“鸡肋”论文

bbbfox

　　题目是“鸡肋论文”有点怪，但是看完俺的文章也就理解了，《三国演义》中曹操也说过鸡肋，并因此而杀了那个自作聪明的杨修，俺的论文就是那条“鸡肋”，不过俺不会象曹操那样装深沉，让人猜透了还生气，俺的论文的确就是“鸡肋”。

　　说起俺的这条“鸡肋”，那已经是公元2003年的事情了，那一年俺报考了某个大学的在职研究生，在毕业8年后又做起了学生，而且很认真的做了2年，每年2次做火车从一个遥远的南方小城市跑到这个北方的大都市，一次穿裤衩，一次穿棉袄，总之都是最难受的季节，而且还要掏出大把的银子，这年头大学都喜欢这样的学生，教起来轻松而且收益颇丰。说到这里不得补充一下了，俺记得当年考大学的时候很难，一个班里也就那么10来个，而现在却非常简单，一个班里可以全部上大学，而且考的分数越少收到的录取通知书越多，当然要去读教的银子就要越多，俺就是属于这种，考试前有个集中培训，把要考的题目连同答案发给你，这难道也叫考试啊，还是10年前的那个不是考试呢？

　　总之俺是去读研究生了，这种读法象是做北京烤鸭，每次上课老师会把整堂课的时间利用地滴水不漏，你想啊，人家要1年的时间来学的东西，你要1个月来学完，不填咋办啊，反正老师还是挺负责的，填完走人，剩下的你去消化去，所以大抵是上课初期还有一半的人顶着，中期就只剩下前三排的人了，后期就只剩下第一排的人了，俺就是第一排的，而且是第一排正中间的那个。所以后来毕业的时候俺还光荣的获得了一等奖学金，拿到了4000元的奖金，当时还给前妻买了一部手机和一套有友谊商厦的衣服，当然手机后来摔了，衣服也裁剪成布条了。

　　啰嗦了半天，回到俺的“鸡肋”上。2005年4月结束最后一次课程后，俺们就算是学业结束了，剩下的就是论文了。这种教育有个称呼是“宽进严出”，“宽进”上面已经说了，“严出”其实也并非如此，这种填鸭还能出什么好肉啊，无非是光鲜的皮下一堆肥肉而已，其实比目前三鹿奶粉好不到哪里去，但是因为多交了不少银子，所以有“免检”的待遇，只要你论文里不是全部剽窃的内容，或者即使是全部剽窃也不要俺顺序来，多少上下章节修改一下，基本上也都能“免检”过去，导师们也知道你有多大的尿水，所以也就睁一只眼闭一只眼了。

　　可是俺就没有那么幸运了，也许是俺成绩好的缘故，被分到了中科院一个“大牛”导师名下，记得俺第一次跟他联系的时候，他对俺印象还挺深：哦我记得你，坐在最前排正中间的那个，底子打的不错，论文好好做。正是俺当时的这个假象给了俺不少的麻烦，俺论文的第一个构思就被他给枪毙了。

　　当时俺学的专业是“信息安全”，这东西是个大杂烩，大体分为“管理”和“技术”两个部分，而且号称“七分管理三分技术”，这使得信息安全这东西可以很玄乎也可以很实际，玄乎的东西就是“管理”，有无数的国际标准和国际认证，类似于ISO9001质量认证，通过了国际认证让人感觉很安全很放心，但其实和三鹿奶粉一样，让人最不放心；而安全技术却很繁琐，什么防火墙啊、防毒啊、入侵检测啊等等，可是这些东西很烦人，装的多了，电脑就变的异常的慢，而且常常会死机。结果安全就给人的印象是“花钱找罪受！”而且真正搞信息安全的人也很少用这些东西，因为这些人对这些产品是否安全都很怀疑。

