文章总结： 本文记录了腾讯二进制安全工程师实习岗位的面试问题，内容涵盖APC注入、CFG机制、ETW/AMSI、堆栈欺骗、Beacon执行流程、EDR检测绕过、Windows异常处理、PE加载机制、反射式注入、ProcessHollowing等核心二进制安全技术，同时涉及编程语言、工具使用和项目经验考察，全面反映了二进制安全岗位的技术要求。 综合评分： 85 文章分类： 二进制安全,恶意软件,逆向分析,内网渗透,红队

腾讯实习，安全工程师-面经(二进制安全)

原创

GGDog Sec GGDog Sec

GGDog Sec

2026年5月24日 10:51 四川

在小说阅读器读本章

去阅读

1.APC是什么 APC注入是什么（把你知道全说出来）

2.内核里面的CFG会干什么（在编译阶段会生成Guard CF Tbale、执行会写入CFG位图表示哪些地址在特殊列表，在每一个间接call之前检查位图）

3.pdata段 UNWIND 在编译器和Windows内核之前有什么差异（编译时注册）

4.什么是ETW、AMSI

5.IDA用过什么插件

6.会什么编程语言

7.会C++吗（问这个的原因是他们部门的产品腾讯电脑管家和腾讯ioa可能是C++开发的）

8.堆栈欺骗是什么原理

9.beacon执行的整个流程

10.样本分析和分析安全产品的过程中遇到的难点是什么

11.BYOVD挖掘的方法是什么

12.有什么你自己逆向的心得

13.除了那种什么什么驱动，你还会开发功能驱动吗

14.问项目相关的

15.问实习相关的

16.javasript逆向

17.说一下EDR检测机制、说一下你研究EDR绕过的方法

18.说一下Windows异常处理机制（Windows异常处理机制太麻烦了，光一个SEH都xxxx）

19.C++ try/catch 原理是什么 （x86就是注册一个SEH处理函数，在TIB结构即32位方式fs:[0]处单链表头加一个_EXCEPTION_REGISTRATION_RECORD结构）

20.yara引擎（这个问题主要是面试官他之前研究这个的，腾讯威胁情报中心公众号有一个关于yara的文章就是他写的，可惜没看过）

21.无文件攻击有哪些（so easy）

22.说一下睡眠混淆的原理（so easy）

23.从杀软、edr的角度说一下如何检测睡眠混淆（针对APC的话可以检测NtTestAlert后是否引起内存属性改变，通过ETWTI收集APC日志、通过检测我感觉是重点关注Ntcoutiue函数的调用、以及可以检测在睡眠期间内存数据的熵值、）

24.Windows执行PE的流程（CreateProcess进内核后，创建Exxxxx，然后创建虚拟xxx，在映射xxx，修复IAT、修复重定位表、到EP执行）

25.反射式注入执行的流程（定位DLL的基地址、获取所需要的API、申请DLL内容、复制DLL过去、修复导入表、修复重定位表、调用EP）

26.样本分析的时候分析过什么有意思的（VisualStudio反序列化执行马然后用笔记平台中转C2通信）

27.你在安全社区写文章的目的是什么（稿费）

28.Yakit是什么（面试官没见过，就问问我）

29.COM劫持

30.说一下创建进程的方法（有多少说多少）（Createxxx类api、Shellxxx、Winxxx、COM接口xxx）

31.CobaltStrike beacon .NET执行加载的原理（还好逆过）

32.CFG Bypass（NtQueryVirtualxxxxx）

33.Windows执行PE的时候是怎么将PE映射到内存的（创建虚拟地址空间后，MmCreateSection、MmMapViewOfSection映射）

34.Process Hollowing（先创建合法xxx，加载恶意软件、然后从rdx读到PEB，在读到基xx、判断恶意软件预期加载地址是否被占用、被占用了就NtUnmaxxxx、然后向目标进程写入复制恶意软件、最后该rcx为恶意软件，resume）

35.GetProcAdrrss底层实现（我真是个大傻逼，我自己都实现了一个GetProcAddress，面试的时候我说没了解过，真糖丸了）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：GGDog Sec GGDog Sec GGDog Sec《腾讯实习，安全工程师-面经(二进制安全)》