我在1月8号的下午三点,接到了腾讯电脑管家反病毒工程师的电话二面。腾讯这次又是突然袭击,我丝毫没有准备。不过我上网看到有人竟然在晚上七点多还会接到腾讯的面试电话,这也就说明大家以后如果向腾讯投递了简历,那么就一定要时刻准备着。
这次的面试问题要比上一次更加的深入且全面,整个电话面试持续了22分钟。如果拿腾讯的面试问题与金山相比,最显著的区别在于,腾讯的这次面试是完全围绕着我的简历进行的,也就是说,我的简历上有什么,面试官就问什么。所以我们一定要把自己的优势完全体现在简历上,并且要对简历内容非常熟悉才可以。而金山主要是针对于基础知识的考察,几乎涵盖了安全领域的所有可问的问题。当然也有可能是因为我在投金山时,简历内容实在是乏善可陈,面试官觉得从我的简历中实在是找不出什么可问的。这里我贴出我向腾讯投的简历(部分),大家可以结合我的简历,看看面试官是如何提问题的。
图1 我的简历(部分)
由于我的简历基本是依据我的博客内容创建的,所以面试官向我提的问题,当时我都会回忆出博文内容,然后再做解答。只有个别的问题我的博文才没有涉及。接下来我会给出面试官提出的问题,之后我会加上我当时的解答,如果我的博文有涉及,我还会贴出博客地址,供想要完整答案的朋友方便进行查询。
1、你的简历中提到你曾经逆向分析过游戏存档文件,请说说你是如何分析的。并讲讲你的注册码生成器的算法是如何得出的。
其实这个问题与上一位面试我的面试官的第一个问题很是类似。我就回答说首先需要找到切入点,查找游戏中的金钱或者游戏点数,利用十六进制代码查看工具对存档文件进行搜索比对,包括人物属性也可以这样查找并修改。某些复杂的部分,比如法术,我还需要使用十六进制对比软件才可以。而注册机的编写,我需要利用IDA Pro来静态分析游戏的验证流程,同时也需要使用OD进行动态跟踪,查看数据的变化。
有兴趣的读者可参考:
那么你所分析的存档文件是否经过加密?你分析过加密的存档文件吗?
我答,我所分析的《FIFA》游戏和《仙剑奇侠传》游戏的存档文件都是没有加密的,我也没分析过加密的存档文件,不过我正打算分析一个。(我其实最开始分析的是PSP的战神游戏的存档,但是由于它可能是进行了加密处理,我水平有限,使得我的分析就搁浅了,以后应该会重启分析,并将分析过程写入“逆向工程研究”系列中)。
2、你学习这些知识有多长时间了?最初为什么学习这些?
我答道,从我对这个领域什么都不知道到现在为止,大概是学了一年,而真正接触反病毒的知识,也就是这半年的时间。我最初念研究生的时候,对自己未来的方向并没有一个明确的认识,直到一个偶然的机会,看了“小甲鱼”的利用OD进行破解与PE文件结构的课程,觉得这个领域很有趣,就开始认真学习这方面的知识。
3、请你说说免杀都有几种方式。
面试官向我提这个问题,我心里一惊。虽说关于免杀的知识,我或多或少懂一些,但是毕竟久未接触,很多东西已经记不清了。而且我的博文中还未涉及到关于免杀的知识。于是我说,首先,加壳可以算是一种免杀,然后比如在代码中加入花指令也可以免杀,或者我们可以提取出特征码,进行修改并隐藏,也能够达到免杀效果。
花指令都有哪些?
我答,比如pushad与popad就算一种花指令,其它的一时想不起来。
(后来查书,其实我还是把要点都答出来了。对免杀有兴趣的朋友,我强烈推荐任晓辉的《黑客免杀攻防》,这本书可以说是免杀类书籍的独苗。由于免杀这个领域的知识很多,在此我不再列出标准答案。)
4、你对漏洞了解多少?
我答,对于漏洞,我目前仅仅懂一些基本的原理,比如缓冲区溢出漏洞。我还没达到独立发现漏洞的水平。
那你说说什么是缓冲区溢出漏洞。
我说,比如有一条CALL语句,那么系统在执行这个CALL语句之前,会将下一条语句的地址压栈。那么如果我们能够找到栈中该地址的位置,就能够利用溢出的办法,将该地址修改为我们想要执行的语句的地址,别有用心的人就可以根据这个,让程序去执行恶意代码了。
有兴趣的读者可参考:
5、你对内核了解多少?
