事件概要 2020年7月3日推特上有移动安全人员披露一起拥有1w+下载量的Joker家族样本，其家族名源于其早期使用的C2域名，提取了其中的特征字符串Joker作为其家族名称，其主要的恶意行为是肆意给用户订阅各种收费SP服务、窃取用户隐私来进行收益，鉴于Joker是目前Google Play商店上最活跃的家族之一，所以我对其家族成员样本进行详细分析，披露其近期“激进”的发展态势。 威胁细节 Goo

yong夜 · 13886浏览 · 2020-08-03 01:50

日常Android渗透过程中，会经常遇见https证书校验（http就不存在证书校验了，直接抓包便可），不能抓取数据包。APP是HTTPS的服务提供方自己开发的客户端，开发者可以先将自己服务器的证书打包内置到自己的APP中，或者将证书签名内置到APP中，当客户端在请求服务器建立连接期间收到服务器证书后，先使用内置的证书信息校验一下服务器证书是否合法，如果不合法，直接断开。 环境 nuexs 5

ESE007 · 18442浏览 · 2020-07-30 02:35

原文地址：https://erev0s.com/blog/how-hook-android-native-methods-frida-noob-friendly/ 在上一篇文章中，我们以Android应用程序为例，并假设我们想要使用C/C++替换它的部分实现。在本文中，我们将使用该应用程序，并且尝试hook我们用C语言编写的Jniint函数。 如果你正在寻找frida的代码片段，那么你可能会对这篇

dapiwang · 13221浏览 · 2020-05-15 00:02

前言 今天拿到了新玩具JEB 3.17.1，想测试一下，顺便学习学习Android逆向，于是找了一个apk准备试试水，看看能不能搞到VIP。 初步分析 拖入jeb查看 嗯。。google一下 几维安全的壳，虚拟化很烦，也没什么好的脱壳工具，于是切换思路 从本质上来说，虚拟化就是自己实现了一套基本的cpu指令，通过自己的解释器解释给机器。因此想要在虚拟化之后仍然能让机器运行，当然还得还原代码给机

kabeor · 26045浏览 · 2020-05-05 23:46

Android APP测试时，经常发生会遇见数据包加密传输，这样就会影响测试。不过，Brida可以编写加密解密脚本，对加密的数据包进行解密，在加密。工具或者插件都是为了测试方便。 环境 Android 8.1.0 pixel Burpsuite 1.7 windows 10 eseBrida.apk （下面给下载地址） phpstudy 什么是Brida 介绍Brida 1、Brida.jar

ESE · 21521浏览 · 2020-04-16 01:04

安卓动态调试smali 安装smalidea # 下载链接: https://bitbucket.org/JesusFreke/smali/downloads/smalidea-0.05.zip 下载 Android Studio安装smalidea。 进入Settings->Plugins点击Install plugin from disk选中下载好的压缩包 安装完成 解包并配置AS

小白King · 17554浏览 · 2020-02-13 02:10

记一次App通信协议快速加解密 前言 安装完app，注册的时候，抓包发现有加密，共有三处，一处的是Code的签名值，一处是Post的请求加密，一处是返回包的签名 如下： 分析 App的包名是com.xxxxxx.xxxxxnning。 一般情况下 Android开发，都会将所有的类都写在包名下面， 因此我们可以尝试直接hook该包名下的所有类，通过类下所有方法的参数值以及返回值来定位加解密方法

lyxhh · 17857浏览 · 2020-01-31 03:04

drozer是一个用来审计安卓四大主件的漏洞检测框架，笔者最近也利用该框架对一些app进行了安全检测，取得了一些成果，觉得这个框架比较好用，于是想记录一下自己的实践经历。 1.运行环境是python2.7，也需要安装JDK。首先需要到官网下载相关软件：https://labs.f-secure.com/tools/drozer/，需要下载msi和apk分别部署在电脑和手机上，apk用来做端口转

小米粥 · 13115浏览 · 2020-01-05 03:17

学习安卓逆向时偶然发现了OWASP的crackme练习，相关资料也挺多的，正好用来学习下xposed和frida。链接：https://github.com/OWASP/owasp-mstg/tree/master/Crackmes 我使用的环境和工具： x86_64 android10 Pixel_2_API_29_2 frida-server 12.7.12 frida 12.7.20 ap

muirelle · 12571浏览 · 2019-11-28 01:30

环境搭建 搭建平台：Ubuntu 16.04 # 下载内核代码 git clone https://aosp.tuna.tsinghua.edu.cn/kernel/goldfish.git # clone漏洞项目 git clone https://github.com/Fuzion24/AndroidKernelExploitationPlayground.git kernel_explo

Sr0cky · 15612浏览 · 2019-11-11 01:20

关键词： 不需要编译llvm 仅依赖NDK，不需要额外的其他环境 不会遇到配置引起的符号NotFound问题 不污染NDK 一、背景介绍 现在代码保护技术很多是在llvm上实现的，例如 ollvm 和 hikari，作者给出的实现是将源码混杂在llvm中，这样做非常不优雅。近来越来越多安全工作者都开始接触和研究基于llvm的代码保护，工欲善其事必先利其器，在编译、运行均是本机的环境下，不会出问

LeadroyaL · 21530浏览 · 2019-10-31 01:09

前言 这篇文章算是总结一下我之前抓包遇到的一些问题, 个人属性里带bug, 所以遇到的问题会比较多, 算是给大家提供一个抓包抓不到应该如何解决的思路。 工具介绍 Android中可用的抓包软件有fiddler、burpsuite、Charls、HttpCanary、Packet Capture、tcpdump、wireshark等等。tcpdump和wireshark可以解决部分不是使用HTTP/

Se8s0n · 42914浏览 · 2019-10-19 02:22

前言 上一篇文章分析了Obfuscapk，这一篇文章继续分析另一个apk加固工具advmp。 作者说明：https://www.cnblogs.com/develop/p/4397397.html github地址：https://github.com/chago/ADVMP 简单来说，advmp参考dalvik虚拟机的解释器对字节码进行解释执行。代码结构如下。 AdvmpTest：测试用的项目

houjingyi · 11165浏览 · 2019-10-17 01:32

前言 App渗透再次遇到加解密，并且这次具体分析与以往状况有点不太一样，于是记录下来。 抓包分析 POST /app/fsOrder/getAllFsOrderListByUser/ HTTP/1.1 accept: application/json authorization: Bearer timestamp: 1567065637961 Content-Type: application/

Bojack · 10642浏览 · 2019-10-15 01:20

前言 Obfuscapk是一个python实现的apk混淆工具，使用插件系统构建，被设计为模块化且易于扩展。每个obfuscator都是一个从抽象基类(obfuscator_category.py)继承的插件，都实现了obfuscate方法。 使用新的obfuscator对该工具进行扩展非常简单：在src/obfuscapk/obfuscators目录中添加实现混淆技术的源代码和插件元数据文件(

houjingyi · 14853浏览 · 2019-10-01 01:19