客户端安全能力标准(解读)

说明

分享本文档，希望能给学逆向的新人提供指引，对未来的工作内容和形式有直观的了解。同时本文档也对学逆向的老手有重要指示意义，可以帮助你看到自己的短板，更好的规划职业未来，指引你走向行业精英。
此标准为偶然获得，本人不具有原始所有权，可能为某公司内部资料，如有侵权请告知，本人将立即删除。
请使用markdown工具查阅此文档。

专业知识

行业知识

• 解读
  • 了解行业整体现状
  • 培养新趋势洞查力
  • 根据现状及趋势驱动产品发展
  • 了解法律法规及行业标准
• LV1 行业概况
  • 要求
    • 了解有哪些软件、工具、产品
    • 了解各方向历史发展概况
    • 了解社工基本原理
    • 了解黑产分工、规模
  • 安全软件、工具
  • 反病毒、反木马产品
  • 社工
  • 黑产
  • 细分方向
    • 网络安全
    • 系统安全
    • 网游行业
• LV2 具体情况和解决方案
  • 要求
    • 了解软件、工具、产品主要功能、核心功能
    • 了解各方向核心原理、解决方案
    • 了解社工基本原理
    • 了解黑产某环节使用方式、工具，应用策略
  • 安全软件、工具
  • 反病毒、反木马产品
  • 社工
  • 黑产
  • 细分方向
    • 网络安全
    • 系统安全
      • 通用
        • 威胁点
        • 经典案例
        • 解决方案
        • 漏洞分析、挖掘
    • 网游行业
      • 外挂、盗号木马、私服主要原理
• LV3 详细情况和应对方法
  • 要求
    • 理解软件、工具、产品主要功能常见实现方法
    • 熟悉各方向之一的主要威胁解决思路
    • 了解社工原理和规避方法
    • 了解黑产所有环节使用方式、工具，应用策略。能提出新的更完善的解决思路。
  • 安全软件、工具
  • 反病毒、反木马产品
  • 社工
  • 黑产
  • 细分方向
    • 网络安全
    • 系统安全
    • 网游行业
• LV4 整体情况 、最新趋势、能实现功能
  • 要求
    • 具备各方向之一丰富技术及产品经验，能驱动产品发展，选择合适技术发展重点和方向
    • 了解至少一个业界同行面临黑产问题及其应对方式
    • 法律法规：了解国家安全类相关法律和标准（如刑法 285/286条款）
  • 方向
    • 安全软件、工具
    • 反病毒、反木马产品
    • 网络安全
    • 系统安全
    • 网游行业
    • 互联网新型终端软件
• LV5 预测发展趋势
  • 要求
    • 熟悉各方向业界发展，能预测其发展趋势，并规划和设计产品发展方向
    • 能根据数据分析预测未来2-3年国内外黑产演变及重点，并提出应用策略
    • 法律法规：了解ISO27001等信息安全国际标准
  • 细分方向
    • 网络安全
    • 系统安全
    • 网游行业

