摘要：好久没有到博客写文章了，9月份开学有点忙，参加了一个上海的一个CHINA SIG信息比赛，前几天又无锡南京来回跑了几趟，签了阿里巴巴的安全工程师，准备11月以后过去实习，这之前就好好待在学校学习了。这段时间断断续续把《加密与解码 第三版》给看完了，虽然对逆向还是一知半解，不过对VMP虚拟机加壳这块有了一点新的认识。这里分享一些笔记和想法，没有新的东西，都是书上还KSSD里看来的，权当笔记和分享，大神勿喷。准备分成3部分讲一下1. VM虚拟机简介2. VM虚拟指令和x86汇编的映射原理3. 用VM虚拟指令构造一段小程序1. VM虚拟机简介虚拟机保护技术就是将基于x86汇编系统的可执行代码转换为字 阅读全文

摘要：这里对PHP的代码审计和漏洞挖掘的思路做一下总结，都是个人观点，有不对的地方请多多指出。PHP的漏洞有很大一部分是来自于程序员本身的经验不足，当然和服务器的配置有关，但那属于系统安全范畴了，我不太懂，今天我想主要谈谈关于PHP代码审计和漏洞挖掘的一些思路和理解。PHP的漏洞发掘，其实就是web的渗透测试，和客户端的fuzzing测试一样，web的渗透测试也可以使用类似的技术，web fuzzing，即基于web的动态扫描。这类软件国内外有很多，如WVS，Lan Guard，SSS等。这类扫描器的共同特点都是基于蜘蛛引擎对我们给出的URL地址进行遍历搜索，对得到的URL和参数进行记录，然后使用本 阅读全文