2022苟了一年，这下结束了

文章最后更新时间为：2024年02月27日 19:26:04

2022年，似乎比任何一年过的都要快，快到我几乎想不起，任何一件值得我纪念的事情。年年都如此，但回忆一番后，还是有一些东西是值得被记录的。

自从高中毕业后，这年龄突突往上涨，快到记不住，每次别人一问你多大，只好说98的，具体多大只能让人家自己算。但是今年是我本命年，所以记得很清楚，穿了一年红裤衩，过完生日就是24周岁了。

上个月，我去附近的理发店剪头发，洗头的小妹看起来好稚嫩，傻里傻气的，但洗头确实是不太专业，反正还没洗完，我脖子已经酸了。闲聊时问她多大，结果她说她18岁，刚刚高中毕业就来打工来了，心里一惊啊，现在出来打工的小孩也太小了，后来劝他回去读书也不听。不过最大的感觉还是我这年龄是越来越大了，在小孩的眼里已经是叔叔级别，现在大学毕业的都是00后了。年龄越来越大，钱也没赚到，安全还是那么菜，回忆起来都是泪......

疫情终于翻篇了

身处上海，三月份封城的那段日子，鬼知道我经历了什么。本来政府说的是封4天，结果他喵的，封了两个多月，还买不到吃的喝的。虽然每个月房租都三千多，但是我住的地方巴掌大，所以没买锅碗瓢盆，没条件做饭，封城前我也就买了一周的泡面和速冻食品，后来啊，真的在上海差点被饿死。

我记得封城后，每天早上都要出门做核酸，排在我后面的一位小姐姐问我还有没有吃的，我说只剩一袋泡面了，结果她可怜兮兮的问我能不能卖给她，我他喵的心想这是什么日子啊，然后我还是把泡面送给她了......后来啊，很长一段时间就靠着拼多多的快团团活命，买了两箱泡面和两箱自热米饭，现在想到这两玩意和速冻饺子，我就想吐。

过了n天，公司也发了物资(不过公司发的大米和生肉我都给送人了)，那会美团团餐也上线了，算是抓住了救命稻草，一次买两份，中午吃一份，晚上吃一份，晚上那份怎么热呢？就把餐盒放在开水上蒸一蒸，凑合热一热也满足了。

其实吃吃喝喝这些都不算啥，我物欲很低，基本不挑吃的喝的，有的吃就行。只是感觉疫情期间，官僚主义盛行，层出不穷的丑闻让人很失望，真是卑鄙是卑鄙者的通行证，越是遵纪守法的老百姓，越是受人欺负，任人宰割的对象。

之后的事情大家也都知道了，在做好充分的药品、物资、病床准备和全民抗疫科学科普之后，我国放开了疫情管控，不管怎么样，三年的清零政策结束了，对抗病毒主要就两个字，科学科学他妈的还是科学，一切以糊弄学为基础的专家都是我们要斗争的对象，不管是动态清零还是完全放开，只要大家对病毒有清晰的认识，对症下药，给中高危人群医疗资源，这个病毒还真没那么可怕。可惜我国的专家除了打马虎眼，从来不直面问题，说的都是一些屁话，话说回来，只会搞中药那一套的人能有什么道德底线呢?

有失有得的技术

今年工作算是比较稳定吧，专业技术的投入上，主要来说可以总结成以下几项：

通过cissp考试，这个本来是2021年报名的，但是去年因为工作繁忙，所以推到了今年，备考了2个月，有惊无险的考过了，因为学历不高，所以计划以后多考考证，来弥补一下短板。
更深的接触了java开发，在工作中用springboot开发了一套系统并大概持续迭代了半年。之前只是学习了几个java反序列化的漏洞，但是对于java语言本身了解不多，对于java开发也是浮于表面，通过今年的这个项目，对java的开发有所深入，希望之后可以跟进更多的漏洞。
前端开发也更熟练了一点，之前使用vue3框架来开发前端，但是还是用的vue2的语法，今年的几个开发项目让我重新学习了一下vue3的新特性，结合typescript语言和element-plus UI，写前端也没那么痛苦了。
android开发和逆向方面算是入门了，这也是今年投入时间和精力最多的一个方向，因为工作关系，今年学习了一下app设备指纹的攻防，学习了Frida和xposed，研究和开发了一些安卓逆向的自动化工具，下半年我也从安卓源码入手，尝试了编译自定义AOSP，实践了一下fart脱壳的方案，相信移动安全是未来安全的主流方向之一。
ebpf入门学习中，打算用写trace工具来促进学习，还在持续学习中，后续的计划也是应用在android中，trace各种syscall，感觉也是一个很不错的方向。

看了下自己的github，主要的项目都涉密所以不太好放出来，只有下面几个新的自己私下写的公开项目：

安卓apk信息提取 https://github.com/saucer-man/apkinfo
随机UA生成 https://github.com/saucer-man/random-useragent
安卓逆向工具箱持续迭代中 https://github.com/saucer-man/AndroidToolbox
常用的frida脚本持续迭代中 https://github.com/saucer-man/frida_example

