分类目录归档:逆向分析

矛与盾 | 二进制漏洞攻防思想对抗【转】

矛与盾 | 二进制漏洞攻防思想对抗

2017-02-22 泰格实验室 FreeBuf

*本文原创作者:泰格实验室,本文属FreeBuf原创奖励计划,未经许可禁止转载

有人的地方就有江湖,有江湖的地方就有争斗,有争斗就有攻防。人类争斗最初是利用拳脚,冷兵器时代是刀枪,热兵器时代是枪炮,而在计算机平台上,人们的武器换成了——代码。

注:本文注重漏洞攻防的思路对抗过程,因此并未完全按照时间先后顺序描述防护措施。

0×0二进制漏洞

发表在 安全教学, 未分类, 逆向分析 | 矛与盾 | 二进制漏洞攻防思想对抗【转】已关闭评论

三六零 so加壳 动态脱法

环境及工具
手机    :  中兴 U887
系统版本:    Android 2.3.5
工具    :    …

发表在 Android, 逆向分析 | 标签为 , | 三六零 so加壳 动态脱法已关闭评论

吾爱破解安卓逆向入门教程

一、环境配置

我们需要哪些环境?(新手版)

1 java jdk: 首先我们要理解,安卓是基于java语言开发的一种应用程序,在开发时依赖于java的jdk环境,因而在逆向时也同样需要使用。

2 反编译工具:目前安卓的逆向工具也逐渐成熟,不过对于新手,我还是推荐较为傻瓜式的编译工具,如ApkIDE(改之理)及AndroidKiller两款软件,这两款软件都集成了很多功能,对于一款简单的apk,只要使用其中一款工具就可以完成修改。

到哪儿可以下载到这些工具?

1

发表在 逆向分析 | 标签为 , , | 吾爱破解安卓逆向入门教程已关闭评论

手把手教你逆向分析 Android 程序【转】

很多人写文章,喜欢把什么行业现状啊,研究现状啊什么的写了一大通,感觉好像在写毕业论文似的,我这不废话,先直接上几个图,感受一下。

 

第一张图是在把代码注入到地图里面,启动首页的时候弹出个浮窗,下载网络的图片,苍老师你们不会不认识吧?

第二张图是微信运动步数作弊,6不6?

ok,那我们从头说起……

 

1.反编译

Android 的反编译,相信大家都应该有所了解,apktool、JEB 等工具。…

发表在 Android, 逆向分析 | 标签为 , , | 手把手教你逆向分析 Android 程序【转】已关闭评论

BurpSuite和Fiddler串联使用解决App测试漏包和速度慢的问题[转]

前言

没什么技术含量,就是一个小tips,请轻喷,大侠们有什么更好的也欢迎分享讨论。

问题

在实际的测试过程中,我一直使用BurpSuite,但是在使用它进行Android App的测试时发现有两种不好的情况:

  1. 使用了burp的代理后,响应速度明显降低,有的App对响应时间有要求,待到响应包返回后,页面已经显示超时,无法完成测试。
  2. 第二种情况更是糟糕,就是出现抓不到包的情况。在MottonIN的群也有小伙伴反映过相同的情况;官方论坛也有人遇到:http://forum.portswigger.net/thread/1115

解决方案

经过反复尝试,找到了如下的解决方法:

手机wifi设置代理

发表在 逆向分析 | 标签为 , , | BurpSuite和Fiddler串联使用解决App测试漏包和速度慢的问题[转]已关闭评论

Binwalk:后门(固件)分析利器【转】

近期网络上爆发的厂商固件后门漏洞,如D-LINK  腾达路由器后门时用到的分析工具是Binwalk,最近又更新到最新版本。周五抽空翻译了下工具使用方法和例子。

Binwalk介绍

Binwalk是一个固件分析工具

发表在 未分类, 逆向分析 | 标签为 | Binwalk:后门(固件)分析利器【转】已关闭评论

西数硬盘固件调试与逆向分析【转】

西数硬盘固件调试与逆向分析

一、背景

去年为了分析方程式组织那个入侵硬盘固件的组件,在分析西部数据硬盘固件时遇到点问题,偶尔在hddguru上发现的一次讨论文,对我的分析起到很大帮助。就将此次讨论整理翻译成文,同时也当作为我个人的学习笔记。现分享出来,感兴趣者共学之。

