作者:介磊
来源:知乎
学生黑客学习建议到学生sec :http://www.xssec.net/forum.php
亲身经历,现身说法
我自小生活在北方的一个小县城的一个小农村里。我第一次接触电脑是小学六年级。
那时候大概是03年,是非典闹得最凶的一段时间。我哥在外地上学,然后他们学校因为非典放假了,所以就回来带着我去了网吧,我看他玩CS,红警之类的游戏,从此就一发不可收拾,对电脑产生了浓厚的兴趣。
后来我的母亲以耽误学习为由,极力禁止我去网吧,其实重点在于禁止我玩游戏。我就用她办公室的电脑来玩。那时候我就想玩电脑,哪怕没有游戏,玩一下也行。那台电脑那时候已经装了XP的系统了,不能连网,也没有游戏,平时主要工作在于写word文档然后打印出来。所以我母亲允许我“玩”那台电脑。
可是电脑没有游戏啊,玩什么呢。我就到处乱点鼠标,不知不觉在控制面板里面改了很多系统设置。我不知道那里面的东西是干啥的,就是好奇——现在想来,保持兴趣以及对未知事务的好奇,还有大胆地尝试才是学习的最佳途径吧——然而这也导致了我没少挨揍。。
然后不断地查资料不断地改设置,甚至一度进入命令行的安全模式敲命令。。反正就是在急躁的母亲的巴掌下和那可怜的2G网络能让我用手机百度一下,一步一步走上了这条不归路。
后来中考结束了,人自由了一段时间,可以上网了。偶然间,在某个QQ群共享里面看到了“阿拉QQ大盗”这个软件,瞬间整个人都精神了。下载下来一看,我去什么鬼,啥是SMTP帐号密码协议,啥是FTP,还TM要“收信”,这是什么鬼,当时我的内心是崩溃的。然后就一点一点查,至少先把概念弄懂吧。那段时间就不断地上网找资料,找教程。好不容易解决一个问题,然后又忙着攻克令一个问题,或者用其他办法解决同一个问题。
现在回想起来。那段疯狂的时间带给我的是一种前所未有的体验,非常的充实。每天睡觉之前想的最多的就是“为什么会这样”,白天说的最多的就是“卧槽原来是这样”。我养成了一个习惯式的微笑。渐渐地就在网络上开启了上帝视角。
然后就是高中生活,一开始重心放在了后门木马上面。那会用的最多的就是葛军大大的灰鸽子。用这款软件来生成一个后门木马,就可以控制别人的电脑。然而任何事情从来都不会一帆风顺,配置出来木马不代表能用——因为要解决没有个人PC,只能在网吧上网时的NAT协议的问题,那就要涉及到TCP/IP协议,网关和NAT,而且最重要的是,不仅要知道,还得解决;就算能够解决端口和NAT的问题,也不代表木马能够顺利运行——那会基本上360已经相当牛逼了,再不行至少别人会装一个瑞星,像灰鸽子这种入门级木马怎么可能不被杀掉。这就涉及到木马的免杀,特征码,加花加壳什么的技术;就算木马最终也免杀了,你该怎么让人运行呢?直接QQ发过去吗,拜托我想你给人直接发过去一个exe文件,我想人家的表情是这样的:
所以后来把重心放在了如何种木马的层面——通过网页挂马,彼时的我还不知道这是一种用NDay来达到渗透测试的技术。我就知道这个可以有,但是问题就在怎么把木马放在网页上。所以就又进了一个大坑——WEB安全,也就是所谓的黑网站。
有一次黑了我们县高中的网站,留下了我的QQ,结果没过几天警察叔叔就在QQ上联系我了,当时就给我说出了我所在的网吧,还有座位号。把我吓尿了。。但是他说他没有恶意,这个事情不大,他只是来警告我一下。后来我俩成了朋友,我才知道这个哥们多牛逼。。。。在我们县当网警纯粹就是屈才啊!他后来送我一本VC++的书,可惜我一直没看懂。
