[TOC] 引言 如何对so文件中的核心代码进行保护？ 通过将核心代码写到自定义节中，并且对该节使用加密工具进行加密，在so文件执行时，利用attribute((constructor));属性，先于main执行解密函数，作用类似于java中的构造函数 实现流程 确定好自定义节的名称 开始加密流程 遍历所有节头，根据节头名来定位需要加密的节 获取节头中节的起始位置和大小，对节头指向的数据进行加密

yong夜 · 13492浏览 · 2019-06-06 00:50

绕过TracePid反调试二 第一篇文章是直接修改二进制文件尝试绕过TracerPID反调试 前言 接受了评论的建议, 但是因为之前手机还没好加上没试过直接修改kernel的源码, 所以花了很多时间(都是环境惹的祸)。还有因为这个接触了shell code, 真的是一言难尽。事先说明, 下面的环境准备都是在国外的服务器上直接运行的, 所以你实际上要用的命令可能跟我的有点不同(如果可以直接用代理之类

Se8s0n · 11633浏览 · 2019-04-25 00:50

so层调试深入及xposed入门使用 so层反调试的绕过 本文参考链接及附件地址：https://www.52pojie.cn/thread-749955-1-1.html 首先我们回顾一下我们在调试的时候会有那些特征 首先是端口，我们ida远程调试的时候利用的是23946 其次调试过程中进程的Traceid会非0 接着就是使用ida调试时会启动*_server文件可以对这个文件进程名进行检测，

Peanuts · 10796浏览 · 2019-04-20 00:06

关于native层的调试-so 首先介绍一下什么是native层。接下来会介绍so层的patch，调试及基于so层简单的反调试和pass技巧。 native 一般指android的底层的，这个层的代码大部分由c/c++实现，具体的机制为JNI，齐为双向机制通过JNI，java代码可以访问c/c++代码，而c/c++代码也可以可以访问java。（理解比较浅薄欢迎大家一起交流） so文件的简单patc

Peanuts · 10995浏览 · 2019-04-18 00:00

smali语法简单介绍 invoke-statio 执行函数 move-result-object v1 执行结果放在v1 invoke-virtual 执行一些函数存在返回值 const-string v0 .. 定义变量v0=什么 简单记录下问题当突然adb找不到设备的时候可以执行adb kill-server and start-server一般就能够解决 关于smali的调试 fir

Peanuts · 9791浏览 · 2019-04-12 01:20

本文翻译自： https://research.checkpoint.com/vulnerability-in-xiaomi-pre-installed-security-app/ 概述 Check Point研究人员发现小米手机预装应用中存在安全漏洞。更讽刺的是存在漏洞的应用竟然是安全中心（Guard Provider，com.miui.guardprovider），安全中心应用程序本来应该是检

angel010 · 12968浏览 · 2019-04-09 01:23

前言 Android逆向，最近一次写android逆向相关的文章已经是一年前了。。 难受 本题虽然简单，但是也值得深挖一下。在做题的时候我较为详细的记录了，在此我也会比较详细的讲讲，主要面向像我这样的小白，同大家分享。 工具 需要使用到的工具： IDA7.0 JEB.android.decompiler.3.0.0.201808031948Pro jni.h BDOpener.apk 或者 m

Badrer · 11362浏览 · 2019-04-02 01:52

引言 本次分析的样本是一款比较简单的android锁屏病毒，通过设备管理器来进行锁屏功能，并利用开机广播和服务的结合实现开机锁屏，解锁方式通过电话拨入，对资源文件进行解密出字符串和来电电话进行匹配的方式进行解锁。我们主要是从者一款比较简单的病毒中熟悉一下smali语法 文件简介 App应用名称： 红包强盗(后台版) md5: F3ADAADC7A8CB0D16A1AD05AADC8B1F2 包名：

yong夜 · 9662浏览 · 2019-03-30 01:45

简单的安卓漏洞挖掘学习（一） 最近打比赛之余看了一些简单的漏洞挖掘知识是关于安卓方面的，希望广大的小白能学到一些，本人菜鸟请大佬勿喷。。。 环境配置 设备选择 这里首先要有个安卓设备（有钱推荐原生谷歌手机），我用的是夜神模拟器这里上两张图,没办法囊中羞涩 工具使用 adb 如果使用夜神可以利用夜神安装目录下的adb程序进行运行，夜神也有一个好处就是root会是自动的非常方便省去了好多时间。 d