回过头来也丢失了一些原本做的东西：

bug hunter，从2021年跳槽过后，工作中就不再做渗透测试或者漏洞挖掘，平时私下也没有更多精力去投入，所以在挖洞方面已经严重落伍了

在工作中主要是做业务蓝军，涉及到一些黑灰产的对抗和业务的攻防，从开发到逆向，从web到安卓ios，所以涉及的知识栈比较多，感觉今年最大的收获还是对业务安全有了更深刻的意识。如果在甲方工作的话，除了基础主机安全，其他基本都是围绕着业务安全来开展，在我刚接触业务蓝军的时候，我其实是对自己的定位很模糊的，感觉自己就是跟着leader的指挥去做这做那，很难有自己的计划和长远的考虑，但今年我也更多参与了一些未来的规划，业务安全基本上也就那几个方向，社区安全、交易安全、反爬、账号、薅羊毛等，蓝军的工作相应的也就是抓住重点领域，打攻防case，暴露风险，提升安全水位，在这其中，怎么个做法，就因公司而异了。

今年尝试搞了个公众号和知识星球，佛系更新一些安全相关文章和工具，有兴趣的加进去看看咯，反正不要钱。

没读过几本书

对于读书，我没有定任何计划，文学书的OKR定了也没什么用，工作了就很难沉下心来看这类书了，这也确实很难改变，安全方向的也没出什么好的书，不如多看几篇博客。今年主要看了以下几本书，有的看的比较仔细，有的看的比较囫囵，先记录在这里

《CISSP All-in-One》看了整整两个月，很厚的一本书，对于企业安全建设来说，还是有很强的理论指导意义的。
《frida逆向与抓包实战》
《frida 逆向与协议分析》这本和上面一本是肉丝师傅的系列书，对于frida入门学习还是很有帮助的，只是有的案例没有样本。
《白帽子安全开发实战》用golang写的一些扫描器、蜜罐、waf示例，没有惊喜到我，可能是github上的项目比较多吧，对于安全开战项目应该会有点启发。
《Android应用安全实战》主要也是讲解了frida的常见用法，从java到so层的各种应用和实战，比较值得推荐。
《爬虫逆向进阶实战》内容比较广，涉及app、web、小程序等，介绍了不少工具的使用，但是整体内容比较偏基础，安卓爬虫中最主要的就是协议分析，这一块得深入安卓逆向；web爬虫部分最重要的js逆向，推荐看看K哥的百例教程 https://juejin.cn/user/950457502012974/posts
《长安的荔枝》这是个文学小说，用历史典故作为背景，刻画了一个小人物在时代背景下努力奋斗的生活。一旦读起来，完全停不下来，酣畅淋漓，作者的文笔真的很好。前半部分是人生，有时候遇到跨不过去的坎，也要加油拼一把，那样就算死，也不能说是自己没努力过。后半部分是社会，在官场都是尔虞我诈，欺软怕硬。人越往上爬就会越孤独，路越走越宽，但行人越来越少，倒不如做个普通人，追求个真性情。一骑红尘妃子笑，正在一幕幕上演，非常推荐阅读。

今年还有几本书打算看来着：《api安全技术与实战》《企业安全建设信息之道》《反爬虫AST原理与还原混淆实战》，都是一些相对来说比较新的书，后续有时间再补上吧。

凄惨的业余爱好

高中的时候，我是科比粉丝，当时只会一招后仰跳投，后来啊大学的时候，喜欢上了威少，那会的威少无所不能，讲义气够胆识，可惜现在这帮人都逐渐老去，新生代球星中，要么软要么脏，真的很难让人喜欢起来，我也很久没看过一场完整的NBA球赛了。什么？你说还有CBA？一个粪坑，球员不敢出国打，真是笑话。

记得大学军训的时候，每天晚上穿着迷彩军训服去打野球，那会年少轻狂，四五个小时都不虚，现在天天公司坐着家里躺着。今年一年就去打了四次篮球，而且每次都感觉体力很差，同时也很害怕高强度受伤，因为崴了脚可能半个月都没办法上班，所以都是玩玩养生篮球了。心里那股年少轻狂的少年感正在消失，想到这，不禁令人心痛，希望2023年每两周都能去打一次篮球！

今年开始，又重新下起了象棋，算是捡起了小学的一个爱好，目前还是业2水平，感觉还不错，明年冲到业5就满足了。

除此之外，王者荣耀每个赛季都稳定在王者10星水平，主要是每次带女朋友打，感觉很难上分，下个赛季搞个小号冲一冲荣耀王者哈哈哈哈

平平无奇的感情生活

今年第一次见了女朋友家里，关系更进了一步，虽然还是时常吵架，但是也不会再说分手拉倒的话了。最近看了4哥的公众号文章https://mp.weixin.qq.com/s/W7eIf0d6sAPTNX_MumVNlg ，我悟了，有时候无法包容，就是单纯的忍，天下乌鸦一般黑，下一个更差，四哥说的真的很有道理，哈哈哈哈哈哈

不过我还是太穷，暂时娶不起媳妇，所以要好好搞钱，加油！