Maizero's Blog

我是一个信息安全技术的爱好者和学习者，不是什么黑客，顶多是黑客技术爱好者，可是可能是接触的朋友中有高手，有的人抱着"高手的朋友一般都是牛人"，总喜欢和我"探讨"所谓的黑客技术或者电脑技术……

当然，我能从他们身上学到很多东西，了解到很多"圈子"里的信息，也认识了更多的人，但是他们总认为我的无知是所谓的"谦虚"……当他们发现我并不是什么"黑客"的时候，开始大为失望……

[separator]

也有的朋友，因为我在某些方面做到了他们做不到的小成绩，所以一直喜欢和我交流"技术"，甚至不乏"拜师学艺"的。

可是我从这些朋友的身上感觉到了他们的思路走向了一个死胡同……他们只看到了大树的叶子，而看不到大树的枝干。

一叶障目不见泰山:

我上班的时候，一直提倡自上而下的思考，自下而上的做事。同样的，学习"技术"也是这样的。

自上而下的思考会让你从大局出发，更清晰的了解整个框架，无论是这个行业，还是朋友中所谓的"这个圈子"，抑或是网络安全这个领域。 正如看书看目录，总结抓关键一样，大体上的把握，摸清楚整个趋势。这对自己的方向感有非常大的帮助，对我而言也是最重要的。

只有知道信息安全的体系，风险评估的基本概念，才会了解到，自己所谓的一些黑客技术，只是渗透测试中的小部分而已……

接着摆……

自下而上的做事，踏踏实实，很多人自以为做到了这点。认为自己很努力的去学习技术为什么还是感觉没有成就？
我认为有2点：

第一点是参考"自上而下的思考"，我一直认为思想决定行动是最关键的。不了解框架，不能清晰的确定方向，所做的努力可能会有偏差，距离你的目标，你的期望会有所偏离。

很多朋友关注的都是技术的细枝末节，关键技术的具体实现和应用。而不了解它在整个体系中的位置，关联性。

一句话，把握了整体，下面的只是体力活而已。

第二点是，真的做到了"自下而上的做事"了么？
我觉得很多朋友不注重基础，眼光放得很远，注重技术的具体实现，应用而不考究原理。
玩脚本入侵的朋友很多，都知道注入，可是有几个是深入了解脚本语言和数据库基础呢？
玩破解的朋友很多，可是不懂得编程，从作者的思路出发，不懂得pe文件结构和asm语言能在crack界混出什么名堂？
玩"黑客"的更多了……可是不懂编程和逆向，如何挖掘操作系统，应用程序的溢出漏洞？不懂脚本语言，如何挖掘一个web程序的漏洞？不知道网络基础，如何构造特殊数据包实现四两拨千斤的真正意义上的DDOS？

基础最重要：）