我在1月8號的下午三點，接到了騰訊電腦管家反病毒工程師的電話二面。騰訊這次又是突然襲擊，我絲毫沒有準備。不過我上網看到有人竟然在晚上七點多還會接到騰訊的面試電話，這也就說明大家以后如果向騰訊投遞了簡歷，那么就一定要時刻準備著。 這次的面試問題要比上一次更加的深入且全面，整個電話面試持續了22分鐘。如果拿騰訊的面試問題與金山相比，最顯著的區別在于，騰訊的這次面試是完全圍繞著我的簡歷進行的，也就是說，我的簡歷上有什么，面試官就問什么。所以我們一定要把自己的優勢完全體現在簡歷上，并且要對簡歷內容非常熟悉才可以。而金山主要是針對于基礎知識的考察，幾乎涵蓋了安全領域的所有可問的問題。當然也有可能是因為我在投金山時，簡歷內容實在是乏善可陳，面試官覺得從我的簡歷中實在是找不出什么可問的。這里我貼出我向騰訊投的簡歷（部分），大家可以結合我的簡歷，看看面試官是如何提問題的。 **** 圖1 我的簡歷（部分） 由于我的簡歷基本是依據我的博客內容創建的，所以面試官向我提的問題，當時我都會回憶出博文內容，然后再做解答。只有個別的問題我的博文才沒有涉及。接下來我會給出面試官提出的問題，之后我會加上我當時的解答，如果我的博文有涉及，我還會貼出博客地址，供想要完整答案的朋友方便進行查詢。 **1、你的簡歷中提到你曾經逆向分析過游戲存檔文件，請說說你是如何分析的。并講講你的注冊碼生成器的算法是如何得出的**。 其實這個問題與上一位面試我的面試官的第一個問題很是類似。我就回答說首先需要找到切入點，查找游戲中的金錢或者游戲點數，利用十六進制代碼查看工具對存檔文件進行搜索比對，包括人物屬性也可以這樣查找并修改。某些復雜的部分，比如法術，我還需要使用十六進制對比軟件才可以。而注冊機的編寫，我需要利用IDA Pro來靜態分析游戲的驗證流程，同時也需要使用OD進行動態跟蹤，查看數據的變化。 有興趣的讀者可參考： 《[逆向工程第001篇：解鎖FIFA07傳奇模式](http://blog.csdn.net/ioio_jy/article/details/26754257)》 《[逆向工程第002篇：打造自己的仙劍奇俠](http://blog.csdn.net/ioio_jy/article/details/28142093)》 《[逆向工程第005篇：跨越CM4驗證機制的鴻溝（上）](http://blog.csdn.net/ioio_jy/article/details/40021179)》 《[逆向工程第006篇：跨越CM4驗證機制的鴻溝（中）](http://blog.csdn.net/ioio_jy/article/details/41991005)》 《[逆向工程第007篇：跨越CM4驗證機制的鴻溝（下）](http://blog.csdn.net/ioio_jy/article/details/41994047)》 **那么你所分析的存檔文件是否經過加密？你分析過加密的存檔文件嗎？** 我答，我所分析的《FIFA》游戲和《仙劍奇俠傳》游戲的存檔文件都是沒有加密的，我也沒分析過加密的存檔文件，不過我正打算分析一個。（我其實最開始分析的是PSP的戰神游戲的存檔，但是由于它可能是進行了加密處理，我水平有限，使得我的分析就擱淺了，以后應該會重啟分析，并將分析過程寫入“[逆向工程研究](http://blog.csdn.net/column/details/reversing.html)”系列中）。 **2、你學習這些知識有多長時間了？最初為什么學習這些？** 我答道，從我對這個領域什么都不知道到現在為止，大概是學了一年，而真正接觸反病毒的知識，也就是這半年的時間。我最初念研究生的時候，對自己未來的方向并沒有一個明確的認識，直到一個偶然的機會，看了“小甲魚”的利用OD進行破解與PE文件結構的課程，覺得這個領域很有趣，就開始認真學習這方面的知識。 **3、請你說說免殺都有幾種方式。** ? ? ? 面試官向我提這個問題，我心里一驚。雖說關于免殺的知識，我或多或少懂一些，但是畢竟久未接觸，很多東西已經記不清了。而且我的博文中還未涉及到關于免殺的知識。于是我說，首先，加殼可以算是一種免殺，然后比如在代碼中加入花指令也可以免殺，或者我們可以提取出特征碼，進行修改并隱藏，也能夠達到免殺效果。 **花指令都有哪些？** 我答，比如pushad與popad就算一種花指令，其它的一時想不起來。 （后來查書，其實我還是把要點都答出來了。對免殺有興趣的朋友，我強烈推薦任曉輝的《黑客免殺攻防》，這本書可以說是免殺類書籍的獨苗。由于免殺這個領域的知識很多，在此我不再列出標準答案。） **4、你對漏洞了解多少？** 我答，對于漏洞，我目前僅僅懂一些基本的原理，比如緩沖區溢出漏洞。我還沒達到獨立發現漏洞的水平。 **那你說說什么是緩沖區溢出漏洞。** 我說，比如有一條CALL語句，那么系統在執行這個CALL語句之前，會將下一條語句的地址壓棧。那么如果我們能夠找到棧中該地址的位置，就能夠利用溢出的辦法，將該地址修改為我們想要執行的語句的地址，別有用心的人就可以根據這個，讓程序去執行惡意代碼了。 有興趣的讀者可參考： 《[反病毒攻防研究第003篇：簡單程序漏洞的利用](http://blog.csdn.net/ioio_jy/article/details/39012563)》 **5、你對內核了解多少？