二進制的路上並不好走,
這一條路走下去自己也不知道能不能找到工作
所以這幾天沒有學習pwn,聽了學長的經驗分享,就算在ctf逆向當中你的pwn技術有多牛逼和你的真正在公司當中也是沒有多大關係的 ,ctf只是你的一個展示方面,千萬不能以ctf爲目標去學習ctf,ctf應該是建立在你學習其他信息安全的基礎上進行的
很多時候,去尋遇到一個新的提權方式,漏洞溢出的方式,其實在實際當中已經沒有多大的意義了。所以不要再爲了ctf而ctf了。
下面的時間應該怎麼進行規劃呢?我打算好好學好基礎,以職業要求作爲我的學習目標,學習指南。
以後我打算先從逆向做起,後面慢慢做漏洞挖掘,反病毒之類的職位。現在移動端更多,Android也是必須得要我掌握的了
職業要求如下:
二進制基礎
熟悉X86彙編、C/C++語言
熟練使用OD、WinDbg、IDA Pro等調試、逆向工具;
熟悉Windows/Unix操作系統原理
逆向
熟悉主流的對稱和非對稱加密算法的工作原理
熟悉反跟蹤調試技術、脫殼技術
瞭解各種通用加解密算法以及算法的逆向彙編代碼特徵;
熟悉網絡協議(HTTP/HTTPS)、加密算法;
Windows
深入理解Windows操作系統原理;
具有紮實的數據結構、算法基礎;
有Windows驅動開發經驗者優先
Android逆向
熟悉ARM彙編指令體系,能熟練對ARM平臺軟件實施逆向工程,熟悉ELF/PE文件格式。
熟悉Smali語言;
精通編譯, 鏈接, 庫, 熟悉常見構建系統;
熟悉Android的系統和應用的Java層以及SO級別的Hook技術
根據需求完成Hook插件模塊功能的設計、開發和測試工作;
熟悉Android破解流程,熟悉smali語法、.dex文件結構、xposed工具,熟悉各種破殼技術
漏洞挖掘
挖掘和分析Android底層安全漏洞
熟練掌握arm/arm64彙編及其體系架構
具有對Android底層安全漏洞成因、原理及利用方式的基本知識
熟悉FUZZING測試方法及主流的漏洞挖掘工具,具備開發fuzz工具的經驗;
有android應用破解經驗,有脫殼經驗者優先;
系統最新安全機制以及在這些安全機制下漏洞利用技術的研究;
在漏洞和利用研究的基礎上爲團隊提供相應的利用工具;
熟悉常見漏洞類型,熟悉漏洞挖掘常見技術,具備常見漏洞利用經驗;
精通文件分析技術
時間上的安排:
10.18-------11.1
繼續學習pwn的漏洞溢出,將自己的pwn的水平提升到中等pwn題目水平
11.1--------12.21(50)
學習c++,目標是c++和數據結構的應用配合要寫的出來代碼,數據結構要學會和c++的配合,要學會stl容器的使用,需要能夠達到c++完成ccf的水平。還有就是在中間穿插彙編語言的學習時間是一半一半