Android安全
关注
分享
扫一扫
文章平均质量分 69
ybdesire
Talk is cheap. Show me the code.
展开
-
Android样本Repack重打包检测思路
Android样本重打包检测,可以发现恶意代码注入的情况。检测思路是根据manifest找到tag,或者DEX文件字符串地址偏移顺序。原创 2023-08-31 21:12:55 · 1257 阅读 · 1 评论 -
VirusTotal智能搜索itw查找从github下载的恶意Android样本
一个例子,从VirusTotal查找到新鲜的恶意Android样本,根据itw找到从某个特定网站下载的恶意样本。原创 2023-01-06 22:47:04 · 1867 阅读 · 0 评论 -
Android混淆技术综述
Android的混淆方法(Obfuscation)与 混淆检测方法原创 2022-12-24 22:53:44 · 2613 阅读 · 0 评论 -
常用adb命令记录
记录自己常用的adb命令,记录给自己备忘的原创 2022-12-22 23:13:23 · 1003 阅读 · 0 评论 -
VirusTotal智能搜索安卓样本示例
在Virus Total上搜索Android平台样本的示例原创 2022-03-31 22:56:26 · 3363 阅读 · 0 评论 -
VirusTotal智能搜索
1. VirusTotal介绍从wiki参考4上,可以对VT(VirusTotal)有一个大致了解:VirusTotal.com是一个免费的病毒、蠕虫、木马和各种恶意软件分析服务,可以针对可疑文件和网址进行快速检测,最初由Hispasec维护VirusTotal.com曾在PC World杂志(美国版)的评选中,荣获2007年最优秀的100款产品之一的称号2012年9月7日 Google 已经收购了网络安全创业公司VirusTotal,旨在增强针对自身互联网服务的保护措施2. 智能搜索示例V原创 2021-12-01 21:46:20 · 1433 阅读 · 0 评论 -
每月更新一次的恶意软件排名榜单
1. 引入我们知道,编程语言流行度,会由TIOBE(参考1)每个月发布一次,能从中看到多种编程语言受欢迎程度的排名。在恶意软件领域,有没有类似TIOBE的榜单排名呢?笔者近期就发现了checkpoint公司有做这样的恶意软件排名,信息也是每个月更新一次。2. checkpoint详细的榜单排名,发布在checkpoint的博客(参考3)中。但其博客中发布的信息比较多,不方便检索,所以可以从参考2的链接中,点击年份,搜索关键字“Most Wanted Malware”,就能找到榜单概要。点击标题原创 2021-06-01 23:15:30 · 293 阅读 · 0 评论 -
详解APK静态分析引擎`quark-engine`的5大功能
1. 引入2020年8月,在DEFCON 28大会上(参考3),发布了一个开源的"Android malware analysis engine",名字叫quark-engine(参考1)。这是台湾“財團法人電信技術中心”(参考2)开发的一个工具。该项目的开发者列表见参考7,目前主要活跃的开发者(负责人)是JunWei Song(参考3,参考5)。这个APK静态分析引擎,有以下几个特点:scoring system,能直接给出恶意度得分neglect certain cases of obfusc原创 2021-05-25 23:32:31 · 3335 阅读 · 1 评论 -
dhash计算源码分析
1. dhash参考1中,给出了一种相似图片搜索中,能用于计算图像hash值的算法,叫做dhash。用dhash计算图片hash,既能兼顾计算效率,又能兼顾准确率。那么好的东西,也已经有开源版本实现了,见参考2。2. dhash lib的用法参考2给的lib,根据其readme,得到在python中用法如下:import dhashfrom PIL import Imagedef get_dhash(img_path): image = Image.open(img_path)原创 2021-04-01 22:34:48 · 693 阅读 · 0 评论 -
介绍一个可以轻松下载病毒样本的数据库
引入病毒样本有一些知名的数据集,但一般这些数据集中的样本都比较老,并且申请这些数据集的流程复杂,耗时长。有的数据集只有meta信息,没有完整的样本。而病毒样本又是各大安全公司的资产,研究者也不会轻易拿到新样本。所以病毒样本的收集是比较麻烦的。MalwareBazaar Database从如下介绍,可以看出,MalwareBazaar数据库是与安全产商合作后,构建的一个公开的病毒样本数据库。MalwareBazaar is a project operated by abuse.ch. The p原创 2020-09-30 11:24:45 · 28892 阅读 · 4 评论 -
用Androguard静态检测APK行为:收集手机号
1. 引入有些APK运行后,会收集你的手机号。有收集手机号这种行为的APP,就有可能把你的手机号泄露出去。那么,如何用一段python代码,来检测APK是否有这种收集手机号的行为呢?2. 原理从参考1中,我们可以知道,只要你写APP时,满足如下两个条件,就会让你的APP有收集本机手机号的行为。在manifest中添加如下权限<uses-permission android:name="android.permission.READ_PHONE_STATE"/> 在java中原创 2020-09-06 22:07:17 · 1007 阅读 · 1 评论 -
MITRE知识库中Android行为列表
1. 引入MITRE ATT&CK的介绍来看,它是一个攻击者(adversary)策略(tactic)知识库(knowledge base of adversary tactics and techniques)。该框架理顺了攻击者渗透网络、入侵主机、提升权限、隐秘移动和渗漏数据的攻击链。它从整个攻击路径的顺序,对企业级平台和移动平台都做了详细的说明。不同的操作系统都有不同的攻击方式,所以它对Windows,macOS,Linux,Cloud,Android和iOS都有相应的描述。以Androi原创 2020-06-30 23:28:16 · 740 阅读 · 1 评论 -
java源代码转jar包
