门户
论坛
博客
网校
招聘
首页
文章
问答
51讲堂
活动
热门搜索
写文章
提问题
登录 | 注册
我的主页
通知
已购
设置
我的钱包
退出
温馨提示
安全测试工具-二进制安全[基础篇(一)]
测试技术
python
小猪
互联网公司_测试开发工程师
+ 关注
投身互联网行业,工作中独立负责性能测试,安全测试,用Python、Java开发过自动化测试框架及基于业务场景的自动化脚本,接口测试,功能测试,App测试等均有涉猎。
2022-03-18 12:33:31
阅读 10511
收藏 4
例牌,先说下安全测试工具的更新情况
[工具地址:https://gitee.com/samllpig/SafeTool-51testing]
1. 逆向平台增加动态调试模块-CPU模拟器工具。
2. 逆向平台增加辅助处理模块-反汇编工具,汇编转二进制代码、模拟环境运行自定义汇编代码。
漏洞就是Bug,影响Web安全的叫Web安全漏洞,影响App安全的叫App安全漏洞,影响操作系统安全的叫操作系统漏洞。所有这些漏洞的产生都是源于运行在计算机上的各种程序,手机也是计算机,程序即指运行在应用层面,我们日常工作使用的,也指运行在内核层面,我们无法直接感知的驱动程序,甚至是主板BIOS中的程序。在现有的计算机理论体系不出现颠覆式变革的前提下,这些程序的本质就是二进制数据。
程序就是二进制数据,在这个二进制世界里面,也分正派和邪派,正派的二进制,就是我们日常使用的,丰富生活,辅助工作的程序;邪派的二进制,就是蠕虫,后门,木马,勒索等等具有破坏行为的恶意软件,然而,这些二进制数据并不会在脑门上刻着邪恶两个字,更多的是伪装成正派的程序,又或是寄生在正派的程序上,等待你不小心的一次点击。
我们是技术人员,还是技术人员里面专门找Bug的测试人员,虽说行业有细分,术业有专攻,但不知道为什么,领域外的人都把我们看成全能人才,只要和计算机有沾边的问题,他们在咨询你的时候,都预设了一个前置条件,就是你怎么可能不会呢。要解决这个苦恼,我们就要看透程序的本质,有本质就有表象,比如说,点击一个程序,弹出一个提示框,这个就是表象,在弹出提示框这个过程中还有哪些看不到的行为,这就是本质,专业的说法叫恶意软件行为分析,分析就是测试,我们不要把测试这个词看的太狭隘,这个世界何处不测试,何处无测试,三十六计就是测试用例,孙子兵法也是测试用例,只不过他们是针对人性的弱点设计的测试用例,执行成功的代价比较大而已。
回到正题,二进制安全可以做什么,可以挖掘0Day漏洞,这个价值可是相当的高,挖到一个吃三年也不是不可能,可以做恶意软件行为分析,当然需要结合逆向领域的一些技巧,但是二进制安全和逆向工程是异曲同工,或者叫异词同调,意思是要掌握的基础知识是一样的。
学员收获:
1. 实例演示二进制代码分析
2. 通过实践掌握二进制分析常用的汇编指令
3. 理解程序运行的本质
4. 掌握CPU通用寄存器的作用
5. 掌握CPU标志位寄存器的作用
0.00
预定
更多
已有182人预定
预定达标
03-28
文章出炉
04-02
当发生预定人数不足/文章未按时出炉时,您将获得全额退款。
请务必添加
【51Testing测试圈服务号】
,查看进度通知。
0
4
发送
温馨提示
登录
后发表评论
温馨提示
推荐阅读
换一换
打开微信 扫一扫
温馨提示
设置支付密码
查看原图
关于我们
联系我们
版权声明
广告服务
站长统计
建议使用IE 11.0以上浏览器,800×600以上分辨率,法律顾问:上海兰迪律师事务所 项棋律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2024,
沪ICP备05003035号
投诉及意见反馈:
webmaster@51testing.com
; 业务联系:
service@51testing.com
021-64471599-8017
51testing软件测试圈微信