基本思路总结:

1.分析PCB,找到JTAG接口

2.使用调试器连接JTAG调试分析

3.dump Flash,这里作者的FLASH似乎没有设置保护,可以直接就dump了。

4.分析FLASHdump文件.有一些意外的东西发现就是flash中提供有可以通过串口进行访问可以任意读写任意地址,这也算是一个硬盘后门啊,邪恶的可以做多少事儿,但是前提是你必须拿到硬盘,修硬盘的可以方便给你植入病毒了。

5.分析bootloader格式和kernel格式。…

发表在 经验技术, 逆向分析 | 西数硬盘固件调试与逆向分析【转】已关闭评论

影响所有Nexus手机的漏洞,浅析CVE-2015-1805[转]

影响所有Nexus手机的漏洞,浅析CVE-2015-1805

2016-03-24 13:37:02 来源:360VulpeckerTeam 作者:360安全卫士
阅读:22821次 点赞(10) 收藏(8)


分享到:

发表在 Android, 逆向分析 | 标签为 , , , , , | 影响所有Nexus手机的漏洞,浅析CVE-2015-1805[转]已关闭评论

百脑虫之hook技术【转】

百脑虫之hook技术

Author:360移动安全团队

0x00 背景


2015年末爆发了感染量过百万的“百脑虫”手机病毒,经过360移动安全团队深入的跟踪和分析,我们又发现了病毒的另一核心模块,此模块包括3个ELF系统文件configpppm、configpppi、configpppl和一个伪装成系统应用的核心apk文件以及一个configpppl.jar文件。我们发现这些模块都使用之前发现的conbb(configopb)执行命令。在新发现的模块中,病毒使用了更高超的技术,可以在用户毫无察觉的情况下修改短信内容恶意扣费,从而非法获益。

0x01

发表在 Android, 攻击经验, 资源收集, 逆向分析 | 标签为 , , | 百脑虫之hook技术【转】已关闭评论

黑暗幽灵(DCM)木马详细分析[转]

1、背景

只要插上网线或连上WIFI,无需任何操作,不一会儿电脑就被木马感染了,这可能吗?近期,腾讯反病毒实验室拦截到一个“黑暗幽灵”木马的新变种,该木马功能强大,行为诡异,本文将对其进行详细分析,以下是该木马的主要特点: 

1)木马功能强大,主要以信息情报收集为主,能够监控监听大量的聊天软件,收集网络访问记录、监控Gmail、截取屏幕、监控麦克风和摄像头等。

2)木马对抗性强,能够绕过几乎全部的安全软件主动防御,重点对抗国内安全软件,能够调用安全软件自身的接口将木马加入白名单,作者投入了大量的精力逆向研究安全软件。

3)木马感染方式特别,通过网络劫持进行感染,主要劫持主流软件的自动更新程序,当这些软件联网下载更新程序时在网络上用木马替换,导致用户无感中毒。

4)木马通讯方式特别,木马将数据封装成固定包头的DNS协议包,发送到大型网站来实现数据传输,此方法可以绕过几乎全部的防火墙,但是黑客要截取这些数据,必须在数据包的必经之路上进行嗅探拦截,结合木马的感染方式,可以推测出在受害者网络链路上存在劫持。

5)木马攻击范围较小,针对性强,且持续时间长达数年,符合APT攻击的特性。

2、木马行为概述

2.1 来源与传播途径

发表在 Windows, 逆向分析 | 标签为 , , , | 黑暗幽灵(DCM)木马详细分析[转]已关闭评论