Silver

「苟利国家生死以,岂因祸福避趋之」
《戍登程口占示家人》,林则徐.
Fetched from BILIBILI

碎碎念:理论,实践和心态

Last updated:May.22, 2017 CST 07:22:42

两点躺倒在床上,一直到五点还没睡着,索性起来卖呆。

然后又看了一遍Maskray的这篇博客。实际我最初想出国工作的想法,有一半是受这篇博客的强激励的,只可惜看了看现在的自己,经历和能力都还差一些。不过这篇博文每次看都会被他的这句话惊到:

如果再像畢業後一年那樣混下去,以後職業發展肯定越來越難,道路越來越窄,機會越來越少

毕竟连大神都那么说……想了想自己。去年七月份机缘巧合在科恩开始实习,做一些逆向工作,一直到现在也尽量安排时间做一些。然后又有幸和杨老师的团队一起,做了一些东西。现在回头看一看,都是物联网相关的一些工作。隐隐也会有一些感觉,从目前的情况来看,物联网安全研究领域似乎有很多可以切入的点,但是总感觉,这个领域长期来看,没有现在这么好。很多时候拿到一个产品,连怎么拿到固件都没办法。虽然也有利用一些信道特性做分析的方法,但谈何容易。

熬夜了,思维就比较跳跃。又想起来最近已经很久没有做过系统安全相关的东西了,精力实在有限,只能追一些大方向上的东西。前两天看到wish_wu的一条关于Fuzz的微博

不开玩笑的讲,挖洞,打pwn和ctf的人将来只能捡fuzz的漏。 ​​​​

转发链上也有很多说法。这还是有道理的,且不论其他,从很久前基于文件格式做一些Fuzzer,到后来的符号执行和syzkallerAFL等业内比较有代表性的测试框架,是真真切切的能看出来,Fuzzer在一步步成熟,逐渐向一些更深层次的领域和思路走。的确有像上次Pwn2Own长亭挖掘出的那种比较难用Fuzzer搞定的洞,但长期来看,数量会越来越少。况且我觉得工业界在探讨挖洞时,总还是会关注一下挖洞的能效比的。到最后,能在企业中用的上的,可能只有两种:一种是高效的Fuzz,一种是高质量的挖掘机。

另外最近也多补了补一些课,感觉理论能力在中长期发展上的作用是很大的,涉及到漏洞挖掘上更是。一方面,不了解编译器相关的理论,做逆向的时候也蛮头痛的,有很多时候反编译器出了问题你很想修,可就是找不着北,想用一些技术复用之前的反编译成果,也有难度;另一方面漏洞挖掘上,总是做一些暴力的挖洞工作也不行,还是应该多走走,多看看,看看别人的fuzzer是个什么思路,争取写一些更好的东西出来。总的来看,现在缺少的就是数学知识,可惜这方面我懂的实在太少。(说到这里,不知你们知不知道,KeenTeam成员中约一半人从数学系毕业,有着扎实的数学基础。这让我觉得很慌……)

心态其实也蛮重要的。大三这一年可能是我从未有过的压力巅峰,心理上的影响暂且不谈,还没机会去找医生,身体上就出了一些问题了,总感觉有点心率不齐,脑供血可能也有点小问题,准备趁着七月份过去实习的时候顺便看一下,听说六院的心血管还是不错的。主要还是因为自己本身就爱多想,牵扯的事情又很多。说实话,别的都没啥,什么利益纠葛我也不太关心,抢饭这种事情是我的风格,但是我抢饭的时候也会注意别把汤洒出来。只要能让学弟还能凑一起,能有个地方让真心喜欢信息安全的人有个地方玩,我在XDSEC的这几年就算回本了。

行了,看看表也差不多七点了,准备坐校车去老校区。

虽然还没预约面签,还是希望签证申请能尽早过……

Contact webmaster at:
[email protected]