- 博客(104)
- 资源 (8)
- 收藏
- 关注
原创 windows下越狱iphone X笔记2
之前写越狱iphoneX的笔记,那种方式已经失效,通过Unic0ver的方式也失效了,官方封了impactor,其中如果有mac os那方式还是很多的,使用checkra1n,如果没有mac,可以搭建mac虚拟机,也可以使用接下来的方式,总结就3步:1.使用Tansmac将dmg镜像写入U盘,U盘16-32G2.U盘方式启动电脑3.按照提示进行操作即可越狱有风险,造成的问...
2020-01-09 20:47:52 1576
原创 android ctf 密码破解
目录1.样本概况... 31.1 样本信息... 31.2 测试环境及工具... 31.3 分析目标... 32.具体分析... 42.1 加固情况... 42.2 代码片段分析... 41.样本概况1.1 样本信息名称:dc3c4ec3ea5b7de2de4feb122e33b1a2e91d9ffaMD5值:5d21be09f3a1fcf545afaf...
2019-01-27 10:25:12 1083
原创 jscrack
目录1.样本概况... 31.1 样本信息... 31.2 测试环境及工具... 31.3 分析目标... 32.具体分析... 32.1 加固情况... 32.2代码分析片段... 31.样本概况1.1 样本信息名称:c1f5b41d501c7f34cdbea33e3450bfc6a684284bMD5值:112c5071360e22a2ae7b3...
2019-01-27 10:11:22 546 1
原创 android病毒样本分析(红包助手)
目录1.样本概况... 31.1 样本信息... 31.2 测试环境及工具... 31.3 分析目标... 32.具体分析... 42.1 加固情况... 42.2代码分析片段... 43.总结... 61.样本概况1.1 样本信息名称:637d46139b0c787be824feb347e852b34ddc9176MD5值:007f3f44cc4e...
2019-01-26 18:31:31 1103
原创 android病毒分析(久秒名片点赞)
目录1.样本概况... 31.1 样本信息... 31.2 测试环境及工具... 31.3 分析目标... 32.具体分析... 32.1 加固情况... 32.2代码分析片段... 33.总结... 71.样本概况1.1 样本信息名称:958b1e341c72dbcf52863c570b77c71a862987b1MD5值:8123ac1150b4...
2019-01-26 18:24:07 714
原创 android样本分析(Wifi穷举神器)
目录1.样本概况... 31.1 样本信息... 31.2 测试环境及工具... 41.3 分析目标... 42.具体行为分析... 52.1 主要行为... 52.1.1 恶意程序对用户造成的危害... 52.1.2 恶意程序在Androidmanifest.xml中注册的恶意组件... 52.2 恶意代码分析... 62.1 加固后的恶意代码树结构图(是...
2019-01-26 18:15:54 952
原创 ollvm编译笔记
1.下载llvm4.0 2.安装ndk,版本信息为 添加环境变量 export NDK_HOME=/opt/android/ndk/android-ndk-r10b export PATH=$NDK_HOME:$PATH 3.准备编译ollvm的环境 安装编译工具 apt-get install cmake...
2019-01-26 18:08:45 2418 1
原创 miasm简单配置笔记
1.windows+ida环境配置进入自己的ida目录下,D:\IDA_Pro_v7.0_Portable\python27,执行pip install pyparsing命令安装pyparsing.py执行pip install elfesteem命令安装elfesteemmiasm2/miasm2 目录copy到 D:\IDA_Pro_v7.0_Portable\pytho...
2019-01-26 17:52:15 1194 1
原创 iphone X 越狱笔记
1.去苹果官网下载iTunes2.下载安装ipa文件的工具cydia Impactor_0.9.44和cydia Impactor_0.9.43,2个版本,http://www.cydiaimpactor.com/ 0.9.43用来签名,0.9.44用来安装ipa文件,这是因为0.9.44存在bug3.去https://coolstar.org/electra/下载对应版本的ipa...
2019-01-26 17:47:34 1710 2
原创 钓鱼邮件病毒分析
1.该病毒通过outlook邮件附件进行传播,拿到样本后是一个word文档 2.打开文档后显示vb代码下端点调试得到一段cmd的运行命令, 该命令被混淆了,需要对命令串进行解密还原,解密后如下所示: 样本链接和服务器地址都可以分析出来,通过该链接将下载正真的病毒的可执行文件。对于正真的病毒可执行文件未做分析,难度也不大。 ...
