Paul C's Blog

反思：要学的东西尽快学，至少也要下载到本地，之后可能就找不到了。

令基本模型从一开始就可以训练，在训练代数相同时，收敛更快验证损失更低！

意义：更好地了解自己，了解他人。

方法论

在对方没有察觉到的情况下，不断地重复或者强调话语、画面，声音、色彩、手部动作都可以作为暗示。

暗示要被对方的感官所觉察到，声色味触觉都可；

观察——推断——质疑——再观察。

观察一个人：行为模式+思维模式+情绪模式。

从小物件的观察出发，锻炼自己回忆细节，对其整体和局部的记忆能力，记住事实而非推论。

如何与潜意识沟通？

有意识地去做，强化它，让它成为习惯、本能，进而再次转化为潜意识的状态。

在迷糊(困倦、醉酒)的时候，重复给自己暗示。

观察人的什么？

表情、鼻子朝向、眼球运动方式；

微表情、微反应。

习惯性动作；

语言用词（口头、书面）；

配饰、房子布置；

朋友圈、昵称头像。

理论

心理结构分为 意识、前意识和潜意识。

否认：抵御由外界所引发的内心焦虑而产生的一种“心理防御”机制，人在否认时常常处于“无意识(下意识)状态”。

人的动物性/原始心智：在面对危险时，战斗或者逃跑。

催眠的原理指通过信息过载产生，使批判区的抑制功能失调，触发原始区战斗逃跑的反应机制，进入高暗示感受性状态，从而打开潜意识的绿色通道。

人类有一对植物神经包括交感神经和副交感神经，当我们交感神经持续兴奋的时候就会紧张并触发战斗反应，从而产生焦虑。反之，如果是副交感神经系统持续兴奋就会触发副交感神经系统兴奋，这样就会产生抑郁。

人在对未来充满不确定性，接收大量无法即时处理的信息时，容易陷入焦虑状态。在高度的焦虑状态下，潜意识会自动接替意识功能。例如：在焦虑状态下的人会觉得六神无主、慌乱、不知所措，自己的举动不受自己掌控。

人喜欢 控制感、存在感、安全感以及认同感。例如： qq空间的点赞让我获得的是一种认同感。

Triantafillou, E., Larochelle, H., Zemel, R.S., & Dumoulin, V. (2021). Learning a Universal Template for Few-shot Dataset Generalization. ArXiv**, abs/2105.07029.

虎符_the_shellcode

明显的循环结构；从开始直接结束的特征；

1

memcpy()

Win10版本；Win32k权限提升漏洞

该漏洞是之前CVE-2021-1732漏洞补丁的绕过。CVE-2022-21882是一个本地权限提升漏洞，攻击者利用该漏洞可以在Windows 10系统上获得管理员权限、创建新的管理员账户、执行特权命令。

由dump分析入手，到漏洞原理剖析，再到漏洞的重现利用手法，最后到分析漏洞的影响函数、修补方式等，完整重现“由dump到POC”的全过程。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

//k  栈追踪
//b给出每个函数的前三个参数
 kd> kb 
 
 
//u Address1 Address2，反汇编选定范围内的代码
 kd> u xxxDestroyWindow xxxDestroyWindow+34 
 
 //给出某个函数调用前的内容
 kd> u xxxMNCancel la
 
 //反汇编选定地址之前长度为Lnum的代码
 kd> ub xxxMNCancel+121 L5
 //展示某个数据结构data type里的某个名称的对象
 0: kd> dt tagPOPUPMENU -d spwndPopupMenu
 win32k!tagPOPUPMENU
   +0x008 spwndPopupMenu : Ptr32 tagWND
 

xxxTrackPopupMenuEx的工作原理，熟悉界面编程的朋友都知道这是用于弹出一个Popup Menu的函数，那么在内核中它是如何工作的呢，这里笔者简单列出一下大概的工作的流程 ：

(1). 创建Menu窗口对象： 根据HMENU等相关参数，创建最终弹出和展示的Menu窗口（通过xxxCreateWindowEx）

(2). 分配和初始化当前线程的MenuState结构（xxxMNAllocMenuState）

(3). 计算和设定Menu窗口的相关位置、属性等（通过FindBestPos/xxxSetWindowPos等）

(4). 进入菜单循环，展示Menu并进入等待菜单选择的循环（xxxMNLoop），在进入循环前，会通过xxxWindowEvent来“播放”一个EVENT_SYSTEM_MENUPOPUPSTART的窗口事件，这个细节会在后面用到

(5). 菜单被选择或取消，退出循环并销毁PopupMenu、Menu窗口对象和MenuState结构(xxxxxEndMenuLoop、xxxMNEndMenuState等)

