文章总结： 这篇文章提供了信息安全入门的学习路线，特别是针对二进制安全方向。作者建议先打好C语言和汇编基础，学习数据结构和算法，掌握IDA和OD等逆向工具。对于Re进阶，推荐选择移动端平台，通过制作加壳软件和参与CTF比赛提升技能。对于Pwn进阶，建议从复现CVE开始，学习模糊测试和静态分析工具，并强调持续学习和热情的重要性。 综合评分： 88 文章分类： 二进制安全,安全培训,CTF,WEB安全,安全开发

入门信息安全，必须知道这几件事！

原创

小虾安全

小虾安全

2025年6月22日 00:31 北京

点击蓝字 关注我们

我发现很多人并不会学习，在大学做系内的工作室负责人，学弟学妹们都很迷茫，不知道做什么？所以当时立马做了一个二进制（pwn/re）的学习路线，学弟学妹们反省都不错，现在免费发出来，希望能够帮助到大家。

一、二进制基础:

01、编程语言方面

C语言必须要学的扎实，指针、链表要理解透彻，这是学习逆向的一个最基本要求。用链表实现一个 学生管理系统，可以要求无界面,但是要对链表一定要十分熟练。

后续推荐学习数据结构、算法方面的知识，跟着学校ACM队伍刷oj题目,推荐刷够200道oj题目。

02、汇编底子方面

基础可以从Windows系统开始，因为大家一开始对Windows系统更加熟悉，并且x86 x64汇编设计也相对经典易懂。并且知识是触类旁通的,懂了x86、x64汇编，arm等汇编学习起来也更容易

学习ida od这两个基础工具，入门了这两款逆向工具之后，则推荐看滴水逆向三期初级班视频，这个课程涵盖了很多很多知识面，基本上学完这套课程，逆向就算是入门了。

03、书籍阅读方面

侧重汇编、系统机制、系统原理等书籍,这里只做一些推荐:

《汇编语言（第3版）》

《程序员的自我修养》

《C++反汇编与逆向分析技术揭秘》

04、技术论坛推荐

看雪论坛 https://bbs.kanxue.com/

吾爱破解 https://www.52pojie.cn/

先知社区 https://xz.aliyun.com/news

奇安信安全社区 https://forum.butian.net/

二、Re进阶

确定要做的平台(Windows、Android、iOS、web js).根据现在的就业环境,还是更推荐Android和iOS逆向。接下来讲的方面也是根据移动端的逆向来展开

01、项目方面

前期可以先做一个加壳软件，来加深对软件壳的理解。后期根据想做的方向可以写一个项目来展现(逆向某大厂app 验签算法或设备指纹、环境检测、trace工具、ebpf工具、改机rom、模拟执行工具等

02、逆向路线方面

大一可以选择打一些ctf来过渡，一些大厂举办的比赛还是能学到一些知识的:基本的调试手法、对抗反调试、对抗混淆等

大二从商业壳来对抗，这些网上有很多资料，根据这些逆向可以得知商业壳是怎么检测hook 工具以及rom 环境的，并逆向dex vmp和arm vmp。

大二下和大三上就可以选择一些中大厂的app对抗，并且根据自己的方法去写一些逆向工具

大三下去找实习工作，根据实习遇到的问题实时调整自己的学习方向。

三、pwn进阶

这里pwn是泛指漏洞挖掘，方向比较多。这里主要分为三个方面:

01、复现CVE

根据自己选定的平台，查看过往漏洞成因以及利用手法，根据漏洞评分从上到下复现，并且能够根据未公开具体漏洞手法的1day或者nday根据自己的理解写出exp。

02、模糊测试/静态分析 工具

学习行业优秀的fuzz 工具以及静态分析工具，能够学习原理并且熟练使用。

03、相信自己

笔者见过惊艳的有天赋的选手，嘎嘎出洞，也见过大学四年复现了四年的linux kernel漏洞，然后毕业一年内挖到两个kernel 内核提权这种厚积薄发的选手。我感觉对于漏洞挖掘有热情，并且对一个平台持之以恒的学习，终会有自己的CVE编号,成为漏洞挖掘大佬。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：小虾安全 小虾安全《入门信息安全，必须知道这几件事！》