引入jar文件具有跨平台、数据压缩、多文件封装的优点,所以我们常将java源程序和其他的文件(比如资源文件、签名)打包到一起,变成jar包。这样对java程序的部署会更方便,也更安全。用IDEA等IDE,可以直接将java文件转换为jar包。本文讲解如何用JDK命令来转换。本文实验环境windows10JDK最简单的jar包jar包中可以含有很多文件(具体见[1]),最简单的ja...原创 2020-03-05 21:21:11 · 5152 阅读 · 0 评论 -
将java文件转换为DEX并在Android真机运行
引入DEX文件在Android中很重要,它与APK瘦身、热修复、插件化、应用加固、逆向工程、64K方法数限制都有关系[1]。所以,我们先来认识一下本文的主角,DEX文件。Dalvik虚拟机在Android中的作用,与JVM在Linux中的作用类似。我们用java语言来开发Android程序,但Android的Dalvik并不能直接运行java字节码(.class文件)。所以需要把.class...原创 2020-02-12 21:03:36 · 2041 阅读 · 0 评论 -
APK反编译后插入调试代码动态运行
1. 引入当我们拿到一个APK,没有源代码,该怎么样去研究APK的核心逻辑呢?限于运行环境的复杂,我们会首先使用静态分析的方式,大概可以想出这样一些静态分析APK的方法:用apktool直接将APK转换为smali程序,再阅读smali代码(比较痛苦)用dextojar将APK中的DEX转换为jar,再用JD-JUI来查看其java代码用JEB,直接查看java或smali(...原创 2020-01-07 22:53:14 · 3612 阅读 · 0 评论 -
在python中直接调用androguard
如何在自己的python代码中直接调用androguard的函数。原创 2016-08-22 20:54:40 · 6382 阅读 · 8 评论 -
Android恶意软件特征及分类
Android恶意软件具备的特征,恶意软件分类原创 2016-10-08 23:44:16 · 16477 阅读 · 7 评论 -
详解Androguard静态分析APK方法
用Androguard分析APK的原理与示例。原创 2016-09-22 22:56:19 · 15657 阅读 · 1 评论 -
Android广告SDK的Package
记录一些Android中的adware package原创 2017-01-18 20:43:20 · 2917 阅读 · 0 评论 -
最流行的10种Android恶意软件类别解释
Android恶意软件的专业分类方法,比如GinMaster,Geinimi,你认识吗?原创 2017-02-10 23:04:52 · 6092 阅读 · 0 评论 -
详细分析CVE-2011-1149 (KillingInTheNameOf)
CVE-2011-1149 (KillingInTheNameOf)这个漏洞是2011年发现的。利用它能让ADB获取root权限。这个漏洞存在于Android<=2.2。从adb的源码中,可以看到db的权限由属性ro.secure来控制。property_get("ro.secure", value, "1");if (strcmp(value, "1") == 0) {...原创 2018-03-24 22:34:06 · 569 阅读 · 0 评论 -
Windows下用Charles对Android抓包HTTPS
摘要Android系统下的App都访问了哪些网络数据呢?用Charles抓包就能看到,甚至连HTTPS传输的数据都一览无遗。 本文详细讲解整个配置过程。步骤首先,确保你的Android手机和Windows系统都连接上了同一个WiFi。(1)下载Windows版本的Charles(2)安装好后,Proxy->Proxy Settings,设置如下 (3)在Wind...原创 2018-06-09 21:02:42 · 18054 阅读 · 0 评论 -
从源码分析来理解R.id.mybutton
摘要本文带你用android命令和ant,生成Android项目,并找到R.id.mybutton的源码1. 引言我们写Android程序时,经常会通过findViewById(R.id.mybutton)来获取View,如下:Button button = (Button)findViewById(R.id.mybutton);findViewById()的用法见官方...原创 2018-07-11 21:43:19 · 1157 阅读 · 0 评论 -
Gartner对移动设备应用的一个预测
正文从一篇博客[1]中,窥得一个Gartner的预测结论:Gartner predicts that 80% of worker tasks will take place on a mobile device by 2020.这个预测是写在这篇报告中的:(Gartner, “Prepare for Unified Endpoint Management to Displace MDM an...原创 2019-03-20 09:36:58 · 472 阅读 · 0 评论 -
IDA动态调试Android进程的配置步骤
确保ADB能正常连接手机(装了AndroidStudio后,ADB位于C:\Users\xxx\AppData\Local\Android\Sdk\platform-tools)把IDA中的\dbgsrv\android_server复制到手机adb rootadb push C:\ida\dbgsrv\android_server /data/local/tmp/and...原创 2019-09-02 20:56:44 · 1311 阅读 · 0 评论 -
MITRE ATT&CK安全知识库介绍
1. 引入通过学习MITRE ATT&CK,能快速对安全领域做一个全面的了解。本文只是对MITRE ATT&CK做一个初步介绍,更深入的内容后续还会再写。2. MITRE是什么从wikipedia[1]上可以看到介绍:The Mitre Corporation (stylized as The MITRE Corporation and MITRE) is an Amer...原创 2019-09-26 21:18:04 · 15026 阅读 · 1 评论 -
反编译后的APK重新签名
反编译后的APK重新签名原创 2016-09-11 19:27:12 · 5439 阅读 · 1 评论