姜旭平

营销的知识和方法是最重要的，工具手段是围绕目的服务的。

一.搜索引擎营销

分析客户心理->关键词->客户根据关键词能够搜索出感兴趣的内容->客户点击后目的链接是精准的链接。

客户搜索的关键词，反映出了他感兴趣的点；而他感兴趣的点，限制了他能够挑选的关键词的范围。

二.渠道和品牌

中国市场不缺客户，客户也在积极地寻找好的产品，所以重要的是渠道，让客户知道我的产品，知道我的产品的价值和利益。

为建立渠道，关键是对人性的把握，给销售方一个理由卖你的产品而非友商的产品，不一定要让利，让它方便、提供服务、好的期望和市场反应都是谈判的稻草。（例如，以前通过送网络电话，让经销商卖自家瓜子；以前的三大运营商充话费送手机也算一点，但是要注意到社会发展的趋势，服务不能满足客户需求时，随着经济的发展，客户会办理多个电话卡）

品牌：

品牌不是耳熟能详（例如恒源祥），而是一种理念的传播和价值认同。讲明白你的产品对客户的价值和利益，给客户一个购买的理由。

现在的app或者网站上的锚点 ，可以收集足够多的数据，分析到客户的兴趣爱好和习惯。

三.引导消费

推销当前社会已经不适用，多引导，让客户自己说服自己，自己体验到产品的价值。该买的人，一定会买。

1.人的消费习惯不易逆转，由俭入奢易。（送质量更好的茶叶；花呗都是基于这样的原理）

2.和气生财，多交朋友。(小利益的让出，会收获更大的利益。在合适的发展阶段，明白自己有多大的让利空间）

3.多问一句来引导，而不是捆绑销售，把选择权留给客户（但是这个选择空间可以特殊设计，让客户最终选择我想要的）。(例如，卖牛肉面，问一句客户要鸡蛋、小菜吗？而不是直接设计为套餐给客户，当然事无绝对，这些附加的营收，会占据流水的很大份额)

4.体验，比推荐更有杀伤力。(30天无理由退款，线下体验店基于此原理)

5.讲清楚利益和价值，客户为什么买。找到客户关心的(例如，正例：强生公司在美国讲健康，在中国讲教育；反例：没人乐意当银行的垃圾邮件接收器，成为银行VIP得不到什么好处)。

分析市场特点，找对客户关心的内容，与自己产品建立联系，没有联系也无妨，包含自己产品的内容非常重要，要和客户的兴趣点相对应，这些设计最终要实现目的：客户转化成利益。

四.自媒体时代

两个特点：1.信息谁都可以发送和接收；2.会自动形成兴趣小组，群体会自动聚类；

信息：每个人都可以创造性加工，也都可以选择性接受。

病毒式/社会化营销：4I s原则：Interesting 、Interests、Innovation、interactive，用户感兴趣是前提，价值观、逆向思维是核心，观点功能方法要创新，与客户互动、给客户创造秀的机会、让客户形成社群自己发热。

典型案例：18年，Elon Mask就拿火箭发射汽车，借助社会化媒体自我宣传了；实际意义有的时候不重要，制造话题、并且话题能够和产品的特点有所融合，节省的广告费最终会是赚的。（例如：火箭的运输能力，汽车的高科技感的营造）

五.人性

凑热闹，喜欢虚假的安全感，喜欢别人设计的意义。

例如，褚橙：甄嬛体活动（蹭热度，制造热度），有一个就够了的广告词<->与男女感情建立联系，只要打印这样的包装即可，产品不重要，营造出来的价值，符合冬天各种节日里的男女的需要；符合女士爱美、追求时尚的特征即可。

六.大数据

找到客户的兴趣点，瞄准其真实需求做产品。

大量、多变、高频的数据，可以消除数据里的异常数据的干扰，获取到客户下意识的、真实的想法。

七.人力资源的思考

王雪莉

1.人力资源既是成本，也是资产。考察一个人的成本，看工资是否合适，应该拿他创造的收益-工资。同样的，作为求职者，要创造价值，给公司带来大于工资的收益。

2.眼界放开。公司限制竞业会跨越很多行业，同样的，求职范围不要局限于互联网，凡是有交叉的范围都可以去试试。

3.物质激励效用递减时，当前的管理层给员工创造的是兴趣、意义、希望，让员工看到快速上升的希望。

4.每一代人有每一代人的性格特点，管理永远是对人的，让他把力气发挥正确即可。

课程链接：北大 钱铭怡教授 变态心理学

一.课程内容

Abnormal Psychology异常心理发生、发展变化的规律和原因。

• 描述：异常表现、与正常现象的区别、障碍、预后
• 原因：考察生物、心理、社会方面的因素
• 治疗：途径及效果等 （心理咨询、心理治疗、临床心理学课程里重点介绍；神经解剖：神经系统疾病）

心理障碍继续加重、时间长了会变成精神病。（错，例如强迫症，需要看此人的症状表现是其他病比如分裂症的前期表现，还是仅仅为强迫症）

几个概念：

• 神经病(neuropathy)：神经系统出现障碍时表现出的疾病。例如：脊髓出现问题
• 精神/心理障碍(mental disorders)：精神分裂、心境障碍、神经症、焦虑障碍、人格障碍、社交障碍等。
• 精神病(psychosis)：患者的心理功能严重受损，自知力（例如幻听却不自知）缺失，不能应付日常生活要求并保持与现实 的接触的一组情况。例如精神分裂症。
• psychological disorders心理障碍:偏重于说明重 性精神病、器质性精神障碍以外的那些更多地由心理原因所致的障碍