　　俺最初就想搞个很玄乎的东西，那个主题叫做“信息安全等级保护”，这可是个国家政策啊，内容也很复杂，大概也是个“马克思主义和中国实际相结合”的一个产物，正是因为一个混血儿，所以就很复杂，而且颜色还经常变，号称“彩虹系列”，现在也有成就了，说是“十年一剑”，刀锋中透露出美国、日本、西欧各个国家的光芒，还有国产锻造的痕迹。不过这对写论文是个好事，材料多多，随便“狗狗”一下都是长篇累牍，俺就是花了一周的时间“狗狗”了一篇，结果也是在一分钟的通话时间里被“大牛”导师给咔嚓了，原因是“太虚”。没错，是太虚了，除了题目，没有一个字一段话是俺自己的。导师枪毙俺的时候，俺先把自己枪毙了。

未完待续......

欣弃羁

精彩，期待。。。

绿罗裙

啃了，有点味道。。。

bbbfox

　　05年的那个酷夏，俺枪毙了自己，安静地躺在床上，成了一个“木头人”，除了难受还是难受，就是这样躺着，俺还是想了另外一个论文题目--《入侵检测系统在计算机取证中的应用》，也就是用入侵检测系统来收集各种网络犯罪的电子证据，这个题目导师马上同意了，可是俺那时实在无力再深入的作出开题报告了，就这样论文这块“鸡肋”一直咬在嘴里2年，直到07年的又一个酷夏，在海上漂流的俺完成了开题报告，并顺利地通过了开题阶段，不过这时俺的题目换成了《“破网”工具取证分析》，一个刁钻古怪的方向。那次开题的时候，看到另外一个同学磕磕巴巴地讲着信息安全管理认证的时候，俺恨不得踢“大牛”导师两脚。

　　开题的时候没有想很多，等到写的时候就晕了，在网上狗狗了一下，天哪，网上没有一篇是关于这个方向的研究内容的！这里可能要讲讲俺这个题目的意思了，什么是《“破网”工具取证分析》？先说说什么是“破网”工具吧，互联网将世界变成了一个村庄，我们也成了网上冲浪的一条鱼，自由的一条鱼，我想听听世界的另一端的声音，我想看看限制级的画面，听着听着看着看着，我就“变色”了，我想变白我想变黑，政府不愿意看着你堕落啊，咋办？扯条安全绳警示你吧，就如同我们海边游泳场的那条绳子一样，大部分鱼触到了绳子就回头了，可是还是有鱼儿想过去，而且世界另外一端也还真有热心的人帮忙，他们就发明了“破网”工具，于是一场封锁与反封锁的斗争开始了。

　　开始的时候是“跳板”，鱼儿踩着板儿嗖地一下过去了，可是板子给砍了，于是就有了无数的板子和斧头的斗争；毕竟踩着板子鱼跃的动作太明显了，于是这些鱼儿伪装成了美人鱼，微笑着从警戒线上走过，你总不能撤掉我的外套检查吧，再说了扯掉外套也发现不了什么，呵呵。世界另外一端的“好心人”把这两种方法结合起来的，就成了我题目的前半部分---“破网”工具。说白了，就是加密代理工具。这让政府很头疼，总不能把国外的互联网给全部封了吧，再说那还叫互联网吗？而且人家还是加密的，128位的商秘，都可以安全地做电子商务了，晕吧。

　　俺的课题就是对这种工具做取证分析，开题的时候俺拿出来三样动手术的工具，准备对此工具动刀：流量分析、逆向工程和磁盘分析，并设想能够找出此工具的特征封锁之，解密传输内容监视之，搜索使用痕迹证明之。课题很新颖，导师很满意，评审立马通过。可是等到了写的时候，才知道牛皮吹大了是不好收场的……

[ 本帖最后由 bbbfox 于 08-10-27 16:23 编辑 ]

欣弃羁

好文，逍遥的幽默浑然天成，佩服！

bbbfox

　　先介绍一下这三把“手术刀”吧，第一把流量分析工具如同中医里的望闻问切，病人来了，看看脸色闻闻味道，问问哪里不舒服，把把脉搏，都是从表象里分析问题，这需要有很深的功力，而且要有算命人的眼力，扁鹊就是如此。计算机里的网络流量分析工具叫做“sniffer”，很多人用作黑客工具，在自己的电脑上装一个sniffer工具，窃取人家的密码。不过俺不是这个用途，俺是获取破网工具的网络数据包，分析其网络行为特征。

