Tx安全技术笔试题总结

1.Hook 技术既能在Rang0级使用也能在Rang3级使用。MessapgeBoxA Hook是在Rang3级

2.什么是APT？
APT （Advanced Persistent Threat）高性能持久性威胁，这种攻击具有极强的隐藏能力，通常是利用企业或机构网络中受信任的应用程序漏洞来形成攻击者所需要的C&C网络，其次APT攻击有极强的针对性，攻击触发之气通常需要收集大量关于用户业务流程和目标系统使用情况的精确信息，情报收集的过程需要使用社会工程学等搜索，可能其中被攻击环境的各种0day收集更是必不可少的环节。

3.Android客户端捕获http请求包的方法？
使用TCPDUMP ， wireshark或者etherpeek等网络层抓包工具，如果是应用直接安装在模拟器上，因为模拟器本身的数据交互是通过电脑的主机网卡进行，所以只要抓取网卡数据包然后过滤便可以得到android客户端的数据包。
fiddler这个工具就UI比较好的可以在手机上设置同一局域网内PC为代理机器（只需要设置IP和端口为PC的监听端口），然后设置fiddler允许远程连接和监听本地端口就OK了。

4. Android 两个Activity 之间怎样通讯？

使用Handler , Intent , Service, Bundle,Broadcast(广播技术)技术都可以实现.

5.DEP技术？
DEP (Data execution prevention)即数据执行保护，分为软件技术和硬件技术，其实就是防止数据页执行代码，一般不在默认堆或堆栈执行的代码都会被纳入DEP检测的范围内，当硬件DEP检测到这些位置有执行的代码并且执行时一般会发生异常提示，软件DEP也可以帮助阻止恶意代码利用windows中的异常处理机制进行阻止。
其实DEP就是修复计算机对数据和代码混淆这一天然缺陷，在windows Boot.ini中 / noexecute 启动项的值就是控制DEP的工作模式，/noexecute=optout就对排除列表程序外的所有程序启动DEP，AwaysOff是对所有程序关闭DEP，一般这样连Windows本身的程序就会失去保护。
DEP防止溢出，一般缓冲区溢出就是在其他程序的缓冲区写入可执行代码，windows利用DEP标记了只包含数据的内存为非执行代码（NX），要是有在NX的内存执行代码（EIP指针指向了那块），DEP一般就会报异常，阻止执行。
DEP不能对所有程序开启，因为有些程序的兼容性问题会导致无法运行，另外操作系统还是提供了些API函数来控制DEP的状态，这些API的调用又不受任何限制，所以，你懂的，系统关键程序有DEP保护的程序也可以被突破了。

6.IOS越狱后的危害？
1.不同的越狱方式对原始沙盒的破坏不同
2.可以下载非Apple Store 的应用，这个会带来很大风险（未被安全认证的应用们很多有问题啊，要是简单的盗版就好了）

7.ELF 文件？
这是linux的可执行连接文件（Executeble and linkable format）,类似于windows的PE文件格式，是linux 应用程序二进制接口
lib/ld-linux.so.2是ELF格式可执行程序的动态链接程序,用于装配应用程序所需的共享库.在运行应用程序时,内核先要启动/lib/ld-linux.so.2,ld-linux.so.2将应用程序与共享库连接好,再启动实际的应用程序，类似于windowsLoder.exe的功能

作者：zhx278171313 发表于2014-4-13 0:33:39 原文链接

阅读：173 评论：0 查看评论