Peanuts · 9186浏览 · 2019-02-27 23:50

众所周知，macOS的沙盒一直是一个神秘的东西，我喜欢利用各种工具并从Jonathan Levin的《*OS Internals》等参考书再或者苹果官方自己都不太清楚的文档中收集的知识来分析它。苹果的安全机制并不是最好的，这不是什么新鲜事。沙盒技术有很长的历史，macOS的用户被沙盒保护已经有很长一段时间了，随着时间的推移，沙盒变得越来越强大。苹果一直在尽其所能加强其操作系统中的沙盒和其他许多安全

the**** · 11847浏览 · 2019-02-01 01:03

我们在研究过程中发现了一种间谍软件（被检测为ANDROIDOS_MOBSTSPY），它伪装成合法的Android应用程序并用以收集用户的隐私信息。 在2018年，这些应用程序可在Google Play上下载。在调查中我们发现，一些应用程序已被全球用户下载超过100,000次。 最初我们调查的应用程序是名为Flappy Birr Dog的游戏，如图1所示。其他应用程序包括FlashLight，HZP

Pinging · 7237浏览 · 2019-01-06 00:59

事件前言 在不久的将来，移动设备就会在系统应用程序上预装恶意软件，而这个想法是十分可怕的。 虽然这些话听起来很像一个对未来的预测，但是将移动恶意软件预先安装在设备中确实会带来非常严重的后果。 在我们过去的分析中，我们已经看到预先安装的恶意软件的实例，如臭名昭着的Adups威胁等等。 “预安装”是指恶意软件已预先安装在系统级别的设备上，因此无法被用户删除，只能够设置其为不可用。 但是，通过使用文章中

s小胖不吃饭 · 7388浏览 · 2019-01-05 01:31

事件前言 除了粉丝们对不同移动平台的喜爱之外，Android和iOS系统设备之间同样存在着其他明显的差异性：苹果系统的广告商将为苹果手机和平板电脑的使用者支付更多的广告费用。自clickfraud成为移动应用开发程序人员的主要收入来源以来，欺骗性的广告点击就成为恶意者获取利润的一种手段。 直到上个月SophosLabs公司偶然发现了22个移动应用程序的下载情况以来，clickfraud已经在Goo

s小胖不吃饭 · 6889浏览 · 2018-12-15 02:08

起因 移动无处不在。我们日常生活中的许多应用程序正在迁移到云部署，从而使前端技术重新回到轻量客户端的时代。当钟摆再次摆动时，我们的轻量客户端可以是任何形式，从JavaScript浏览器框架到支持移动设备的前端，例如Apple iOS上的Objective-C，或基于Android的Java。 我们来把眼光放到恶意软件，我们在Apple的5人团队继续维持的安全范例，试图审查进入iOS应用程序商店的

bycsec · 8325浏览 · 2018-10-23 06:10

原文：https://gamozolabs.github.io/fuzzing/2018/10/18/terrible_android_fuzzer.html 译者注：原作者的文风比较活泼，所以，上车前，请各位做好相应的心理准备。 免责声明 请读者注意，这里讨论的安全问题并不是通用的Android漏洞，而是只影响某种型号的设备，所以，这些漏洞的危害程度都是有限的。另外，本文旨在为读者介绍如何亲自

mss**** · 7748浏览 · 2018-10-22 00:40