搞WEB安全的时候,从最简单的脚本漏洞开始,一步一步地学习—验证。我的高一高二基本上是通宵在网吧度过的。那会上政治历史就翻开谭浩强老师的C语言书,上语文课,看《指尖上的黑客》,就会YY这是不是以后的我,然后愈发地有动力和激情学下去。那会看到身边死读书同学,其实内心的感受是这样的:
呵呵,看到这里是不是觉得屌爆了?然而现实情况是,仅仅一年的时间,我就在一个教育落后的省的每年上榜率垫底的市的一所中不溜的高中的普通班,从第一名滑落到第九名(我高中去的外地,按成绩至少也能去重点班,虽然说其实也并没有什么卵用),英语更是在一次考试中考出了38分的历史性侮辱成绩,满分150。
哦,有一个小插曲。那会看到xmd5网站出售,还一度想过收购……结果我爸妈听到我要问他要几万块钱去买一个网站的时候,他们的表情是这样的:
后来我渐渐地意识到,置身于一个好的环境和进行系统地学习,才是能够把这条路走好的最佳途径。所以高二的我就把思考着如何让成绩和技术二者兼得。去网吧的频率少了,然后晚上下了自习更多地是背英语单词。成绩也有所回落。然而这也并不能改变我后来高考失利复读的命运。
高三那会心里就一个执念,考大学,学信息安全。后来填志愿时仅仅填了信息安全一个志愿,当时的态度就是反正没考好,如果信息安全都学不了,还不如不去,大不了从头再来。结果……
男人啊,有的时候真的要逼自己一把。复读那年一个人千里迢迢去了省会城市的封闭式复读学校,坚持不下去了就再含着眼泪继续坚持。第二年再高考,成绩一般,但是比第一年不知道高到哪里去了。于是我就去和招生办的老师谈笑风生。因为成绩不错,以及我丰富的网络安全经验,再加上我强烈地渴望学习信息安全打动了招生办老师,老师才破例跟我签订了预录取合同——后来在那一年录取分数奇高的环境下改变了我的一生。
四年大学生活,除了和志同道合的小伙伴一起搞技术,更多地是把我之前不懂的,知其然而不知其所以然的地方彻底弄清楚。我渐渐地明白了,任何一个行业,即便是不强调学历只强调能力的安全行业,也脱离不了理论指导实践的马克思主义哲学。这是一种脱离技术去思考技术的感觉,是对技术的一种升华。这也印证了我高中时所想的,突破瓶颈的最好办法就是“不断提高自己的知识水平”。
就像玩Dota一开始不是去看英雄的介绍,去登山不会把路线规划到每一步一样。但这并不代表英雄的介绍和技能的详细伤害公式不重要,也不能否定一个好的规划对旅途的重要意义——做好任何一件事,就是从实际出发,然后回归到理论,再由理论最终指导实践——不管怎么说,just do it.
所以,题主,你问我兹辞不兹辞你搞技术,我当然兹辞。但是你问我怎么搞好技术,我可以给你说一句无可奉告。因为每个人都有每个人自己的路要走,就像同样是搞安全,从编程入门然后搞底层二进制,也能做的很好,而且通常情况下要比“脚本小子”做的更深更牛逼一点。
给题主还有所有类似题主的学生再提一下,行业在发展,现在的所谓“黑客”已经不仅仅是黑个网站盗个QQ的事了,门槛也在不断提高,技术体系也趋于完善。很多“野路子”前辈已经明显感觉到这条路越来越难走下去了,所以再次重申,在好的环境中有目的的学习系统的知识,是非常重要的,这决定了一个技术人员以后能够到达的上限。我能够回答的,除了自己的例子仅供参考以外,还有一句忠告,那就是:
在对的时间做对的事情,然后把它做好。
最后碎碎念一下,最近几个月也面试了不少搞安全的,很多牛逼轰轰的简历一深入问起来细节全是一脸懵逼。也可能是我们庙小请不来大佛的原因,但是从微知著吧,整个行业也是一股浮躁之气,希望题主你能选一个正确的时间,恰当的方式和妥善的方法,来提高自己的水平,不要被大环境影响。