业务知识

• 解读
  • 为从事客户端安全工作，需要掌握的知识点
  • 包括
    • 操作系统原理
    • 病毒木马原理
    • 调试分析原理
    • 网络协议等
• 开发能力
  • 学习指引
    • 编码能力
      • 编程语言基础
      • 数据结构与算法
      • 密码学基础
      • 内核开发及原理
      • 编译原理
    • 管理相关
      • 敏捷开发
    • 架构与模式
      • 设计模式
      • 架构
  • LV1 开发基础&指导下开发
    • 要求
      • 掌握至少一门语言编程基础和常用数据结构
      • 熟悉常用IDE和源码调试
    • 方向
      • C/C++
      • Java
      • python
  • LV2 熟悉流程&模块级开发
    • 编码能力
      • 根据需求实现功能和测试发布
    • 安全算法
      • 了解常用安全类算法，压缩、加密、随机、散列、签名等；
    • 管理相关
      • 了解敏捷开发方法
  • LV3 模块级需求分析与设计&安全编码
    • 编码能力
      • 了解常用安全编码方法和要求
      • 了解常用性能和资源占用优化方法
      • 了解内核开发和调试方法
    • 安全算法
      • 熟悉常用安全类算法，并根据需要选择
    • 管理相关
      • 熟悉需求管理和敏捷开发方法
      • 熟悉常用设计模式，能根据需要选择应用；
  • LV4 据产品现状和需求确定方案&带领团队实现
    • 编码能力
      • 熟悉编译原理和x86指令集，并能通过编码或工具提高抗分析难度
      • 熟悉内核开发和调试，能选择最佳的安全实现方法
    • 管理相关
      • 熟悉常用客户端架构和模式，能根据需要选择应用
      • 熟练进行需求分析和方案规划
  • LV5 能预测和规划安全方案和系统方向
    • 管理：能预测和规划安全方案和系统方向，并带领和指导团队实现
• 调试分析原理
  • LV1 简单功能逆向分析
    • 熟悉以下反汇编指令之一
      • x86
      • ARM
      • smali
    • 了解PE或APK文件格式
    • 熟悉二进制调试分析工具操作
  • LV2 模块级逆向分析
    • 反汇编
      • 熟悉以下反汇编指令之一&快速分析
      • • x86
      • • ARM
      • • smali
    • 自动化
      • 熟悉各种常见文件格式
      • 熟悉各种脚本
    • 壳
      • 了解常见保护壳功能
      • 了解带壳调试方法
  • LV3 软件级逆向分析
    • 算法识别
      • 了解常见编译器指令结构和常见算法对应的指令集合
    • 壳
      • 熟悉常见保护壳功能
      • 熟悉部分脱壳方法
    • 虚拟机
      • 了解常见虚拟机原理
    • 漏洞
      • 熟悉常用漏洞分析
      • 熟悉修复方法
  • LV4 多种逆向分析
    • 虚拟机
      • 熟悉常见虚拟机原理和调试方法
    • 逆向分析
      • 能进行大型软件功能分析和总结
• 病毒木马原理
  • LV1 了解病毒种类及功能
    • 了解病毒和木马的区别和各种类型的主要功能和目的
    • 熟悉常见的反病毒和反木马软件和工具，并了解其主要功能
  • LV2 了解产业链&了解实现方法&会样本分析
    • 了解病毒木马产业链，主要产品，相关法规，了解部分经典案例
    • 能利用工具调试分析样本，按格式提供技术分析报告
  • LV3 熟悉实现原理 & 快速样本分析并给解决方案
    • 熟悉常见盗号木马类型、主要功能、技术实现方法，熟悉常见检测、阻止、清除方法
    • 熟悉常见病毒类型和感染方法，能快速分析和手动修复清除
    • 能根据分析结果给出常见的应对方案并实现demo
  • LV4 据样本报告优化解决方案
    • 能根据样本功能和实现方式的区别，完善和优化已有检测和清除方案的实现，可以设计和实现新功能
    • 在调试分析、检测清除等环节能有所创新，给出不同的解决和优化建议并实现
    • 可以设计和规划病毒木马检测和修复技术方案和架构设计
    • 熟悉行业威胁、技术和产品现状
  • LV5 能判断和选择产品适合的发展方向
    • 熟悉行业发展最新进展和趋势，并能判断和选择产品适合的发展方向
• 操作系统原理
  • LV1 了解OS主要组成大概原理
  • LV2 熟悉OS主要组成的核心原理
  • LV3 能在功能实现中考虑针对操作系统特性的优化
  • LV4 能基于操作系统特性选择功能实现的最佳实践方案

产品知识

• 解读
  • 了解公司或业界的主流客户端安全产品
  • 熟悉主要功能、体验和实现方法
• 桌面安全类软件
  • LV1了解主要功能
    • 了解常见桌面安全类软件和其主要功能
    • 了解特色功能和评测对比
  • LV2 了解功能原理
    • 了解特征扫描原理
    • 了解进程防火墙、文件防火墙、网盾等系统保护功能和原理
    • 了解主动防御和可疑扫描功能原理
    • 了解系统和数据恢复原理
    • 了解各种系统优化功能原理
  • LV3 熟悉功能实现
    • 熟悉常见软件功能主要实现方法和优缺点
• 互联网安全服务
  • LV1 了解主要功能和威胁
    • 了解猎豹相关客户端产品功能
    • 了解主要安全威胁
  • LV2 了解安全服务功能
    • 了解基于互联网的安全与传统桌面安全的主要区别
    • 了解互联网安全服务的几项特色功能
  • LV3 了解功能原理
    • 至少了解以下安全服务之一：
    • 了解云查杀原理
    • 了解各种上网管理功能和原理
    • 了解服务端备份和恢复原理
    • 了解各种VPN、HTTPS等安全协议原理
    • 了解几种服务器安全防护硬件和软件功能原理
  • LV4 熟悉实现方法
    • 熟悉常见互联网安全服务功能主要实现方法
    • 能选择适合团队的技术和产品方向

方法工具

• 解读
  • 熟悉从事客户端安全工作所使用的主要工具
  • 能高效使用工具
  • 了解工具实现原理
• 逆向调试工具
  • LV1 了解工具
    • 了解IDA、OD、WinDbg等调试工具
    • 能使用常见功能进行简单调试
  • LV2 使用工具
    • 熟练使用调试分析工具进行逆向分析
  • LV3 高效使用工具
    • 熟练使用调试器插件提高分析速度
    • 可以编写部分调试器插件
  • LV4 熟悉工具原理
    • 熟悉各种调试器原理
    • 能实现较复杂插件
• 程序开发工具
  • LV1 了解工具
    • 了解VS系列或AS开发环境和日常开发
    • 了解SVN,GIT等源码管理工具使用
  • LV2 使用工具
    • [能利用各种调优和检查工具进行代码问题定位和优化、性能改善等
• 分析工具
  • LV1 了解工具
    • 了解以下工具之一：
    • 网络分析工具
      • 了解wpe、httpwatch、tcpdump、wireshark等网络封包拦截和篡改工具的常见使用
    • 系统分析工具
      • 了解类似Sysinternal系列工具的常见使用
    • 漏洞挖掘工具
      • 了解Fuzz、comraider等工具日常使用
  • LV2 使用工具
    • 对工具使用达到以下要求之一：
    • 能编写分析工具的过滤脚本或插件
    • 能利用工具发现BUG或有问题的功能
    • 能手动和借助工具帮助分析挖掘软件或系统漏洞

