您现在的位置: Tracy‘Blog > 博客 > 心情杂记 > 正文
水文这一年

        引子:我差不多是条咸鱼了


        还没反应过来呢,又到了写自评的时候,也就是说,再过几天就入职一年了。

        也是时候回过头来看看,这一年,都在忙些啥了。猛然一想,能记起来的、印象深的大动作似乎还真的挺少的。便去翻了翻周报,发现,从实习时候的周报也都还在收件箱躺着。看了看,大多是一些恶意软件分析方面的东西吧,写了些分析文。顺便还分析了下小米路由来着,不过没啥进展,倒是弄了阵子交叉编译。

        回到16年吧,入职后给我的任务主要是APK自动化检出这块,那半年,我整理整理了APK失败率的问题,提出需要将原4.2.2版本的ROM升级到4.4.2,其实现在也想不起为啥要升级。哦,对了,是当时先整理数据上报这块,改了前端展示,把所有出错情况梳理了一遍。而后,发现安装失败率是最高的,而在安装失败率中,版本过低占安装失败的40%以上。于是,提出了要升级系统版本,至于升级到什么版本,似乎是没去做过实验的,因为手游项目刚好用的是4.4.2,就拿了源码来弄了。单纯拿两个系统先跑了一批样本,简单做了个对比,发现,升级还是有效果的。

        记得在定KPI时,leader还预估我工作量会很大,担心在半年完不成,而影响考核。后来我似乎是在2-3个月的样子,就完成了整个升级、监控点移植、兼容性匹配,前端展示等各类问题吧,完美的超出了预期。现在想想,这个阶段,应该是最有收获的吧。从刚开始的没接触过、读过安卓源码,到后来几乎一天编译n遍rom。一个个监控点的添加、调试、回溯问题等。不过,遗憾的是,自那之后便没怎么再去翻源码了,甚至从那之后就没打开过Source Insight了。有新发现的时候,才会去看看源码,重新编译、上线。这个过程,算是个折腾的过程,算是对安卓系统源码有了个初步的认识、体会的过程。也算是有些积累的过程吧。

        应该也是那段时间,熟悉了检出后台的web框架(最便于调试的一套),也能自给自足的改页面,增加、展示想要统计的各类数据了。当然,这也就只能算是个积累吧,说什么通过这个过程加深了对php的理解、认识?那绝对是瞎扯。顶多是说,我能改,当然,似乎大多数语言,我都能改。23333

        单纯的改rom也不能达到想要的效果,配套的控制脚本、解析脚本、汇总脚本的健壮性也是需要考虑,需要去修修补补的。于是,在修修改改的基础上,理解了整套自动化操作流程,知道了数据流向,知道了整个处理流程、状态上报等各类问题。
再后来,去安安静静的运营了一段时间,把特征补了补,把报毒量和独报量这块弄了上去。然后,发现单纯的运营太闲,想着得折腾些东西,于是把先前想留在今年上半年来做的模糊哈希加了上去。来来回回花了一段时间,把整个模糊哈希计算、数据上报、规则匹配机制、天报毒展示、实时报毒展示等等全部弄完了。之后开始针对动态特征匹配到的样本提静态特征,顺便看看匹配效果,你还别说,效果还是挺不错的,控制好阈值后,误报率似乎会比动态更低。这个过程中,怎么说呢,培养了自己在一个大体系下增加功能模块的能力吧。也算是练了写码能力,的确,因为没有特定的语言限制,实现这一整批功能时拿出了自己CTFer的精神,换句话说,简直无所不用其极,怎么通得过就怎么弄。那段时间,python、c、shell、php、js、java等各类语言随机切换,当然,都是百度然后复制粘贴改代码的。至于,代码稳定性、健壮性来说,自己给自己打个4分吧,对,满分10分。因为,大多自己写的代码自己也没底,非得跑几次才能知道哪里有问题。对于可读性来说,我压根没有模块的概念,哪里能增加就往哪里加,用wade的话来说,我这个接口是给xx用的,你在这服用了个yy,以后别人看到这个xx里的yy,鬼知道是干嘛用的啊。对,我无言已对,这也是需要改进的。

