二进制安全找实习记录

就二进制安全岗而言，这里笔者主要面试了腾讯的科恩实验室内核安全和浏览器安全组，然后还面试了一些乙方（其它的就面了一下前后端开发，基本秒挂，这就不说了，笔者也没打算搞开发）。其实后面还面了个华子，但是一直没推流程，笔者也不太想等了，最后成功拿到腾子的实习offer 。这里主要记录一下腾子面经（面的其它乙方公司偏渗透，攻防的多，就不多说了，基本都是秒挂），然后有的问题忘记了，仅仅记录一下自己回忆起来的东西，当然这里问题问的先后顺序我也忘记了。
一面：

• 简短的自我解释
• gdb 断点的实现原理、硬件断点和软件断点的原理及其优缺点（答的一般）
• c 语言如何实现类似面向对象的功能（经过好久的提示才答出来了）
• 字符设备和块设备的特点，举例子哪些是字符设备，哪些是块设备（块设备举例就举了个磁盘，当时有点懵逼了，然后面试官不是很满意）
• 是否了解过 linux 的内存管理、设备管理、进程管理等子系统的实现（了解过内存管理和设备管理，然后简单的问了下设备管理相关的东西）
• linux 是如果通过文件名找到对应的文件内容的（inode巴拉巴拉)
• inode 节点存储在那个位置，其数据结构是怎么样的（答的磁盘，然后面试官又问我在磁盘的那个区，不知道…，然后数据结构不知道）
• 零拷贝和写时拷贝的概念以及他们分别解决了什么问题（答的很烂，反正就勉勉强强，太紧张了，最开始还把两个说反了，艹）
• 讲下 dirty pipe 漏洞，你认为这个漏洞出现的原因是什么（这里我答的很烂，太紧张了，其实这里应该从 splice 系统调用和匿名管道讲起的，但是我直接就说 splice 未初始化，给面试官都搞无语了…）
• splice 是为了解决什么问题，其为什么能够减少系统开销（我答的是直接在内核的page_cache中进行数据交换，然后他还接着问了下其它问题，但是我忘了）
• 你是怎么接触到内核利用的（巴拉巴拉）
• c++ 中 switch 语句在汇编层是怎么实现的（这里我说的 jump table，但是他问我除了 jump table 还有其他形式吗？然后我说不知道了…）
• 接着上问：问我 jump table 存储在那个区域（这里我答的只读数据段）
• 接着上问：问我还有什么结构是存储在只读数据段的（不了解，艹，这里其实还有很多可以说的，比如常量字符串啥的，但是脑子真懵逼了）
• c++ 中引用和指针的区别，什么时候必须使用引用而不能使用指针（不清楚，说实话，我一直用的C，引用都没咋用过）
• c++ 中引用和指针在汇编层有什么区别（不清楚，谁没事观察这个啊…）
• 中断的执行阶段有哪些，缺点是什么（答的很烂，就把操作系统实验上学的搬了过去，面试管也不是很满意）
• 利用中断实现系统调用为什么会增加系统开销（这个我真不知道咋说，反正就知道啥说啥了…）
• 之前的 linux 中系统调用的实现，目前 linux 中系统调用的实现是怎么样，其为什么能够减少系统开销（之前是使用 int 0x80，现在是syscall/sysret，其只有使用了MSRs寄存器组，然后就巴拉巴拉）
• linux 从用户态切换到内核态其寄存器信息保存在什么地方（内核栈栈底）
• canary 的实现原理以及其是为了解决什么问题（栈溢出，然后讲下具体原理即可）
• canary 存储在哪里（这里我答 TLS）
• 接着上问：问我如何获取 TLS 结构（我答通过 fs:0x28）
• 接着上问：只能用 fs 寄存器吗？（我答还可以通过 gs 寄存器）
• 接着上问：fs 和 gs 寄存器有什么区别（我想了好久说了个没区别，然后面试官告诉我确实没啥区别，不同平台和架构用的不一样而言【这不是坑我吗？我还真以为有啥区别呢…因为我记得 fs 是针对用户态的，gs 是针对内核态寻找 per_cpu 变量的…】）
• 还有很多问题，我都忘记了（但都是一些基础知识）…

注：V8 我答的不是很好了，哎，如果对 V8 不是很熟悉，最好就别写了

• V8 讲下 turbofan 中你印象深刻的优化趟
• 讲下 typer 趟主要做了什么
• 讲下 load elimination 趟主要做了什么
• 讲讲常数折叠
• 讲讲逃逸分析
• 你复现的漏洞其实都是很老的漏洞了，请问你有跟踪过最近的漏洞吗？（无…乐，笔者复现的基本都是 2020 的，然后面试官告诉我，其实 turbofan 现在几乎很难在挖到漏洞了，然后让我多跟踪一下目前的比较前言的技术或者漏洞）
• 然后还问了一些 V8 相关的，笔者基本都是不了解，不清楚，所以就不记录了

然后就是闲谈了

• 你有读研的打算吗？还是想直接工作？
• 这两个方向你是更偏向于内核还是浏览器呢？（我答的内核）
• 现在我们实验室其实搞 linux 内核比较少了，基本都是搞 Windows 和 MAC（悲，…这就应该算是婉拒了）
• 然后就是经典反问：我问了下他们每天的工作日常
  • 他告诉就是优化 fuzz，分析 crash，写高 level 的利用脚本，形成武器库（然后我也不会 fuzz)
• 最后他告诉我，fuzz 是必备的（又一次拒绝了？如果一开始面试就告诉我 fuzz 必须会，哪可能就直接结束了，乐）

这次面试面了一个多小时，虽然问的问题不算难，但是不知道为啥脑子一片空白，所以总体来说就是全程被拷打，虽然失败了，但是从面试中我也知道了自己的不足，以及以后应该往那个方向努力。