　　第三把磁盘分析工具也没有什么，跟文革土改挖浮财的动作有些类似，就是要把你的磁盘拿来刨地三尺，硬是要把那些碎玻璃岔子凑起来说是浮财。当然允许你辩解，不过俺们可以经过仔细分析，最后做个鉴定报告，证明你99%地用了这个工具，尽管此工具自觉地删除了上网的记录和缓存。这种分析工具也被用来数据恢复。Finaldata就是其中的一个，不过俺们不是用它的。

　　第二把逆向工程工具就需要真本事了。说逆向可能大了些，很多东西都想逆向，折叠的自行车、压缩饼干，当然有些是不可逆的，因为一逆向就没有办法还原了，就如同俺前妻执意要把俺给她买的衣服逆向为布条一样。代码逆向就是如此，不同的是代码不怕逆向，坏了再拷贝一个继续逆就得了。难在逆完了看懂它。如果说编程是生产代码，那么代码逆向就是反编译。

　　如果你稍微懂点编程就知道，一个程序变成代码，经历了很多步骤：源代码—编译—调试—链接。当然有集成开发环境，例如VC。经过这些步骤，高级语言才变成了可运行的二进制代码。程序员就喜欢高级语言，越高级越好，最好是用自然语言，点上一根烟，泡一杯咖啡，对着电脑直接发号施令，如同领导一样，说：“给我实现一个美丽人生论坛！”，电脑就立马把论坛实现好了交给你。其实现在的坛子的开发过程比这个复杂不了多少，人家做好了，拿过了改一下坛子名称，配置一下栏目和用户权限，基本就OK了，要不你怎么瞅着这些坛子都跟双胞胎一样呢。俺以前基本是干这个事，不知道的人还常常被俺吓一大跳，咋一会功夫就做了个坛子呢？！

　　可是逆向可就不是那么回事情了，生孩子容易，要把孩子变回到受精卵就难了。还在大学里读编译原理的时候就头疼过一次，你想啊，让那种只知道0和1的白痴执行写诗的任务有多难啊，编译就干这个事情，楞是把一堆有逻辑的东西变成了0和1，真是佩服老外们啊。为了减轻程序员们的压力，就有些大牛们开发一些工具来帮忙，把所有你看不懂或者是看着烦人的东西都封装起来了，给你的基本上都是需要你做的了，而且还有大量的书籍例子教你如何用，这让现在的程序员变得跟幼儿园的孩子差不多了，所有的事情都有父母帮助，需要的是伸伸腿和张张口而已。

　　俺现在要做的是反编译，要把一堆0和1变成有逻辑的东西，这就没有那么容易了，确切地说很难。因为封装的东西需要一层层地拨开，才能找到程序员们真正所写的代码，本身就很难了，而且人家还对封装的技术细节保密。要知道一个软件需要跟操作系统很好地结合在一起才能够好好地运作的，这好比一棵大树，需要深深地植根于大地一样，我们看到的只是枝繁叶茂繁花似锦的外貌，而下面却是盘根错节的树根，你知道哪个树叶是哪条树根滋润的吗？俺就是想知道某个树叶是哪个树根提供养分的。

欣弃羁

好！

bbbfox

　　这第二把手术刀说的最多，证明俺用它最不顺手，就象一个撒谎或者吹牛的人，总是对自己不熟悉的东西侃侃而谈一样。当俺拿着这把手术刀剖开“破网”工具的时候，不由地倒吸了一口冷气，天哪，好复杂呀，封装、多线程、网络、加密……尤其是当俺顺着一个树叶走到树根深处的时候，常常是一个上午分析的都是跟树叶无关的蚯蚓或者是农家肥。
　　
　　人在困难面前的天性就是躲避，俺也如此，立马把这把手术刀换成了“动态进程分析”，其实和第一把有些类似了，无非也是用工具看看这个东西调用了那些资源，开启了那些网络链接，有几个线程，在磁盘上写了什么等。这个省事，都是现成的工具，不用去刨根问底。于是俺就用了一个礼拜的时间忽悠出一篇硕士论文来提交上去了。结果还是可以预料，这导师是不能用来忽悠的，还是很快地指出了文章中的问题，这被替换的第二把手术刀跟其他两把不符啊。终于把俺逼上了华山一条路上来了。