2019-01-26 17:25:07 739
原创 企业壳反调试分析及hook检测分析
一年前分析的帖子,懒得又搬运一次了,给出freebuf链接https://www.freebuf.com/articles/system/160656.html
2019-01-26 17:10:43 430
原创 ali CTF分析笔记
拿到样本通过dex2jar工具将dex转为jar包,然后将java代码复制出来进行修复,修复过程如下,代码量太大,但是最开始不清楚逻辑所以只能用这种笨办法了。 public static /* synthetic */ String getClassName(String str) { char[] toCharArray = str.toCharArray...
2019-01-26 16:58:16 361
原创 upx入门学习笔记
一、开始 Upx是一款开源免费的跨平台的压缩壳,因此作为学习目的还是很不错的,具体upx的介绍可以查看其官网(链接见参考),通过学习upx更好的了解elf文件的加壳思路和方式,另外本文也只是对学习过程做一个记录,如有疏漏或错误之处,请多指教,学习交流。二、分析点 主要分析32位linux下可执行文件的加壳方式,目的是分析清楚upx的加壳流程和加壳思路...
2019-01-26 16:37:16 3410
转载 文章分享—了解Linux可执行文件的内存布局
原文转自:https://gist.github.com/CMCDragonkai/10ab53654b2aa6ce55c11cfc5b2432a4了解Linux可执行文件的内存布局调试内存所需的工具:hexdump objdump readelf xxd gcore strace diff cat我们将通过这个:https://sploitfun.wordpress....
2018-10-23 15:38:53 1271
原创 Frida hook笔记
Frida学习笔记1. 下载frida的服务端https://github.com/frida/frida/releases2.解压出来后,使用adb命令上传至手机的/data/local/tmp目录下,并修改名称,防止反frida检测 adb push frida-server /data/local/tmp/ adb shell chmod 777 fri...
2018-09-26 17:05:30 1477
原创 基于android6.0逆向环境搭建笔记(含补充android8.0的笔记)
文档下载:https://download.csdn.net/download/u011337769/10688637 补充android 8.0编译内核时的笔记,使用的设备是nexus 5X1.该设备为64为设备,在进行交叉编译时需要选择64位的编译器2.下载内核源码地址:git clone https://aosp.tuna.tsinghua.edu.cn/kernel/...
2018-09-26 15:43:00 314
原创 轻松搭建Xposed Hook
0x1.打开AS建立一个没有界面的空工程,然后在清单文件中添加如下代码:<application android:allowBackup="true" android:icon="@mipmap/ic_launcher" android:label="@string/app_name" android:supportsRtl="true" android:the...
2018-08-05 13:28:38 6337 2
原创 Ubuntu下使用gdb远程调试android native程序笔记
使用gdb远程调试android native程序1.准备工作:android native程序:demoandroid 上运行的调试工具:gdbserver,该程序位于ndk目录/prebuilt/android-arm/gdbserver/gdbserverpc上的调试工具:gdb,该程序位于ndk目录/prebuilt/linux-x86_64/bin/gdb2.编译native程序添加编译...
2018-03-21 13:34:06 681
原创 ubuntu下使用NDK编译可执行程序的环境搭建
1.首先是通过下面链接的高级方法生成自定义编译的工具链 https://developer.android.google.cn/ndk/guides/standalone_toolchain.html#wwc2.编写c源码3.使用下面命令编译arm-linux-androideabi-gcc -o hello hello.c -fPIE -pie --target=mandroid –static...
2018-03-21 13:25:32 614
翻译 Linux 中 man elf 命令翻译
Linux 中 man elf 命令翻译 说明:英语好的同学还是推荐去看英文吧。 命令:man elf 链接:https://download.csdn.net/download/u011337769/10299449
2018-03-21 11:23:51 407
原创 Android简单病毒分析(样本名:百变气泡)
