口扫描是向目标端口发送探测包，根据响应判断端口状态。TCP connect 扫描会完成三次握手，SYN 扫描收到 SYN/ACK 说明开放，收到 RST 说明关闭，超时或 ICMP 不可达可能是 filtered；UDP 扫描因为无连接，判断更依赖 ICMP 和应用响应。版本探测会进一步读取 banner 或发送探测包识别服务。

安全角度看，扫描是发现攻击面的基础。防护不是简单禁止所有扫描，而是减少暴露端口、只开放必要服务、使用安全组和防火墙限制来源、监控短时间多端口访问和异常连接失败率。

66. ARP Poison怎么写的?（原始套接字，linux上好写一些）

参考完整回答（Linux安全）：

67. 写过区块链的项目，说一下?（写的Spring + Solidity，但是接触不深，不是很回答上来）

参考完整回答（项目/实习经历）：

返回安全面经目录