** 我說，關于內核，我目前僅僅是初學階段，包括WinDbg，也是剛剛開始學習使用，目前只會利用WinDbg進行結構的解析。 **既然你是初學，那么我問你一個簡單的內核問題，請你解釋一下什么是“進程環境塊”，也就是PEB。** 我答道，我曾經學過如何隱藏DLL，它就是利用了PEB的知識。我們首先需要根據PEB找到TEB，里面有三條鏈表，想要隱藏DLL，只需把DLL在這三條鏈表中脫鏈即可。 **那么這三條鏈表叫什么名字？** 我答，記不清了。DLL脫鏈后，就能夠躲過一些安全類工具的監測，但是“冰刃”依舊可以檢測到。 **“冰刃”采用的是什么原理來檢測的？** 我答，這個我曾經看過一篇關于這個的文章，但是沒看懂，也就不清楚。（通過查資料得知，“冰刃”在枚舉進程模塊時使用的是ZwQueryVirtualMemory，有興趣的讀者可參考看雪論壇jokersky的文章《[【原創】【屠夫科普】R3枚舉目標進程加載模塊【C++標準版】【Part.1】【Part.2】](http://bbs.pediy.com/showthread.php?t=125080)》） 有興趣的讀者可參考： 《[反病毒攻防研究第013篇：惡意程序隱藏初探——DLL隱藏](http://blog.csdn.net/ioio_jy/article/details/40264291)》 《[Windows內核學習筆記第002篇：本地調試TEB](http://blog.csdn.net/ioio_jy/article/details/41879149)》 **6、你的U盤防火墻是什么原理？** 我說，當我們的U盤插入計算機后，我們的系統就能夠檢測到U盤的存在，它就會發送一個消息，這樣我們就可以檢測中U盤中是否存在autorun.inf這個文件，如果存在，那么就對其內容進行解析。比如其中有open命令，那么就查看open后面的文件名是什么，之后刪除U盤中以該文件名命名的文件。因為這個文件很可能就是病毒。這也就實現了防火墻的功能。 有興趣的讀者可參考： 《[安全類工具制作第002篇：U盤防火墻的制作](http://blog.csdn.net/ioio_jy/article/details/39509995)》 **7、你的系統行為監控是什么原理？** 我回答說，這個可以從兩個方面來實現監控，一個是通過對敏感API函數的鉤取進行監控，另外一個是有些API函數自身就是能夠達到監控的效果，比如有一個函數（名字一時沒想起來）就能夠檢測文件及文件夾的變動，可以通過創建線程來實現這個功能。 有興趣的讀者可參考： 《[安全類工具制作第007篇：行為監控工具的開發](http://blog.csdn.net/ioio_jy/article/details/40428785)》 《[反病毒攻防研究第014篇：監視惡意程序的復制與自刪除](http://blog.csdn.net/ioio_jy/article/details/40376487)》 **8、你都分析過那些病毒？** 我說我分析過熊貓燒香、QQ盜號木馬以及敲竹杠病毒，大概是三四個的樣子。 **你說說熊貓燒香是怎么實現感染的。** 我說病毒的感染一般是有兩種方式，一是將自身代碼植入文件的縫隙，一是新建節區來添加惡意代碼。熊貓燒香一方面是將代碼復制到PE文件中，并修改資源實現圖標的更改，一方面是將一段網址植入網頁文件中，使得當我們執行那個網頁文件，就能夠跳到病毒作者想讓我們訪問的網站中。從而也就實現了感染。 **你說說你所分析過的“敲竹杠”病毒** “敲竹杠”病毒的原理其實就是通過篡改系統的密碼，讓受害用戶去聯系病毒作者，并花錢去買密碼。像我最近分析了一個基于.NET的“敲竹杠”病毒，雖說很少見地采用了.NET框架，但是其實也是這個原理。這種.NET的程序，只要使用Reflector軟件，就能夠直接看到它的源代碼，分析起來很簡單。其實“敲竹杠”病毒分析起來基本都很簡單。 有興趣的讀者可參考： 《[病毒木馬查殺實戰](http://blog.csdn.net/column/details/killvirus.html)》 面試官圍繞我的簡歷的提問基本上就是這些，令我沒有想到的是，他還向我提問了幾個關于算法和數據結構的問題。盡管我也看過一些網友面試騰訊的經歷，他們都說會提問這方面的知識，但是他們所面試的是軟件開發類的職位，我沒想到反病毒工程師的職位也要問這些。加上我這方面的基礎很一般，盡管研究生入學考試，我們的專業課考的就是數據結構，但是畢竟許久未接觸，很多都忘了，所以回答得不好，因此不再給出我當時的解答。這里我只列出問題，大家可以自行查找答案： **1、什么是鏈表？** **2、什么是二叉樹？它是怎么實現的？** **3、查找都有哪幾種方式？** **4、什么是二分法查找？** **5、什么是冒泡排序？** **6、各種排序算法的效率是怎樣的？** 由于第一個關于鏈表的問題我就沒回答好，所以面試官問我，不是考過了程序員和軟件設計師嗎，為什么不清楚鏈表呢？（又是依據我的簡歷來提問的）你編程不需要用鏈表嗎？我說我主要編這幾種程序，一是序列號生成器這樣的程序，二是針對于病毒的某一特定行為來編程實現應對，三是某一特定病毒木馬的專殺程序，這些程序基本是不需要使用鏈表的。 我的騰訊二面基本就是這樣的一個流程，希望大家能夠從中汲取自己所需的部分，多多討論，多多交流。平時就多注重知識的積累，以及動手能力的培養。