        再后来,就到了今年吧,刚开始是想做样本聚类,以便更加清晰的看到样本整体情况、走向,能快速把握态势的。可,刚规整了个分类信息前台出来后,就被抽调去跟表情项目了。也是,当时大家都在找事情做,都担心没事情做。

        于是安安心心的跟着表情项目走,从刚开始的想法,到慢慢的立项了,从刚开始的开会不到10个人,到后来的3-40人,也算是有些突飞猛进的感觉吧。只是,从刚开始我就没有给自己一个明确的角色定位,处于,需要革命一块砖的角色,甚至,在刚开始,我也只觉得我只是去帮帮忙的。到后来,我才发现,这块,这块已经成了个项目了。同样,这个时候,我想的是,什么都去接触一下吧,什么事情都可以接手去琢磨吧。于是,从自动化部署到后台到运营流程,我都去参与了,真当我觉得需要去这么做的时候,我发现,我并办不到,一方面是懒,另一方面是怕不能在规定时间完成。所以,渐渐地,我又开始弱化我的作用了。再到后来,给我的定位是技术运营这块,然而,运营着运营着,又来了很多安全事件,折腾了几次后,发现,在这块的作用又慢慢的弱化了下来。其实回头来想,很开心的大概是一起坐下来讨论方案、规划产品的过程吧。一起考虑,要做成什么样子,要怎样去规划流程。当时最焦虑的是没有用户,看不到用户的数据,不知道方向,可是,后来,有用户了,却没有真正每天去规整,运营这些数据。这应该是我失职的地方吧。也是需要好好反省的地方了,甚至,到目前为止,我连运营的核心指标都没能给出来,也是需要反省的。

        再后来,就到了安全事件频发的时候了,从wannacry开始,到暗云,到petya……有段时间甚至几乎每到周五就来个大的安全事件,于是,很自然地,我又回到了安全岗,又开始分析起了样本,写起了分析文档,做了些溯源,跟了些挂马和敲诈者。你还别说,在处理这种事情的时候,还真有种打CTF的感觉。

        再就到如今了,零零碎碎的一些,就不写了。如今回头看看,这一年似乎也没做什么事情,也似乎好像很忙的样子。

        大概,最需要反省、需要改正的,就是拖延症了吧。很多事情,并没有立即去做,就一直拖着、拖着。比如,麦香师傅的取证章节,我自己都醉了,忙吗?忙。很忙吗?也不见得,但就是那些零碎时间静不下心来写下去。

        有时候发现,整个人似乎是变消极了,似乎是开始有些不太自信了,也似乎是有些不愿去折腾了。推荐去tctf的讲演,额,这个不算,这个其实是想去的,但因为时间冲突,就没去了。被邀请去一起参加某比赛的,也因为各种事被我的没自信耽搁一阵子,弄的现在很是仓促。被邀请去参加的某个讲演,也似乎是不太愿意去的样子。哎,总结一句就是:我差不多是条咸鱼了。

        零零碎碎的写了这么些,似乎还是没有总结到位,似乎并不在状态,也似乎是并没有什么拿得出手的大工程、大动作。的确啊,需要静下心来钻研一些什么、开发一些什么。但是吧,我这个人懒,不太情愿去启动什么大项目。可能性格问题吧,总觉得,只要开始着手做了,就得做完、做完美,于是乎,很多事情就这么搁着了。

        那么,后续,有可能的话,还是把样本聚类做好吧,有可能的话,还是把安卓源码在来琢磨琢磨,把异常整理规避规避,把日志完整一些吧。

——Tracy_梓朋
2017年7月7日17:10:57

发表评论(0)
姓名 *
电子邮件
QQ
评论内容 *
验证码 *图片看不清?点击重新得到验证码请输入图片后链接字符‘a’