我是LuckyFuture,距离上一篇文章发布(2022-9-24)已经过去905天了。硕士生活已经进入尾声,今天我重新打开博客来回答三个问题:

  1. 研究生3年我都做了什么?
  2. 为什么很久没有更新博客了?
  3. 为什么又开始更新博客了?
  4. 未来打算。

研究生3年我都做了什么?

首先回答第一个问题,研究生3年我都做了什么?

在大学本科阶段我对于自身所在的信息安全专业投入了很多精力,这些投入不仅是在学校的专业课程上,还包括最新的实用的企业招聘所需要的专业技术、国内网络安全企业的运营模式拆解分析、以及大量的实习、护网和CTF比赛。不太谦虚的来讲,对于网络安全行业,相比于本专业大多数的毕业生,我的了解要更深入一些。而这份深入全面的了解,带给来认知就是:我还没有做好进入工作环境的准备。直白点来说,我目前的能力不能够支撑实现我的想法。所以,即便是被调剂学校录取我也是满意的,因为又给了我三年的时间来提升自己。

将时间调回2022年9月,我刚刚开始读研生活。在暑假期间自己联系了导师,进入了以网络安全为为研究方向的实验室,结识了yhy zyh两位师兄,后面这两人对我的影响可以说是读研期间最大的收获。

硕士生活刚开始,我的思路很直接:选择pwn方向,专心提升技术实力,在CTF大赛上取得名次,发表高水平论文,最终凭借比赛名次和论文入职甲方单位或乙方的技术研究岗位。于是我开始着手准备参加2023年的国赛,通过yhy的引荐,我联系到了本校CTF社团的负责人和老师,在同届中找到了web手,很快组织起了一支队伍开始备赛,上一篇文章https://luckyfuture.top/StackAndFuncCall.html ,就是在那时写下的。如果按照常规情节发展下去,我作为CTF界的老资历选手,或许能够迸发出新的火花,成为真正的pwn master。

但是事实是,我的pwn技术提升的很慢。高情商的解释的是,我在这一方面缺乏天赋;低情商的说法就是,根本学不进去,yhy推荐的网课小半年看了不到10节,刷题时间更是没有保障。最终2023的国赛我们取得了省三等奖,2024年国赛由于每个学校只能入围两只队伍,在校内我们排名第三,无缘线下赛。与我们2022年一同获得三等奖的本科生队伍,如今已经入围决赛,取得全国前20名的优异成绩。时至今日不得不承认,在ctf比赛,或者说技术钻研方面,我的能力是欠缺的。

就这样,读研后有关CTF的设想到此终结。

专业技术的学习告一段落,到了2023年研究生二年级,我的重心转移到了科研论文上来,yhy在毕业前帮我点明了方向:二进制软件成分分析。经过了阅读论文调研后,我认定这这个方向有着巨大的实用价值,并且掌握的pwn基础知识使我具备了直接开展研究的能力。

经过暑假的大量阅读文献调研,我确定了研究的创新点:多模态对比学习预训练+特定任务微调。当时最火的就是以CLIP为代表的多模态大模型(题外话,当时AI专家认为多模态是下一个风口,2022年底发布的chatgpt让LLM成为了全世界的焦点),而我将CLIP的思路迁移到了自然语言处理上。事实证明我对于最新技术感知相当准确,仅仅是三个月后,清华大学张超团队成果在软件工程顶会ISSTA发表,同年腾讯科恩实验室的成果在ICSE发表,前者设计了二进制与自然语言对齐任务,后者设计了二进制与源代码的对齐任务。抱着对自身能力的信心,我将目标设为了信息安全四大顶会,或者中文CCF A类期刊。

论文写作过程并不顺利,现在回想起来,做实验反而是最轻松的部分。因为实验需要用到大显存的专业计算显卡,我租赁了云服务平台。一轮训练需要八九个小时,通常是晚上调好代码然后训练,第二天早上看结果,继续尝试思路再训练,周而复始了半个月,我构想并实现了很多奇妙的训练方法,直到关键指标无法再提升。我发现运用编程做原始的功能实现,这是属于我的强项,不用考虑性能、执行效率,只关注能否实现实际的需求。这或许与我先前写poc和exp的经历有关,我曾经对算法不以为意,认为那是工程思维,而网络安全需要的是创造性思维。两者都是解决问题,前者试图在有解的情况下找到最优解,后者则是在无解的情况下给出解。