　　于是一切又回到了起点，从学习使用第二把手术刀开始。这西医的刀确实难以学习，真佩服当年华佗怎么就那么顺手地剖开病人的脑袋，而且除去病根后还原。要想达到这个能力，确实需要耐下心来，先从高级语言如何变为可执行的二进制代码顺向研究开始，C++、C、ASM，MFC、API、Intel，最重要的是需要掌握软件如何与操作系统XP打交道地，这又有很多内容，什么SHE了、消息映射了、虚函数表、驱动程序等等，只有明白了这些，才不至于在树根里迷失了方向；这还只是顺向，逆向才是真正的内容，你还需要了解PE结构、编译优化、代码控制、内存管理、堆栈结构，这还不算，有些程序为了防止逆向还加壳、检测调试器、花指令等各种防止反汇编的技术。好在俺还算是学计算机专业的，年轻的时候还多少都学过，不过十多年过去了，早就还给老师了，而且十年后的今天，这些技术已经早已不是当年的模样了。

　　半年的时间里，俺用了三分之二的时间在研究这些东西，试图能够还原这个破网工具，但是效果很不理想，这个东西是没有办法速成的。尽管也分析出了一些东西，但是都不能在论文里体现，因为没有结论。所以当再次的论文答辩申请到来的前夕，俺又迅速地寻找了替代品，祭出两件俺熟悉的法宝：“包过滤防火墙和中间人攻击”，并迅速地成文，提交给了导师。

bbbfox

　　防火墙很多人都清楚了，包过滤防火墙是最初级的一种，也就是用个筛子把进出你电脑的网络数据包过滤一把，根据你设置的规则把那些危险的数据包拦截住，这个就不多说了。至于中间人攻击，用俺跟一个网友的对话来说明吧：

小黑：最近在搞什么？
逍遥游：中间人攻击。
小黑：嘛意思？
逍遥游：嗯，怎么说呢，是一种网络攻击方法……
小黑：很厉害么？能不能跟我说说
逍遥游：嗯，不过怎么解释呢？你知道SSL么？
小黑：不知道！
逍遥游：哦，这么说吧，有人给你介绍过对象么？
小黑：嗯，有。
逍遥游：好，就拿这个做比喻吧。一般媒婆会拿张照片给你看，而且是艺术照，肯定让你看一眼就睡不着觉。
小黑：呵呵。
逍遥游：但其实当你去见面的时候会发现是个恐龙，咋办？
小黑：没办法……
逍遥游：网上更是如此，所以就需要有人证明，比如媒婆拿了一个公证书来告诉你，绝对是个美女。
小黑：嘿嘿。
逍遥游：但是当你再次去的时候发现还是个恐龙…..
小黑：啊。
逍遥游：这说明你被中间人攻击了，明白了？
小黑：晕了……

绿罗裙

这打比方真有意思，亏你想得出

绿罗裙

专业词语太多了，外行的只是看热闹，呵呵。

欣弃羁

深入浅出

bbbfox

专业词汇是多了些，俺也想尽力不出现这些词汇，可是没有那个能力啊。

记得去年在小说月刊看了一篇文章，题目忘了，只记得故事，以一个天体物理的难题为引线，写成了一篇人生万象小说，佩服的很。

昨晚又看了一部小说，以还原一个梦为主题，折射人的内心思维，同时也将主人公的过去给隐式地表达了出来，很有新意，十分佩服。

小说最主要的还是构思，其次才是文字啊。

欣弃羁

有道理