2009年，Phillips的调查就显示，中国成年人群精神障碍总现患率为17.5%；女性、40岁以上在心境障碍和焦虑障碍上都更严重；物质滥用尤其是酒依赖上，男性超过女性，农村超过城市。

2012年，《中华人民共和国精神卫生法》通过。

正常和异常的判断

1.患者自身认识，研究者主观判断；
2.社会文化传统；
3.心理测量学，以统计的视角判断离群情况，一般重点关注分布的两端；
4.病因和症状存在与否，现象学的标准（无法通过化验等精准手段判断）

AVCLASS

三大挑战：规范化（相对于使用AV提供的完整标签而言），通用标记删除，别名检测

采取AV vendors多数投票，需要选择出一些打标签比较好的检测引擎，而检测引擎往往对于某一类准确率高，而对于另一类又比较差；也无法定量评估标签的质量。

已知某些引擎会抄袭leader引擎的标签结果。

AVCLASS可以代替聚类过程和给聚类结果打标签。

AVCLASS2

2020

Silvia Sebastián, Juan Caballero. AVClass2: Massive Malware Tag Extraction from AV Labels. In proceedings of the Annual Computer Security Applications Conference, December 2020.

AVLASS2借助VT的json可以获得下面的结果：

1

aca2d12934935b070df8f50e06a20539 33 CLASS:grayware|10,CLASS:grayware:adware|9,FILE:os:windows|8,FAM:adrotator|8,CLASS:downloader|3,FAM:zlob|2

AV-Test

乔延成

恶意代码对抗样本研究存在的困难

图像对抗样本
·数值是连续的
·限制:添加的扰动人类无法察觉恶意代码对抗样本
·字节数据、系统调用等特征数值是离散的(基于梯度的方法无法使用)·限制:添加的扰动不能影响恶意代码的原有功能

• 恶意代码检测模型决策依据分析
• 恶意代码对抗样本检测方法
• 恶意代码对抗样本攻击方法

集成学习

• bagging: 随机森林

• boosting: adaboost,GBDT,XGboost，LGBM

决策树

• 分类树
• 回归树

信息熵

随机变量的不确定性，熵越大，不确定性越大。

1

H(X)=-\sum_{i=1}^{n} P(X=i) \log _{2} P(X=i)

比如，0.5、0.5的概率，不确定性很大，计算得到H(X)=1；而0.01,0.99的概率，不确定性减少，计算得到0.09；

条件熵

增加了条件限制后，不确定性会发生变化。

1

H(X \mid Y=v)=-\sum_{i=1}^{n} P(X=i \mid Y=v) \log _{2} P(X=i \mid Y=v)

信息增益

代表了在一个条件下，信息不确定性减少的程度，信息更容易被确定了，所以叫做增益。

I(X,Y)=H(X) -H(X|Y=v) 父节点熵-子节点加权熵

决策树的划分标准

信息增益越大的时候，决策树的划分越好。所以决策树的每一级决策，取信息增益最大的因素。

使用xgboost库时的超参数

1
2
3
4
5
6

model.set_params(max_depth=3,
                 learning_rate=0.1,
                 n_estimators=100,
                 silent=True,
                 objective="multi:softmax",
                 num_class=3)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41

def __init__(
        self,
        max_depth: Optional[int] = None,
        max_leaves: Optional[int] = None,
        max_bin: Optional[int] = None,
        grow_policy: Optional[str] = None,
        learning_rate: Optional[float] = None,
        n_estimators: int = 100,
        verbosity: Optional[int] = None,
        objective: _SklObjective = None,
        booster: Optional[str] = None,
        tree_method: Optional[str] = None,
        n_jobs: Optional[int] = None,
        gamma: Optional[float] = None,
        min_child_weight: Optional[float] = None,
        max_delta_step: Optional[float] = None,
        subsample: Optional[float] = None,
        sampling_method: Optional[str] = None,
        colsample_bytree: Optional[float] = None,
        colsample_bylevel: Optional[float] = None,
        colsample_bynode: Optional[float] = None,
        reg_alpha: Optional[float] = None,
        reg_lambda: Optional[float] = None,
        scale_pos_weight: Optional[float] = None,
        base_score: Optional[float] = None,
        random_state: Optional[Union[np.random.RandomState, int]] = None,
        missing: float = np.nan,
        num_parallel_tree: Optional[int] = None,
        monotone_constraints: Optional[Union[Dict[str, int], str]] = None,
        interaction_constraints: Optional[Union[str, Sequence[Sequence[str]]]] = None,
        importance_type: Optional[str] = None,
        gpu_id: Optional[int] = None,
        validate_parameters: Optional[bool] = None,
        predictor: Optional[str] = None,
        enable_categorical: bool = False,
        max_cat_to_onehot: Optional[int] = None,
        eval_metric: Optional[Union[str, List[str], Callable]] = None,
        early_stopping_rounds: Optional[int] = None,
        callbacks: Optional[List[TrainingCallback]] = None,
        **kwargs: Any
    ) 

随机森林

随机性：1.样本随机选取作为某一个DT的训练集；2.特征随机选取

Adaboost前向优化算法