• 安全测试工具-二进制安全[基础篇(一)]
  • 测试技术python
    • 小猪 互联网公司_测试开发工程师
    • + 关注
    投身互联网行业,工作中独立负责性能测试,安全测试,用Python、Java开发过自动化测试框架及基于业务场景的自动化脚本,接口测试,功能测试,App测试等均有涉猎。
    • 2022-03-18 12:33:31
    • 阅读 10511
    • 收藏 4
例牌,先说下安全测试工具的更新情况
[工具地址:https://gitee.com/samllpig/SafeTool-51testing]
1. 逆向平台增加动态调试模块-CPU模拟器工具。
2. 逆向平台增加辅助处理模块-反汇编工具,汇编转二进制代码、模拟环境运行自定义汇编代码。

漏洞就是Bug,影响Web安全的叫Web安全漏洞,影响App安全的叫App安全漏洞,影响操作系统安全的叫操作系统漏洞。所有这些漏洞的产生都是源于运行在计算机上的各种程序,手机也是计算机,程序即指运行在应用层面,我们日常工作使用的,也指运行在内核层面,我们无法直接感知的驱动程序,甚至是主板BIOS中的程序。在现有的计算机理论体系不出现颠覆式变革的前提下,这些程序的本质就是二进制数据。

程序就是二进制数据,在这个二进制世界里面,也分正派和邪派,正派的二进制,就是我们日常使用的,丰富生活,辅助工作的程序;邪派的二进制,就是蠕虫,后门,木马,勒索等等具有破坏行为的恶意软件,然而,这些二进制数据并不会在脑门上刻着邪恶两个字,更多的是伪装成正派的程序,又或是寄生在正派的程序上,等待你不小心的一次点击。

我们是技术人员,还是技术人员里面专门找Bug的测试人员,虽说行业有细分,术业有专攻,但不知道为什么,领域外的人都把我们看成全能人才,只要和计算机有沾边的问题,他们在咨询你的时候,都预设了一个前置条件,就是你怎么可能不会呢。要解决这个苦恼,我们就要看透程序的本质,有本质就有表象,比如说,点击一个程序,弹出一个提示框,这个就是表象,在弹出提示框这个过程中还有哪些看不到的行为,这就是本质,专业的说法叫恶意软件行为分析,分析就是测试,我们不要把测试这个词看的太狭隘,这个世界何处不测试,何处无测试,三十六计就是测试用例,孙子兵法也是测试用例,只不过他们是针对人性的弱点设计的测试用例,执行成功的代价比较大而已。

回到正题,二进制安全可以做什么,可以挖掘0Day漏洞,这个价值可是相当的高,挖到一个吃三年也不是不可能,可以做恶意软件行为分析,当然需要结合逆向领域的一些技巧,但是二进制安全和逆向工程是异曲同工,或者叫异词同调,意思是要掌握的基础知识是一样的。

学员收获:
1. 实例演示二进制代码分析
2. 通过实践掌握二进制分析常用的汇编指令
3. 理解程序运行的本质
4. 掌握CPU通用寄存器的作用
5. 掌握CPU标志位寄存器的作用
  • 0.00 预定
  • 更多

    已有182人预定

    • 预定达标03-28
    • 文章出炉04-02
  • 当发生预定人数不足/文章未按时出炉时,您将获得全额退款。

    请务必添加【51Testing测试圈服务号】,查看进度通知。

    • 0
    • 4
发送
登录 后发表评论
  • 51testing软件测试圈微信