2015年05月_Fly20141201

12月 11月 10月 09月 08月 07月 06月 05月 04月 03月

原创 Android Hook学习之ptrace函数的使用

Synopsis#include sys/ptrace.h>long ptrace(enum __ptrace_request request, pid_t pid, void *addr, void*data);DescriptionThe ptrace() system call provides a means bywhich one process (the "tracer

2015-05-25 11:26:50 3713 1

原创感染性的木马病毒分析之样本KWSUpreport.exe

一、病毒样本简述初次拿到样本 KWSUpreport_感染.exe.v 文件，通过使用PE工具，并不能辨别出该样本是那种感染类型，使用了一个比较直接的方法，从网上查资料，获取到了该样本的正常EXE文件的一些信息，资料表明：KWSUpreport.exe是2009年版金山网盾程序的一个上传用户报告的程序模块，因此从网上下载了该版本的金山网盾程序，获取到了正常的KWSUpreport.

2015-05-23 11:21:12 3181 2

原创 Word/Excel文档伪装病毒-kspoold.exe分析

一、病毒样本基本信息样本名称:kspoold.exe样本大小: 285184 字节样本MD5：CF36D2C3023138FE694FFE4666B4B1B2病毒名称:Win32/Trojan.Spy.a5e 计算机系统中了该病毒一个比较明显的特征就是U盘里的.doc、.xls文件会被病毒隐藏起来，变成kspoold.exe病毒的载体文件，误导用户以为是原来的.d

2015-05-22 09:52:35 3816

原创 CTB-Locker敲诈者病毒下载器分析

一、样本基本信息样本名称：927354529512.scr样本大小：110592 字节病毒名称：Win32.Trojan.Ctb-locker.Auto样本MD5值：3A6D7E551C132AC4C40D95394938F266 二、样本脱壳该样本的出现的时间是2015.5.14日，和今年4月底出现的敲诈者病毒是同一批次，因为下载病毒的网址是一样的

2015-05-16 14:00:05 2848

原创针对中国政府机构的准APT攻击样本Power Shell的ShellCode分析

一、事件回放网络管理员在服务器上通过网络监控软件检测到，有程序在不断向外发包，并且ip地址显示国外的区域，经过相关安全工程师的分析和定位，最确定是微软操作系统上的Power Shell程序出现异常。发现的这个Power Shell程序和微软操作系统上的Power Shell程序不同，出现异常的这个Power Shell会不断的向外发包。经过该安全工程师的分析和反编译程序，最终得到了下面这段关键

2015-05-13 10:58:49 3723 1

原创 CTB-LOCKER敲诈者病毒下载器脱壳之样本1

一、病毒简介CTB-LOCKER敲诈者病毒最初是在国外被发现的，该病毒是有两部分组成分别是下载器部分和文档加密部分。病毒作者将下载器程序部分伪装成邮件附件发送给一些大公司的员工或者高管，当这些人下载了邮件里的附件，解压邮件附件运行如.src等格式的文件以后，电脑里很多格式的文件都会被加密，并且还会出现如下的提示画面（图1）以及桌面壁纸被修改（图2）所示。

2015-05-06 16:02:16 2772

原创淘宝欺骗病毒的鉴定--TaBAccelerate.dll

样本名称：TaBAccelerate.dll样本大小：1135104 字节样本MD5：7AEF6EEECB37685D17F3D9BD76FA9EA0样本SHA1: EB1E5ABA7C37973BAF0576D953E29D515F29EF1C一、查壳在样本的分析和鉴定的时候，不是一拿到样本就开始使用IDA或者OnllyDebug进行反汇编的分析，推荐先用查壳软件

2015-05-05 15:53:37 3574

Android so加固简单脱壳代码

Android so加固的简单脱壳，也是Android ELF文件格式学习不可不学习的知识内容，想学习Android so加固脱壳和ELF的section重建的同学可以学习一下。

2017-09-27

Art模式下基于Xposed Hook框架脱壳的代码

一份基于Art模式下Xposed Hook框架开发的脱壳工具的代码，对Android加固脱壳感兴趣的同学可以拿来学习参考一下。

2017-09-26

ddi Hook框架代码分析

对Android的java Hook框架ddi代码的分析和学习整理，方便自己查找和学习，对Android ddi Hook框架感兴趣的同学可以下载来看看，希望能帮助到你。

2017-09-12

Android Hook框架adbi源码

已经注释过的Android Hook框架的adbi源码，留给自己也留给需要学习Android系统上的inline Hook的同学。这份adbi源码是作者最新发布的，代码中比较难理解的地方都有注释说明，不排除我理解不到位的地方，希望对想了解adbi hook的同学有帮助。

2017-07-09

andorid so注入

Andorid进程的so注入的框架代码，相比网上其他的Andorid so注入代码更稳定，留给需要的同学，也为了自己备份一下。按照博客中的说明，在eclipse下能够编译成功。

2016-12-26

Android native Hook的源码

Android进程so注入Hook java方法的原理和使用（一）中提到的Android native Hook的源码工程，能够在ubuntu下编译成功，提供给向学习Android的Hook的同学，同时也自己备份一下。

2016-12-24

Android native Hook工具

Android进程so注入Hook java方法的原理和使用（一）中介绍的Android native Hook工具文件，已经在android模拟器上进行Hook测试，能够成功，提供给需要的朋友，也为自己备份一下。

2016-12-24

drizzleDumper工具和源码

android的脱壳drizzleDumper工具的可执行文件和已经详细注释的代码，送给需要的android安全学习的同学，也留给自己，每天进步一点。

2016-12-10

Android 4.4.4源码的.classpath文件

Android 4.4.4源码的.classpath文件，主要用于将Android 4.4.4源码的导入到eclipse工具中，提供给需要学习android源码的同学，也自己顺便记录一下，方便查找。

2016-11-28

ubuntu下boot.img的解包、打包工具

在ubuntu系统下使用，Android系统的boot.img解包、打包工具，对于喜欢折腾Andorid系统的boot.img文件同学比较有帮助，同时也为了方便自己查找工具节省时间。具体的功能的使用可以去看博文http://blog.csdn.net/qq1084283172/article/details/52422205。

2016-09-15