• 2012年最后一战

    日期:2012-12-31 | 分类:随笔杂谈

    2012年最后一战以阿木木取胜,终于可以带着胜利的喜悦迎接2013年了……

  • 百度空间停止更新

    日期:2012-12-27 | 分类:随笔杂谈

     

    再也受不了百度空间这2B设计,产品经理二得不是两三回了,用户体验太差,过于追求华丽的界面,而忽视最为本质的功能。

    以前看见不爽的还可以用adblock插件过滤下,现在是各种弹框,不点击“领奖”“确认”还不消失,又没提供关闭功能,打广告也不用这样吧。

    以后不再更新百度空间http://hi.baidu.com/riusksk,博文均在 http://riusksk.blogbus.com 上更新。

     

  • 购书若干

    日期:2012-11-15 | 分类:随笔杂谈

  • 双排四杀爽一把

    日期:2012-11-14 | 分类:随笔杂谈

  • xxx

    日期:2012-10-28 | 分类:随笔杂谈

    ​这几天,天王老子和泉哥他妈莅临深圳视查工作,陪他们逛了下世界之窗,第二天我爸的朋友载我们到处逛,一逛就跑到龙岗、六约去了,太远了,累死哥了。

  • 祝各位中秋快乐

    日期:2012-09-30 | 分类:随笔杂谈

    看电影、吃火锅、打台球、玩电动,今年的中秋就这么过了,也特别感谢远在帝都、华亭的基友们发来的贺电!

  • 0xXX

    日期:2012-09-24 | 分类:随笔杂谈

    家里的书法装裱起来还是挺好看的

  • 重新找回流失的快感

    日期:2012-08-31 | 分类:随笔杂谈

  • XCON 与 BlackHat

    日期:2012-08-29 | 分类:随笔杂谈

     

    ​前段时间刚举行完xcon和"X功夫”基友聚会,会后也从同事那拿到XCON资料书,随后也花两三天时间看完每个PPT,不管看懂与否(对于各种安全大会资料我基本此般读法),总体感觉一般,而且PPT的内容与实际听讲内容 有时差距特大,像攻击java web那个,PPT里面主要讲指纹识别一类的东东,但听朋友说一些真正的攻击手法是在会上讲。而有些议题完全是学术研究型,能不能实际利用还得另说。有些议题完全是非技术型,好听点叫黑客文化,难听点叫YY。但有几个议题感觉还不错,而且附带有paper,更容易理解,比如电子交易和文件分析一类。对于“X功夫”,相信多数人会吐糟它是模仿defcon大会的,但又搞得不伦不类的。对于大部分议题感觉水平都比较一般,但对于即将就业的学生,或者创业者,也许是个不错的打广告场所。对于国内这种会议,感觉若是没有认识的朋友的话,一定会寂寞的^_^

     

    BlackHat USA之前也举行完了,当时也是从官网下载各议题PPT,一篇篇过,看得懂的学习思路,看不懂的扩展知识面。因为BH议题明显较XCON多很多,里面有许多不错的议题,里面我主要关注了软件exploit和WEB安全、android一类的,其它议题都是看个大概。其中绕过WAF和攻击chrome插件的chef工具可以看下。里面硬件后门、刷固件留后门的都比较上流,在BH上也火了,不过我也看不太懂。目前硬件黑客在国内不流行,研究的人员相对比较少。软件安全方面的议题,印象较深的就是利用jemalloc内存分配器攻击Firefox和利用信息泄露进行软件攻击这两个议题,其中jemalloc spray方法在实际场景中的利用和推广,能达到的实际价值还有待考证,而且作者主要是基于Linux和OSX系统进行测试的。另外,利用信息泄露进行exploit的方法,在2010就有出现过,中间也有出现好几个exploit事例,之前有详细看了下几个经典exploit代码。今年出现的几个漏洞被利用得较多,用于绕过ASLR,主要是利用信息泄露获取mhtml基址,再通过基址定位ROP相关函数地址,并结合heap spray将shellcode传送到可预测的地址,但今年XCON上讲的win8安全机制有提到,微软在win8中移除信息泄露的页面,并且增加ASLR的范围和熵值。以后,对软件的利用成本将会越来越高,win平台上的exploit技术可能将会再次受到重挫。手机安全方面,可以看下wp7 exploit 和保护dex反分析的议题,有兴趣的朋友可以看下。

     

  • 搬家

    日期:2012-08-05 | 分类:随笔杂谈

    准备换个地方,这几天可能暂时上不网