病毒分析 - 百变气泡1.样本信息病毒名称:126b25e8e9ea5c7cfd3eddc4c500d69bb9cbd821所属家族:无MD5值:e7c653a4195cd36f27933b4ef1fe8328SHA1值:126b25e8e9ea5c7cfd3eddc4c500d69bb9cbd821CRC32:5f1096a3病毒行为:a)程序启动后的主界面如
2017-08-28 11:06:08 1455
原创 简单CrackMe分析(样本名:ReverseMe)
1.首先基本套路,安装运行,确定目标,然后查壳,反编译2..没有加壳,直接对样本进行调试,获取反编译后/lib目录下的libcheck.so文件,通过readelf -a *.so 命令获取文件信息,找到INIT_ARRAY段的偏移,如下图所示:3.通过IDA找到INI_ARRY的偏移处,如图所示:4.进入函数中,记录下地址,并在此处下断点,然后开始附加调试
2017-08-27 10:38:24 667
翻译 IDAPython手册
IDAPython 手册(翻译by y0n)介绍这是一本关于IDAPython的手册,我最初写它是作为自己参考的,在我通常使用IDAPython(忘记了)我想在某处能找到函数的例子。自从我开始这本书以来,我多次使用它作为快速参考来理解语法或者查看一些例子代码。如果你跟随我的博客,你可能会注意到一些熟悉的面孔–很多脚本,我在下面贴出了一些在线实验的结果。多年来,我收到许多电子邮件
2017-08-20 15:00:23 6855 2
原创 IMusicPlayer网络音乐播放器_协议分析(二)
1.应用程序信息通过浏览器访问https://m.y.qq.com/,界面如下图所示:应用程序名称:哈希值MD5值:无SHA1值:无简单功能介绍:主要功能有个页面,推荐,排行榜,搜索等网页相关信息:wap网页2.分析环境及工具系统环境:win10 64位工具:chrome浏览器(开发者工具)3.分析目标分析其中的搜索功能,获取
2017-08-20 14:18:40 727
原创 内购游戏破解
内购单机游戏破解思路:0x0.首先对游戏进行运行,发现模拟器直接卡死,然后换了一个模拟器就可以了,点击内购的礼包,购买提示信息如下图所示,如果使用手机也有可能是直接卡死不弹出对话框(android 7.0游戏会闪退)。0x1.通过搜索对话框中的文字并没有什么收获,还是直接打开AK搜“Success”看看是否有所收获,通过分析,关键信息如图所示:0x3.修
2017-07-27 10:54:35 3830 1
原创 ELF解析
了解了elf文件格式之后,最好的方式就是手动写一个自动解析elf文件的工具,目的在于进一步熟悉elf文件格式,然后进行思考后大致思路如下: 0x0.设计界面 对于界面设计,采用了QT的设计师,快速构建满足需求的界面 0x1.解析文件头 从文件中读取二进制数据保存再全局buf中,首先需要判断魔数,为elf文件则继续解析,再根据结构进行读取/* The EL
2017-07-26 21:07:28 695 1
转载 了解mian函数
题目:#include "stdio.h"void print(){//请在此函数中写入相关代码}void main(){//不能写入任何代码} 要求在print函数中写代码使整个程序运行后输出“hello world”注意mian中不能写入任何代码,包括调用print函数。参考代码:#include "stdio.h"extern
2017-07-25 19:59:13 715
转载 C++内存对齐规则
C++内存对齐规则 每个特定平台上的编译器都有自己的默认“对齐系数”(也叫对齐模数)。程序员可以通过预编译命令#pragma pack(n),n=1,2,4,8,16来改变这一系数,其中的n就是你要指定的“对齐系数”。 对齐规则: 1、数据成员对齐规则:结构(struct)(或联合(union))的数据成员,第一个数据成员放在offset为0的地方,以后每个数据成员的对齐按照 #
2017-07-25 19:54:40 294
转载 通过崩溃地址找出源代码的出错行(未实践)
通过崩溃地址找出源代码的出错行 在Windows XP下程序崩溃是会出现,“该程序执行了非法操作,即将关闭。请与你的软件供应商联系。”,有的时候,自己的程序在自己的机器上运行得好好的,但是到了别人的机器上就崩溃了;有时自己在编写和测试的过程中就莫名其妙地遇到了非法操作,但是却无法确定到底是源代码中的哪行引起的……是不是很痛苦呢?通过这个教程学习,就可以精确地定位到 源代码中出错的
2017-07-25 19:52:11 353
转载 学习笔记(C++中基础数据类型在内存的表现形式)
一、整数类型C++提供的整数类型有三种:int long short ,在Microsoft Visual C++ 6.0中,int类型与long类型在内存中都占4个字节,short类型占两个字节。 在C++中整数类型又可以分为有符号与无符号类型两种。无符号整数 在内存中,无符号整数的所有位都用来表示数值。以无符号整数型数据unsigned int 为例,它在内存中占4个字
2017-07-25 19:33:45 1482
原创 win32汇编Demo_电话本
使用win32汇编实现一个电话本DemoPhoneBook.incinclude windows.incinclude kernel32.incinclude user32.incinclude Comctl32.incinclude shell32.incincludelib kernel32.libincludelib user32.libincludelib Com