专业技能

恶意分析能力

• LV1 简单分析
  • 了解常用恶意分析工具和分析方法
  • 了解常用系统和软件漏洞分析工具和方法
• LV2 复杂分析
  • 能利用工具实时监控恶意行为
  • 能定位被攻击位置和被攻击方法
  • 熟悉系统和软件漏洞分析方法，能定位到漏洞位置
• LV3 分析报告&修复建议
  • 熟悉恶意攻击原理，根据分析报告设计和实现检测、监控和拦截功能开发
  • 熟悉系统和软件漏洞原理，实现动态修复漏洞
• LV4 开发规范&工具
  • 熟悉恶意攻击原理并能总结提炼开发规则或SDK，减少被攻击风险或漏洞被利用
  • 能设计和实现监控和分析辅助工具或插件，提高分析效率和准确性

安全开发能力

• LV1 在指导下开发
  • 了解现有安全系统架构
  • 在指导下实现简单模块功能
• LV2 独立开发
  • 熟悉部分模块架构和逻辑
  • 独立完成较复杂模块功能开发
• LV3 设计开发和优化
  • 熟悉现有安全系统架构
  • 能根据需要设计和实现新模块功能
  • 能选择达成自身安全的方法
  • 能根据需求进行优化和增加新模块功能
• LV4 部分重构
  • 能够对系统的瓶颈或核心模块进行部分重构，解决性能或可用性问题
• LV5 架构设计和重构
  • 全新设计系统架构
  • 整体重构较复杂安全类系统

安全运营能力

• 解读
  • 能在客户端对抗方面进行运营
  • 如部署查杀/对抗模块，监控对抗效果等
  • 定义
    • 产品：把东西想出来
    • 技术：把东西弄出来
    • 运营：把东西用起来
• LV1 达到基本要求(兼容&稳定)
  • 在开发和测试时能关注功能稳定性和兼容性
• LV2 及时达成要求(框架下)
  • 能根据分析结果在现有框架下及时完成有效对抗功能开发
• LV3 有效达成要求(框架外)
  • 能设计和实现较复杂或现有框架下无法有效对抗的新功能
• LV4 数据运营
  • 通过搜集和分析运营数据反应功能和效果，能有效发现问题和给出改善需求

组织影响力

方法论建设

• 解读
  • 从工作积累中不断总结提炼，形成普遍性解决方案
  • 起到指导及示范性作用，并加以推广应用
• LV1 总结归纳
  • 能够定期进行个人工作总结，不断优化工作
• LV2 提炼规律
  • 总结：能从工作中总结与提炼共性的规律
  • 分享：将岗位的工作心得或案例沉淀总结并输出成果，形成可复制的经验与模式
  • 优化：优化工作效率
• LV3 方法论沉淀
  • 通过标杆研究及内部实践，在本专业领域内沉淀出切实有效的方法论,并推广应用
• LV4 创新性方法论与工具的开发
  • 具备某领域发展最前沿的了解和分析见解，掌握最前沿的方法论与工具
  • 能开创性进行一些创新性方法论与工具的研究与开发，对公司相关专业领域提升起到积极作用
• LV5 变革性的有巨大业务价值的方法论与工具开发
  • 在方法论与工具研究与开发上不断突破，引发相关专业领域的变革，为公司相关专业领域的提升起到巨大、可持续、不可替代的作用

知识传承

• LV1 团队内分享
  • 能在团队内部进行经验与知识的分享与交流
• LV2 跨团队经验与知识的分享
  • 积极参加部门内或部门间工作相关的交流和研讨
  • 并进行经验与知识的分享及学习
• LV3 营造分享的组织氛围
  • 主动引导团队成员一起进行知识分享，营造主动学习、分享和共同进步的团队氛围
  • 能够主导开发课程并进行授课培训
• LV4 建立信息共享平台
  • 积极策划、组织、推动部门内或跨部门间工作相关的交流和研讨，建立信息共享平台
• LV5 跨界学习与分享，推动专业提升
  • 通过跨行业、跨公司、跨专业领域的知识分享与传播，推动专业进步与技术提升

人才培养

• LV1 直接指导/帮助
  • 能够指导或帮助同事完成工作任务
• LV2 随时辅导
  • 能够辅导1-2个初级员工，进行随时辅导
  • 帮助改进工作效率，提升能力发展
• LV3 有策略的辅导
  • 资深导师，能够结合人员的不同特质和经历，采取不同的辅导策略
  • 在指导过程中注重传授思维理念和工作技巧
• LV4 主动关注人才识别与发展
  • 有人才培养的意识，主动关注后备人才的识别与发展，并采取相应行动
• LV5 激发团队成员潜能
  • 在团队建设方面有丰富的成功实践，能够采取多种手段识别人才
  • 采取多种方式培养人才，发挥团队成员的潜能

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！