blog icon indicating copy to clipboard operation
blog copied to clipboard

Published 20 hours ago verified publisher icon mylamour

翻了翻工作日志,写个总结吧

Open mylamour opened this issue 8 years ago • 2 comments

af5b3d9669d09db9b58d9897469cc718_r

若批评无自由,则赞美毫无意义

诸事繁杂,许久未曾动笔,思及过往,时有许多感慨。虽未不满,却有忧思。自毕业以来,入职以来,亦数月有余。前前后后,亦有20周矣。择二三事记之,便于日后反思。

理想中的工作方式

我理想中的工作环境是这样的,早上10分钟站会解决昨天遗留和今天预定, 上午修修bug,下午码会代码看会书,下班前花30分钟和结对编程的对象来个code review, 每周组内有一次技术分享,一次刷题。有问题能够快速得到解决,同时有所反馈,问题是否解决,有无引发新的问题。 这是之前几个人讨论关于一个小密圈应该怎么运营时我举到的例子,是希望以此做比对,在小密圈内也能采取这种形式,使分享更加集中和有目的性,以便于小密圈能够更好的营造出一种技术氛围。

琐事记

  • webshell检测
  • 技术分享会
  • 密码提取
  • 华为全连接
  • ___ ___ 检测 ?
  • 兰亭叙小聚和佘山五黑

6.25-7.21

这是入职接到的第一个任务是做webshell检测,经过一个月左右实现。采用了fuzzy hash, rules, CNN-text-classification, 基本完成了对webshell的检测。 当然,公司内缺少同样这方面的伙伴一起讨论,这个功能的实现显然有地方有些疏漏。然而,在安全群里的讨论和后来兜哥出的书中来看,我的方法基本是比较正确的。

7.24-9.04

  • 7.24-7.31 内存取证,主要是volatility的使用。并维护了一个取证工具集
  • 7.31-8.11 密码提取,windows密码提取,锁屏绕过(可以采用Responder绕过,但是条件苛刻。配合LAN Turtle),Arduino leonardo的键盘模拟。
  • 9.04-9.05 部署了webshell检测到内网一台机器,而这一段时间内再也没有参与到其中进来。
  • 上班就意味着需要工作。所以,在第二个月,我接到了李伟的新任务,叫做恶意文件检测。当时没记错的话,如果没理解错就是对二进制病毒进行检测。开始阅读病毒检测的相关论文,补充二进制的相关知识。

9.06

华为全连接2017,得雷雷大婊贝的助力,搞了一张贵宾票。这是我第一次去参加大规模的展会,不像以前去freebuf这种专业性质的。虽然华为并不是做安全的,但是此行我还是奔着安全相关去的。此行与我印象最深,感触至深的就是精英文化。做为全球型的大会,真的觉得是精英辈出。还有就是我一开始十分诧异于为什么这些展台的销售如此精通技术,后来才知道大部分的就是技术人员,因此聊起来才头头世道。当时和华为做webshell检测的一个小姑娘聊了会,觉得还是十分称职的,起码可以把整个流程,我随便切点进去,都可以理的清楚。不过他们做的主要是邮件的webshell检测,采用了沙箱的方式。未然实验室,我喜欢这个名字。

9.18-9.22

9.18号,老板指点,说这个应该是做入侵检测,不是病毒检测,是入侵检测,判断有没有被入侵,被怎么入侵的。 诺。 9.22号下午,老板说,你这一周有什么进展没有,答没有。后和老板讨论,老板说这是做APT检测。诺,记下了。

10.11-10.23

10.11号,为了进行一些过滤,所以本地检测不采用机器学习,因此,打算采用js重写,以便和软件更好的结合。单元测试无法通过。断断续续有几天是在做这件事情。 从9.23开始的这段时间内,开始着手实现一个通用的检测框架,为了APT检测,当然也可以重新拿来做webshell的检测,但是限于自身阅历,并没有和APT组织打过交道,仅靠取计算机内相关主要文件与已知配置进行判断。十分受限。 10.22 自两小学弟来上海已有数周,虽身为学长,却更似兄弟。另有几位实验室兄弟也在上海,谷相约兰亭叙小聚,然而没想到的是五人都给了这家店差评,色香味无一占比,服务也不怎样,最后佘山小游,五黑数次,六分钟之内碾压对方的是非常之痛快痛快痛快。愿友谊长存。

10.30-11.3

一直纠结在webshell的单元测试上面,顺便被双杀

  • 李伟来说,你来了半年,连个webshell都没做好。
  • 老板来说,你来这么长时间,没有看到你做的一个东西。

总结

诚如开头所言,若批评无自由,则赞美毫无意义。没被认可,可以说是一件不幸的事情。所以应该思考。正所谓见贤思齐,见不贤而内自省也,昨天的自己犹如镜子,在你面前,由不得你不自醒。那么可以去思考问题到底出在哪里了。

问题和思考

什么是产品化的东西

如何成为一名好的项目经理

关于单元测试的一点想法

How To Get Real

mylamour avatar Nov 04 '17 03:11 mylamour

2017.11 -2018.02.07

回家已有数日,病体多恙,周天琐事繁杂,本愿早做总结,奈何心有余而力不足.亟待正常,则即刻着手整理,然观其日志,有意思者少,遂捡一二小事列与此.

  • Yara 写模块,编译单独可执行文件. 编写规则,构建规则在线编辑器,规则维护脚本,维护病毒库,黑白名单等维护
  • Cuckoo 建沙箱
  • MFT本机提取,编译py2exe
  • 读取注册表到内存
  • 部署环境以及基础验证
  • Cyber Triage ???
  • 文本分类,对代码进行分类,基于文本特征
  • webshell检测
  • APT检测
  • 照着Pastebin-hunter重写了个smloki
  • MISP
  • 发现了一大批数据泄露等.
  • pi zero渗透
  • 图像分类,对渲染后的文件截屏分类
  • build blog in deep web
  • ELK日志分析 and machine learning
  • darknet /darkflow imagenet相关,deepdetect实在太难构建了
  • 渗透更加体系化,参与了一次技术支持.

其他

  • 阅读了Python高级的一些技巧,官方文档过一遍,看了流畅的python,以及python自然语言处理.
  • 威胁建模
  • web安全以及Web浏览器安全
  • 学了ruby
  • 复习了机器学习.看了公式推导, 并在实战中应用.
  • 雅思核心快背完了,顾家北的写作和阅读都还没看,口语稍微好了一点.

不用就会忘,温故而知新.

mylamour avatar Feb 14 '18 04:02 mylamour

2018.05.10 离职

mylamour avatar May 16 '18 05:05 mylamour