我说,关于内核,我目前仅仅是初学阶段,包括WinDbg,也是刚刚开始学习使用,目前只会利用WinDbg进行结构的解析。
既然你是初学,那么我问你一个简单的内核问题,请你解释一下什么是“进程环境块”,也就是PEB。
我答道,我曾经学过如何隐藏DLL,它就是利用了PEB的知识。我们首先需要根据PEB找到TEB,里面有三条链表,想要隐藏DLL,只需把DLL在这三条链表中脱链即可。
那么这三条链表叫什么名字?
我答,记不清了。DLL脱链后,就能够躲过一些安全类工具的监测,但是“冰刃”依旧可以检测到。
“冰刃”采用的是什么原理来检测的?
我答,这个我曾经看过一篇关于这个的文章,但是没看懂,也就不清楚。(通过查资料得知,“冰刃”在枚举进程模块时使用的是ZwQueryVirtualMemory,有兴趣的读者可参考看雪论坛jokersky的文章《【原创】【屠夫科普】R3枚举目标进程加载模块【C++标准版】【Part.1】【Part.2】》)
有兴趣的读者可参考:
《反病毒攻防研究第013篇:恶意程序隐藏初探——DLL隐藏》
6、你的U盘防火墙是什么原理?
我说,当我们的U盘插入计算机后,我们的系统就能够检测到U盘的存在,它就会发送一个消息,这样我们就可以检测中U盘中是否存在autorun.inf这个文件,如果存在,那么就对其内容进行解析。比如其中有open命令,那么就查看open后面的文件名是什么,之后删除U盘中以该文件名命名的文件。因为这个文件很可能就是病毒。这也就实现了防火墙的功能。
有兴趣的读者可参考:
7、你的系统行为监控是什么原理?
我回答说,这个可以从两个方面来实现监控,一个是通过对敏感API函数的钩取进行监控,另外一个是有些API函数自身就是能够达到监控的效果,比如有一个函数(名字一时没想起来)就能够检测文件及文件夹的变动,可以通过创建线程来实现这个功能。
有兴趣的读者可参考:
8、你都分析过那些病毒?
我说我分析过熊猫烧香、QQ盗号木马以及敲竹杠病毒,大概是三四个的样子。
你说说熊猫烧香是怎么实现感染的。
我说病毒的感染一般是有两种方式,一是将自身代码植入文件的缝隙,一是新建节区来添加恶意代码。熊猫烧香一方面是将代码复制到PE文件中,并修改资源实现图标的更改,一方面是将一段网址植入网页文件中,使得当我们执行那个网页文件,就能够跳到病毒作者想让我们访问的网站中。从而也就实现了感染。
你说说你所分析过的“敲竹杠”病毒
“敲竹杠”病毒的原理其实就是通过篡改系统的密码,让受害用户去联系病毒作者,并花钱去买密码。像我最近分析了一个基于.NET的“敲竹杠”病毒,虽说很少见地采用了.NET框架,但是其实也是这个原理。这种.NET的程序,只要使用Reflector软件,就能够直接看到它的源代码,分析起来很简单。其实“敲竹杠”病毒分析起来基本都很简单。
有兴趣的读者可参考:
《病毒木马查杀实战》
面试官围绕我的简历的提问基本上就是这些,令我没有想到的是,他还向我提问了几个关于算法和数据结构的问题。尽管我也看过一些网友面试腾讯的经历,他们都说会提问这方面的知识,但是他们所面试的是软件开发类的职位,我没想到反病毒工程师的职位也要问这些。加上我这方面的基础很一般,尽管研究生入学考试,我们的专业课考的就是数据结构,但是毕竟许久未接触,很多都忘了,所以回答得不好,因此不再给出我当时的解答。这里我只列出问题,大家可以自行查找答案:
1、什么是链表?
2、什么是二叉树?它是怎么实现的?
3、查找都有哪几种方式?
4、什么是二分法查找?
5、什么是冒泡排序?
6、各种排序算法的效率是怎样的?
由于第一个关于链表的问题我就没回答好,所以面试官问我,不是考过了程序员和软件设计师吗,为什么不清楚链表呢?(又是依据我的简历来提问的)你编程不需要用链表吗?我说我主要编这几种程序,一是序列号生成器这样的程序,二是针对于病毒的某一特定行为来编程实现应对,三是某一特定病毒木马的专杀程序,这些程序基本是不需要使用链表的。
我的腾讯二面基本就是这样的一个流程,希望大家能够从中汲取自己所需的部分,多多讨论,多多交流。平时就多注重知识的积累,以及动手能力的培养。
这里还有一件事没有说明的是,在电话面试的最后,腾讯面试官才知道我还没有毕业,而他们这个职位其实只针对于社招,他建议我在腾讯校园招聘的时候,再投这个职位,那么事实上也就说明,我的这次电话面试又失败了。
5831
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