2017-07-06 20:38:03 561
转载 20_ARM汇编自学笔记程序设计之汇编格式
在汇编语言程序中常用的符号程序中的变量是指其值在程序的运行过程中可以改变的量程序中的常量是指其值在程序的运行过程中不能被改变的量程序中的变量可通过代换操作取得一个常量代换操作符为“$”。 汇编语言程序中的表达式和运算符“+”、“-”、“×”、“/” 及“MOD”算术运算符X:MOD:Y 表示 X 除以 Y 的余数。“ROL”、“ROR”、“SHL”及“SHR”移位运
2017-07-06 19:30:38 417
转载 19_ARM汇编自学笔记程序设计之汇编控制
汇编控制(Assembly Control)伪指令I F、ELSE、ENDI FGBLL Test ;声明一个全局的逻辑变量,变量名为 Test⋯⋯IF Test = TRUE指令序列 1ELSE指令序列 2ENDIF WHI LE、WENDGBLA Counter ;声明一个全局的数学变量,变量名为 CounterCount er SETA
2017-07-06 19:26:21 340
转载 18_ARM汇编自学笔记程序设计之符号定义&数据定义伪指令
四,ARM程序设计符号定义(Symbol Definition)伪指令GBLA、GBLL和 GBLSGBLA Test1 ;定义一个全局的数字变量,变量名为Test1Test1 SETA 0xaa ;将该变量赋值为 0xaaGBLL Test2 ;定义一个全局的逻辑变量,变量名为Test2Test2 SETL {TRUE} ;将该变量赋值为真GBLS
2017-07-06 19:24:28 1079
转载 17_ARM汇编自学笔记指令系统之异常产生指令
异常产生指令ARM 微处理器所支持的异常指令有如下两条:— SWI 软件中断指令— BKPT 断点中断指令1、SWI 指令SWI 指令的格式为:SWI {条件} 24位的立即数SWI 指令用于产生软件中断,以便用户程序能调用操作系统的系统例程。操作系统在 SWI 的异常处理程序中提供相应的系统服务,指令中 24 位的立即数指定用户程序调用系统例程的类型,相关参数通过通用寄
2017-07-06 19:23:07 526
转载 16_ARM汇编自学笔记指令系统之协处理器指令
协处理器指令ARM 微处理器可支持多达 16 个协处理器,用于各种协处理操作,在程序执行的过程中,每个协处理器只执行针对自身的协处理指令,忽略 ARM 处理器和其他协处理器的指令。ARM 的协处理器指令主要用于 ARM 处理器初始化 ARM 协处理器的数据处理操作,以及在ARM 处理器的寄存器和协处理器的寄存器之间传送数据,和在 ARM 协处理器的寄存器和存储器之间传送数据。ARM 协处理器指
2017-07-06 19:21:59 374
转载 15_ARM汇编自学笔记指令系统之移位指令(操作)
移位指令(操作)ARM微处理器内嵌的桶型移位器(Barrel Shi f t er),支持数据的各种移位操作,移位操作在ARM指令集中不作为单独的指令使用,它只能作为指令格式中是一个字段,在汇编语言中表示为指令中的选项。例如,数据处理指令的第二个操作数为寄存器时,就可以加入移位操作选项对它进行各种移位操作。移位操作包括如下 6种类型,ASL 和 LSL 是等价的,可以自由互换:— LSL
2017-07-06 19:19:31 1671
转载 14_ARM汇编自学笔记指令系统之数据交换指令
数据交换指令ARM 微处理器所支持数据交换指令能在存储器和寄存器之间交换数据。数据交换指令有如下两条:— SWP 字数据交换指令— SWPB 字节数据交换指令1、SWP指令SWP指令的格式为:SWP{条件} 目的寄存器,源寄存器 1,[ 源寄存器 2]SWP指令用于将源寄存器 2所指向的存储器中的字数据传送到目的寄存器中,同时将源寄存器 1中的字数据传送到源寄存器 2所指
2017-07-06 19:17:46 1603
转载 13_ARM汇编自学笔记指令系统之批量数据加载存储指令
批量数据加载/存储指令ARM 微处理器所支持批量数据加载/存储指令可以一次在一片连续的存储器单元和多个寄存器之间传送数据,批量加载指令用于将一片连续的存储器中的数据传送到多个寄存器,批量数据存储指令则完成相反的操作。常用的加载存储指令如下:— LDM 批量数据加载指令— STM 批量数据存储指令LDM(或 STM)指令LDM(或 STM)指令的格式为:LDM(或 STM){
2017-07-06 19:14:49 1346
转载 12_ARM汇编自学笔记指令系统之加载存储指令
加载/存储指令ARM 微处理器支持加载/存储指令用于在寄存器和存储器之间传送数据,加载指令用于将存储器中的数据传送到寄存器,存储指令则完成相反的操作。常用的加载存储指令如下:— LDR 字数据加载指令— LDRB 字节数据加载指令— LDRH 半字数据加载指令— STR 字数据存储指令— STRB 字节数据存储指令— STRH 半字数据存储指令1、LDR指令
2017-07-06 19:12:58 390
jni_all.gdt
2020-01-03
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人