2015年08月_Fly20141201

12月 11月 10月 09月 08月 07月 06月 05月 04月 03月

原创一个DDOS病毒的分析(二)

一、基本信息样本名称：hra33.dll或者lpk.dll样本大小： 66560 字节文件类型：Win32的dll文件病毒名称：Dropped:Generic.ServStart.A3D47B3E样本MD5：5B845C6FDB4903ED457B1447F4549CF0样本SHA1：42E93156DBEB527F6CC104372449DC44BF477A03

2015-08-31 14:50:00 2776

原创远程IPC种植木马

要实现代码如下：///////////////////////////////////////////////////////////////////////////////////// typedef struct TagHost { CString host; CString user; CString pass; CString filename; CString Loca

2015-08-23 18:53:44 2204

原创 Android版俄罗斯方块的实现

学习Android的基本开发也有一段时间了，但是因为没有经常使用Android渐渐的也就忘记了。Android编程学的不深，仅仅是为了对付逆向，但是有时还是会感到力不从心的。毕竟不是一个计算机专业毕业的Coder，相对来说编程的基础对于以后很多方面的学习都是很重要的，特别是想在软件安全或软件的企业开发的过程中有所进步，必须要计算机专业知识扎实。不多说了，发个Android版的俄罗斯方块，

2015-08-23 12:06:09 8806 7

原创 Android的so库注入

作者：Fly2015Android平台的so库的注入是有Linux平台的进程注入移植来的。由于Android系统的底层实现是基于Linux系统的源码修改而来，因此很多Linux下的应用可以移植到Android平台上来比如漏洞。由于Linux平台的注入需要权限，相比较于Windows平台的进程的注入没有被玩的那么火热。但是到了，Android平台以后，很多Android的安全手机软件，都是从这里

2015-08-21 14:51:43 9764 3

原创 UC-Android逆向工程师面试题1的分析

1.简介这个题目是一位吾爱破解的坛友在面试UC的Android逆向工程事时，遇到的题目。此题不难，与阿里移动去年移动安全比赛的题目差不多，题目的验证方式也是查表对比，并且这个表的数据是放在文件中的。2.题目分析直接使用JEB对UC-crackme.apk程序进行反编译，得到下面的结果：获取查询的密码表，即文件abcdefghddd

2015-08-20 21:05:50 5877 2

原创一个DDOS病毒的分析(一)

一、基本信息样本名称：Rub.EXE样本大小：21504 字节病毒名称：Trojan.Win32.Rootkit.hv加壳情况：UPX(3.07)样本MD5：035C1ADA4BACE78DD104CB0E1D184043样本SHA1: BAD1CE555443FC43484E0FACF8B88EA8756F78CB 病毒文件的组成：病毒母体文件Rub.EX

2015-08-20 11:13:54 4787 6

原创 OD调试程序常用断点大全

常用断点拦截窗口： bp CreateWindow 创建窗口 bp CreateWindowEx(A) 创建窗口 bp ShowWindow 显示窗口 bp UpdateWindow 更新窗口 bp GetWindowText(A) 获取窗口文本拦截消息框： bp MessageBox(A) 创建消息框 bp MessageBoxExA 创建消息框

2015-08-17 22:39:41 9184

原创一个感染性木马病毒分析（三）--文件的修复

一、序言前面的分析一个感染型木马病毒分析（二）中，已经将该感染性木马病毒resvr.exe木马性的一面分析了一下，下面就将该感染性木马病毒resvr.exe感染性的一面分析一下。二、文件感染方式的分析之前感染性木马病毒的分析中，已经提到了病毒对于用户文件的感染方式有2种，分别是加密文件和感染文件传播病毒，至于文件感染的时候采取哪种感染方式，病毒母体文件和

2015-08-12 20:13:29 4938 4

原创一个感染型木马病毒分析（二）

作者：龙飞雪0x1序言前面已经对感染型木马病毒resvr.exe的病毒行为进行了具体的分析见一个感染型木马病毒分析（一），但是觉得还不够，不把这个感染型木马病毒的行为的亮点进行分析一下就有点遗憾了。下面就针对该感染型木马病毒的感染性、木马性以及被感染文件的恢复几个方面进行具体的分析和说明，直观感受一下病毒的感染性、木马性质。 0x2病毒木马性的分析---远程

2015-08-12 17:50:02 4411 2

转载 ARM指令集

ARM指令的基本格式ARM指令的基本格式为： {} {S} , { , }其中，内的项是必需的，{ }内的项是可选的。（1）Opcode项Opcode是指令助记符，即操作码，说明指令需要执行的操作，在指令中是必需的。（2）Cond项（command）Cond项表明了指令的执行的条件，每一条ARM指令都可以在规定的条件下执行，每条ARM指令包含4位的条

2015-08-05 15:47:02 1749

转载 ARM详细指令集

算术和逻辑指令ADC : 带进位的加法(Addition with Carry)ADC{条件}{S} , , dest = op_1 + op_2 + carryADC 将把两个操作数加起来，并把结果放置到目的寄存器中。它使用一个进位标志位，这样就可以做比 32 位大的加法。下列例子将加两个 128 位的数。128 位结果: 寄存器 0