二面：
没想到挺到了二面，但是是群面，一共四五个人吧，有几个个内核组的，几个浏览器组的。
内核方向问的都挺基础的，没啥好说的，感觉有一个面试官是打CTF的，问的很多跟CTF相关

• 用户态问了栈溢出、非栈上的格式化字符串漏洞、canary、ptmalloc的管理结构等基础，如果你打CTF，并且学习 PWN 两个月以上（大佬可能更快），基本都能答出来
• 然后问了用户态子线程的堆管理相关的东西
• 内核态问了一些常见的保护和绕过方式，然后还问了一些漏洞利用相关的，比如如何绕过 SMEP 等（这里得好好准备下，因为面试官会一直问你：还有其它方法吗？所以还是多总结一些漏洞利用姿势，和一些绕过相关保护的多种姿势）
• 然后我简历上写了我软件安全课程写过 PE 病毒，所以问了我一些 PE 相关的东西，比如如何寻找某个函数的地址，然后问了下 IAT 等表，还问了我如何直接在kernel32.dll中寻找gadget（不用工具）【这里我答的比较烂，感觉不是面试官心中的答案】
• 然后问了我一个自己之前原创的针对内核小对象 Double Free 的攻击方法，就问了我如果实施攻击，然后问了下内核堆风水的问题（但是其好像不是堆风水的问题，主要是Cross Cache Attack的问题）
• 然后还有一些杂七杂八的问题，比如cpp逆向时，类的this指针保存在那个寄存器中等待问题，但是太久了，基本忘了

总结：基本问的都是漏洞利用相关的，由于笔者不会漏洞挖掘，所以基本没问我漏洞挖掘的东西。然后本以为会问我 linux 内核内存管理和设备管理的东西，但是没有问，只能说白（逃）准（过）备（一）了（劫）

浏览器方向一如既往的不会，早知道不写了，吐了，又被面试管拷打了

• 又让我说 turbofan 呜呜呜…
• 问了一些 V8 漏洞利用相关的，比较简单，然后让我讲了一个漏洞的利用，也还 OK
• 问了一些 V8 对象模型相关的，比较简单
• 然后问我编译原理、优化相关的，嗯…答的不是很好，后悔为啥大二没有好好学了
• 然后还问我浏览器中的攻击面（没答上来，接触不久）
• 当时还问我除了UAF漏洞，浏览器中还有哪些经常出现的漏洞（当时我已经被好几个面试官拷打了，所以心态有点绷，然后没答的太好，其实在浏览器中，类型混淆是经常出现的漏洞，然后 OOB 也是 JIT 优化中很常见的漏洞）
• 然后还有一些杂七杂八的问题，主要是漏洞利用那一块的，忘了
• 然后就是漏洞挖掘了，但是我不会，嘿嘿

最后还是问下了漏洞挖掘相关的

• 问我在打CTF，拿到一个题目如何去挖掘漏洞（这里的答的调试分析）
  • 经典话术：调试分析 ==> patch 后继续调试分析（乐）
• 然后我说我在一面后就去看了 AFL 源码，好家伙，立马让我讲下 AFL 架构（所以有时候不要多嘴，但是如果你答的好的话，会让面试官认为你的学习能力比较强。这里我说我去看 AFL 源码的原因是因为面试的部门就是搞漏洞挖掘的，并且一面、二面也强调要会 Fuzz，所以这里你给面试官一个留下你的理由，毕竟人家部门就是搞漏洞挖掘的，但是你却啥也不会）

经典反问：

• 我说：师兄们可以给我一些学习上的建议吗？【这个是真心想问的，因为在二进制方向，自己一直都是一个人瞎搞，没有大佬带，完全没有体系】
• 面试官主要还是说我搞的一些东西都太老了，让我多跟踪一些新的技术，后面还给了我一些建议，都挺好的

最后还是一如既往的要求会 fuzz 所以直接没了（所以为啥要我进二面，我一面不是说了我不会 fuzz 吗？呜呜呜）

总体来说基础的东西偏多，所以还是要注重一些底层的基础，如果你是大一或大二，建议学习操作系统、编译原理、数据结构的课程时好好学习，不要偷懒。如果想要从事浏览器安全的话，编译原理还是要好好学的，不然像我一样，很多优化都搞不懂…AST/IR Fuzz 也不会写…菜狗一个

HR 面
比较在意项目经历和实习经历，自己之前都没有项目经历和实习经历，然后整体说的也不好，所以基本没了（看HR一脸疑惑，猜测HR内心OS：这家伙啥也没有咋过的二面…）。其实挺不甘心的…哎，大小厂都不要我
虽然面的不是很好，但是还是过了，感谢HR小姐姐

后面就是漫长的等待过程…

总结：
总体来说开发方向找实习相对简单一下（笔者菜鸡开发都能面一面，虽然也被拒绝了），二进制方向只要你技术强，其实也还好，主要还是笔者太菜了

然后还投递了一些其它公司的安全岗，但是都没回复我（主要很多都是WEB渗透相关的，IOT倒是比较多，但是我不会【之前本来想搞IOT的，但是后面感觉没兴趣所以放弃了，但是IOT的话感觉要求就更好一些了，因为 IOT 比较卷，我认识的一些搞IOT的大佬（也是本科生）基本上都是有高危CVE的】），哎，搞安全，没技术，寸步难行…
===================== 后续 =====================================================
后面一些公司也给面了，但是感觉都是KPI，面的很快，挂的也很快

本来想等等华子的，但是还是算了，都一周没消息了，真的不想等了，所以直接签了腾子

感谢腾子，从此就是腾子的形状