2026年360实习生笔试题及答案

2026年360实习生笔试题及答案

一、单项选择题，(总共10题，每题2分)1.在网络安全攻防演练中，红队最常使用的初始入口技术属于下列哪一类A.0day漏洞利用B.社会工程学C.物理接触植入D.侧信道分析2.360安全大脑的核心数据存储层基于下列哪种分布式存储架构A.HDFS+AlluxioB.Ceph+自研索引C.MongoDB分片D.MySQL主从3.在Windows内核中，负责把用户态API调用转发至对应系统服务函数的模块是A.ntdll.dllB.kernel32.dllC.hal.dllD.win32k.sys4.以下哪条正则表达式可精确匹配“以360开头、中间6位数字、以Sec结尾”的字符串A.^360\d{6}Sec$B.360[0-9]{6}SecC.^360\d{6}SecD.360\d{6}Sec$5.在Linux系统调用审计中，ptrace附加成功后首先触发的内核事件是A.PTRACE_ATTACHB.SIGSTOPC.PTRACE_SYSCALLD.SIGCHLD6.360QuicCloudCDN使用自研UDP传输协议，其拥塞控制算法默认采用A.BBRB.CopaC.CubicD.Vegas7.在Android应用逆向中，若dex文件被抽取至so并在运行时拼接，最有效的脱壳点是A.JNI_OnLoadB.OpenMemoryC.DefineClassD.dex2oat8.以下关于BGP安全说法正确的是A.RPKI可完全防止路由泄露B.BGPsec解决了AS_PATH伪造C.IRR数据库能实时验证起源ASD.360的BGP-Guard侧重路由劫持监测9.在360冰刃（IceSword）工具中，可隐藏进程的关键内核结构体字段是A.EPROCESS.ActiveProcessLinksB.EPROCESS.ThreadListHeadC.EPROCESS.PebD.EPROCESS.VadRoot10.若沙箱检测到样本调用NtSetInformationProcess进行ProcessBreakOnTermination，可判定其意图为A.反调试B.提权C.持久化D.抗卸载二、填空题，(总共10题，每题2分)11.360“鲲鹏”平台对PE文件进行知识图谱建模时，把每个函数控制流图抽象为________图，用于后续同源性比对。12.在Windows1020H1及之后，内核缓解策略________可阻止未签名驱动加载，即使测试模式开启。13.360烽火台实验室提出的“________”算法，可在无解密钥条件下对WannaSamba勒索软件进行文件恢复。14.在LinuxeBPF编程中，用于获取当前进程名的辅助函数是________。15.360DNSMon对全球DNS流量进行实时聚类，其底层使用________计算框架完成秒级特征更新。16.对安卓APK进行VMP加固时，最常用的字节码变换是________指令膨胀与常量拆分。17.3600dayShield在浏览器端利用________技术对堆喷射进行实时拦截。18.在ATT&CK矩阵中，T1562.001代表________防御规避技术。19.360Netlab发现Mozi僵尸网络采用________算法生成每日DGA域名，生命周期为120天。20.当使用360Quake进行网络空间测绘时，查询语句“app:”360安全卫士”&&country:”CN””返回结果的默认排序字段是________。三、判断题，(总共10题，每题2分)21.360SafeOS基于微内核架构，驱动全部运行在用户态。22.在macOS系统上，由于SIP机制存在，无法使用LKM方式加载内核扩展。23.360星链（StarLink）应急系统可在断网环境下通过卫星链路更新病毒库。24.在x86-64Linux中，系统调用号0x3C对应的是sys_exit。25.360沙箱使用QEMU全系统模拟时，可通过“-enable-kvm”开关提高指令级透明度。26.对HTTPS流量进行中间人解密必须拥有目标站点证书的私钥。27.360的“夜莺”蜜罐系统支持在IPv6-only网络环境部署。28.WindowsDefender与360杀毒同时开启时，会由于过滤驱动冲突导致蓝屏。29.在Android12及以上，对壳dex进行dex2oat预编译必须声明android:extractNativeLibs。30.360漏洞响应平台（SRC）对第三方SDK漏洞实行“先公开后认领”策略。四、简答题，(总共4题，每题5分)31.简述360安全大脑在检测APT横向移动时使用的“图行为异常”模型核心思路。32.说明360冰刃工具在x64Win10环境下绕过PatchGuard实现内核挂钩的技术要点。33.概述360QuicCloudCDN如何通过0-RTT握手降低首次视频分片延迟。34.描述360Android脱壳机针对DexHunter抽取框架的通用还原流程。五、讨论题，(总共4题，每题5分)35.结合3600dayShield实践，讨论浏览器堆隔离与JIT喷射缓解的协同设计权衡。36.面对Ransomware-as-a-Service（RaaS）生态，360威胁情报应如何构建“杀伤链”共享机制以提升行业整体响应速度？37.在《数据安全法》框架下，360网络空间测绘系统如何平衡“默认可见”与“最小暴露”原则？38.若未来CPU引入硬件级可信执行环境（TEE）强制签名代码，传统EDR将如何应对内核级攻击面收缩带来的可见性缺失？答案与解析一、单项选择题1.B2.B3.A4.A5.B6.A7.B8.D9.A10.A二、填空题11.属性图12.HVCI（Hypervisor-ProtectedCodeIntegrity）13.熵减碰撞14.bpf_get_current_comm15.Flink16.NOP17.隔离堆（IsolatedHeap）18.禁用或修改工具19.改进的MersenneTwister20.最后更新时间三、判断题21.F22.F23.T24.T25.F26.F27.T28.F29.T30.F四、简答题31.图行为异常模型把主机、账户、服务抽象为节点，认证、访问为边，实时构建动态图；利用图神经网络学习正常扩散概率，当攻击者横向移动时会在短时内产生低概率高密度连通子图，触发异常评分并告警。32.冰刃通过加载自定义VMM，在CPU虚拟化层拦截WRMSR指令，对关键内核数据修改进行影子备份；利用早期启动时获取的KASLR偏移重建内核页表，将钩子函数映射为只读可执行页，绕过PatchGuard周期性校验。33.客户端首次请求时携带上次会话恢复的ticket，边缘节点通过零轮询本地会话缓存复用密钥，直接发送加密视频分片；若ticket失效则回退1-RTT并异步更新ticket，实现首分片延迟<30ms。34.脱壳机首先定位so中OpenMemory符号，在内存映射dex前插入dexdump钩子；当壳拼接完dex后触发dump，修复被抽取的指令通过主动调用JNI方法迫使字节码被JIT编译回内存，再二次dump并合并，最终重打包为完整dex。五、讨论题35.堆隔离将不同对象分区降低喷射成功率，却增加内存碎片；JIT喷射缓解需延迟编译并插入随机栅栏，两者协同需动态调整隔离粒度，平衡性能损耗与防御强度，360采用分级策略：热门脚本严格隔离，冷门脚本放宽以保速度。36.360可建立RaaS链上交易监测节点，收集钱包地址、样本哈希、加密后缀三元组，写入联盟链；通过STIX格式自动下发到行业威胁情报共享平台，实现“发现—确权—推送”分钟级闭环，并引入威胁悬赏激励第三方补充IOC。37.系统对敏感资产实行“选择退出”机制，默认不扫描备案资产；通过差分隐私在