2015-08-05 15:43:32 1239

转载 ARM寻址方式

所谓寻址方式就是处理器根据指令中给出的地址信息来寻找物理地址的方式。ARM处理器的寻址方式目前ARM处理器支持9种寻址方式，分别是立即数寻址、寄存器寻址、寄存器偏移寻址、寄存器间接寻址、基址变址寻址、多寄存器寻址、相对寻址、堆栈寻址和块拷贝寻址。1. 立即数寻址也叫立即寻址，是一种特殊的寻址方式，操作数本身包含在指令中，只要取出指令也就取到了操作数。这个操作

2015-08-05 15:39:15 924

转载 ARM寄存器

一、ARM工作状态下的寄存器组织ARM微处理器共有37个32位寄存器，其中31个为通用寄存器，6个位状态寄存器。但是这些寄存器不能被同时访问，具体哪些寄存器是可以访问的，取决ARM处理器的工作状态及具体的运行模式。但在任何时候，通用寄存器R14~R0、程序计数器PC（即R15）、一个状态寄存器都是可访问的。通用寄存器通用寄存器包括R0~R15,可以分为3类:(1

2015-08-05 15:28:05 916

转载 ARM工作模式

1. 工作状态从编程的角度看，ARM微处理器的工作状态一般有两种，并可在两种状态之间切换：1）第一种为ARM状态，此时处理器执行32位的字对齐ARM指令，绝大部分工作在此状态；2）第二种为Thumb状态，此时处理器执行16位的半字对齐的Thumb指令。ARM微处理器有32位的ARM指令集和16位的Thumb指令集，微处理器可以随时在两种工作状态之间切换，并且，处理器工作状态

2015-08-05 15:21:16 848

转载 ARM汇编中的：比较指令--CMN / CMP / TEQ / TST

1. 简介 CMP / CMN : 算术指令 TEQ / TST ：逻辑指令它们总是会影响CPSR条件标志位. APSR(CPSR)与condition的关系图： 2. CMN -- 比较取负的值 CMN{条件}{P} , status

2015-08-05 14:48:54 17006

转载 Heap Spray原理浅析

Heap Spray定义基本描述Heap Spray并没有一个官方的正式定义，毕竟这是漏洞攻击技术的一部分。但是我们可以根据它的特点自己来简单总结一下。Heap Spray是在shellcode的前面加上大量的slide code（滑板指令），组成一个注入代码段。然后向系统申请大量内存，并且反复用注入代码段来填充。这样就使得进程的地址空间被大量的注入代码所占据。然后结合其他的漏洞攻击技

2015-08-05 10:47:51 1944 1

原创一个感染型木马病毒分析（一）

一、样本信息样本名称：resvr.exe（病毒母体）样本大小：70144 字节病毒名称：Trojan.Win32.Crypmodadv.a样本MD5：5E63F3294520B7C07EB4DA38A2BEA301样本SHA1: B45BCE0FCE6A0C3BA88A1778FA66A576B7D50895电脑中了该病毒的典型的特

2015-08-04 19:00:03 6723 4

Android so加固简单脱壳代码

Android so加固的简单脱壳，也是Android ELF文件格式学习不可不学习的知识内容，想学习Android so加固脱壳和ELF的section重建的同学可以学习一下。

2017-09-27

Art模式下基于Xposed Hook框架脱壳的代码

一份基于Art模式下Xposed Hook框架开发的脱壳工具的代码，对Android加固脱壳感兴趣的同学可以拿来学习参考一下。

2017-09-26

ddi Hook框架代码分析

对Android的java Hook框架ddi代码的分析和学习整理，方便自己查找和学习，对Android ddi Hook框架感兴趣的同学可以下载来看看，希望能帮助到你。

2017-09-12

Android Hook框架adbi源码

已经注释过的Android Hook框架的adbi源码，留给自己也留给需要学习Android系统上的inline Hook的同学。这份adbi源码是作者最新发布的，代码中比较难理解的地方都有注释说明，不排除我理解不到位的地方，希望对想了解adbi hook的同学有帮助。

2017-07-09

andorid so注入

Andorid进程的so注入的框架代码，相比网上其他的Andorid so注入代码更稳定，留给需要的同学，也为了自己备份一下。按照博客中的说明，在eclipse下能够编译成功。

2016-12-26

Android native Hook的源码

Android进程so注入Hook java方法的原理和使用（一）中提到的Android native Hook的源码工程，能够在ubuntu下编译成功，提供给向学习Android的Hook的同学，同时也自己备份一下。

2016-12-24

Android native Hook工具

Android进程so注入Hook java方法的原理和使用（一）中介绍的Android native Hook工具文件，已经在android模拟器上进行Hook测试，能够成功，提供给需要的朋友，也为自己备份一下。

2016-12-24

drizzleDumper工具和源码

android的脱壳drizzleDumper工具的可执行文件和已经详细注释的代码，送给需要的android安全学习的同学，也留给自己，每天进步一点。

2016-12-10

Android 4.4.4源码的.classpath文件

Android 4.4.4源码的.classpath文件，主要用于将Android 4.4.4源码的导入到eclipse工具中，提供给需要学习android源码的同学，也自己顺便记录一下，方便查找。

2016-11-28

ubuntu下boot.img的解包、打包工具

在ubuntu系统下使用，Android系统的boot.img解包、打包工具，对于喜欢折腾Andorid系统的boot.img文件同学比较有帮助，同时也为了方便自己查找工具节省时间。具体的功能的使用可以去看博文http://blog.csdn.net/qq1084283172/article/details/52422205。

2016-09-15