实验完成后便开始了论文写作,在这一阶段我花费了巨大的精力。将一份简洁明了技术实现报告,变成一篇“逻辑性强”的学术论文,就是我在干的事情。技术终究是清晰明了、简单直接的,但传统的学术论文充斥的空洞的概念、不明所以的前缀、浮夸的包装。我并非不会写论文,只是觉得研究生不应该把这么多的精力放到文字表达上。我经常看B站up主耿同学讲故事,不禁开始怀疑所谓的科研是否都是在糊弄。从学术的角度来讲,我们实验室每年的成果是十分顶级的,但是从学术价值的角度来讲,我们做的真的是科研吗?恐怕不好评价。

反复的修改让我对自己的论文失去信心,但是投稿后很快又找了回来,期刊给出审稿意见十分简单,简单修改后予以录用。虽然带着对自己付出精力的怀疑,论文录用还是让我十分开心。毕竟满足了毕业条件,而且确实是一篇CCF A类期刊,完成了先前的计划。

论文的事情落定后,秋招开始了。我制定了两个对于工作单位的要求:信息技术行业的大型国有企业或科研院所事业单位,信息安全岗位。事实证明我对今年的就业形式过于乐观了,纵使我对自己的能力抱有自信,但上述类型的单位大部分甚至给不了一个面试的机会。不过在zyh的推荐下,一家单位给了我机会,工作内容虽然和预期有所偏差,但是如果将选择只限定到北京而言,已经是很不错的结果。

为什么很久不更新博客?

上一次博客更新还是研究生刚刚入学的时候,那时的我觉得选定了一个方向就能够坚持的走下去。但实际上研究生这三年里,我想做的事情一直在变化。况且这个这个博客设计之初是希望分享一些技术内容,最关键的是,在读研究生的这三年当中我在安全技术上其实是没有太多提升的,曾经的选定的二进制pwn学习、web安全漏洞复现、免杀工具编写,这些内容再我刚刚开始做的时候反响很好,也收到了很多人的鼓励,但是最终都没有坚持下来。

我想这也是我的一大缺点,做事缺乏恒心和毅力,或者说遇到一点小的变动打乱了部署,就不想再继续进行下去了。有人说这种情况是完美主义在作祟,回想起来我在一些事情上确实是过于追求完美了,有时甚至觉得做不好,就不如不去做。带着这种心态做事的结果就是,在事情开始之前我就被畏难情绪给打败了,很多时候我宁可去拖延,也不愿意将事情开始着手去做,等到最后时间不足,不得不草草收尾,周而复始陷入更大的内耗循环之中。

在更新博客这个问题上我就陷入了这种怪圈,一方面我希望去整理输出分享一些内容,但是很多次都觉得自己的工作很微不足道没有分享意义,我总是想着完成了这件事情,就把心得体会总结分享一下,但是真到了提笔去写的时候又觉得乏善可陈,到最后的结果就是一篇博客也没有写出来。

为什么又开始更新博客?

因为我意识到自己这个心态是很不好的。我想尝试去克服去改变这个心态。曾经有很长一段时间,我不更新朋友圈。同样是觉得自己没有做成一件令人瞩目的事情没有什么值得分享的但是实际上呢,我是一个分享欲望十分强烈的人。我还是希望去把自己生活中。一些感悟。一些见闻。或者是一些好玩的事情。分享给身边的人。所以我在微博和小红书上更新的频率很高。我逐渐地意识到:即使是简单的日常生活,也同样有记录的意义。所以说微博和小红书我拿来记录生活。一些工作和学习上的感悟。我希望通过这个博客来记录。

还有一个原因是我没事的时候经常去看博客的留言板,我发现我分享的内容得到很多人的认可。我本人确实非常喜欢这种感觉,希望能有这么一个地方能够与志同道合的人一起交流,这样看来继续把博客做下去就是最好的选择。

image-20250325204804169

image-20250325204916650

未来打算

最关键的就是博客未来的定位,以后我在这里要分享什么内容。

第一类内容,就是我工作当中的一些见闻,我目前将视角转到的安全合规这个方向上来,未来会分享一些对行业的认识和看法,对安全产品和技术的学习笔记。

第二类内容,是我自己的兴趣爱好,比如摄影,捣鼓新生产力软件工具等。

第三类内容,就是像这篇文章这样的日记随笔,记录成长过程中的感悟。

除了内容的问题,还有就是博客形式的问题。目前基于leancloud的评论系统似乎不能匿名使用了,评论区也是我写博客的一大动力,所以这个问题得尽快解决。此外,Hexo的发布修改删除必须要在安装nodejs环境下的电脑上使用命令行来操作,不能使用后台随时管理,和现在更流行的博客系统相比,这一点略微有些麻烦,后续可能会考虑更换平台,或者优化发布流程。

以上,就是这段时间来我想说的所有内容,很高兴和大家再次相逢,重新出发。