漏洞就是Bug,影响Web安全的叫Web安全漏洞,影响App安全的叫App安全漏洞,影响操作系统安全的叫操作系统漏洞。所有这些漏洞的产生都是源于运行在计算机上的各种程序,手机也是计算机,程序即指运行在应用层面,我们日常工作使用的,也指运行在内核层面,我们无法直接感知的驱动程序,甚至是主板BIOS中的程序。在现有的计算机理论体系不出现颠覆式变革的前提下,这些程序的本质就是二进制数据。
程序就是二进制数据,在这个二进制世界里面,也分正派和邪派,正派的二进制,就是我们日常使用的,丰富生活,辅助工作的程序;邪派的二进制,就是蠕虫,后门,木马,勒索等等具有破坏行为的恶意软件,然而,这些二进制数据并不会在脑门上刻着邪恶两个字,更多的是伪装成正派的程序,又或是寄生在正派的程序上,等待你不小心的一次点击。
我们是技术人员,还是技术人员里面专门找Bug的测试人员,虽说行业有细分,术业有专攻,但不知道为什么,领域外的人都把我们看成全能人才,只要和计算机有沾边的问题,他们在咨询你的时候,都预设了一个前置条件,就是你怎么可能不会呢。要解决这个苦恼,我们就要看透程序的本质,有本质就有表象,比如说,点击一个程序,弹出一个提示框,这个就是表象,在弹出提示框这个过程中还有哪些看不到的行为,这就是本质,专业的说法叫恶意软件行为分析,分析就是测试,我们不要把测试这个词看的太狭隘,这个世界何处不测试,何处无测试,三十六计就是测试用例,孙子兵法也是测试用例,只不过他们是针对人性的弱点设计的测试用例,执行成功的代价比较大而已。
回到正题,二进制安全可以做什么,可以挖掘0Day漏洞,这个价值可是相当的高,挖到一个吃三年也不是不可能,可以做恶意软件行为分析,当然需要结合逆向领域的一些技巧,但是二进制安全和逆向工程是异曲同工,或者叫异词同调,意思是要掌握的基础知识是一样的。
你将收获:
-
实例演示二进制代码分析;
-
通过实践掌握二进制分析常用的汇编指令;
-
理解程序运行的本质;
-
掌握CPU通用寄存器的作用;
-
掌握CPU标志位寄存器的作用。
工具地址:
https://gitee.com/samllpig/SafeTool-51testing
-
逆向平台增加动态调试模块-CPU模拟器工具;
-
逆向平台增加辅助处理模块-反汇编工具,汇编转二进制代码、模拟环境运行自定义汇编代码。
行动吧,在路上总比一直观望的要好,未来的你肯定会感谢现在拼搏的自己!如果想学习提升找不到资料,没人答疑解惑时,请及时加入群: 759968159,里面有各种测试开发资料和技术可以一起交流哦。
最后: 下方这份完整的软件测试视频教程已经整理上传完成,需要的朋友们可以自行领取【保证100%免费】
软件测试面试文档
我们学习必然是为了找到高薪的工作,下面这些面试题是来自阿里、腾讯、字节等一线互联网大厂最新的面试资料,并且有字节大佬给出了权威的解答,刷完这一套面试资料相信大家都能找到满意的工作。