| 时间 | 节点 | |
|---|---|---|
| 2021-02-25 15:15:07 | 看雪论坛 | |
| 2021-02-25 15:15:06 | 看雪论坛 | 直接上图,希望大家参考和补充,导图软件用的思创脑图,附件有原文件。 |
| 2021-02-25 14:55:06 | 看雪论坛 | |
| 2021-02-25 14:55:06 | 看雪论坛 | |
| 2021-02-25 14:55:06 | 看雪论坛 | |
| 2021-02-25 14:55:06 | 看雪论坛 | |
| 2021-02-25 14:55:06 | 看雪论坛 | 简单总结二进制漏洞分析的个人认为需要掌握的技能表,由于本人才疏学浅,技术积累存在盲点,希望各位二进制漏洞分析的大师傅多多提出意见,大家一起来丰富该脑图,为看雪中想从事二进制漏洞分析的新人朋友提供一点建议。 现对其中部分内容做简单说明: 重视基础 二进制方向十分看中基础 ... |
| 2021-02-25 14:55:06 | 看雪论坛 | 0x0 前言 Windows10的新功能内存分区,这两天感兴趣想了解一下,加上逆向360VT已接近尾声,所以今天抽出一点时间来学习,网上未找到相关资料,导致下面的分析仅是个人观点,用来抛转引玉, ... |
| 2021-02-25 14:55:06 | 看雪论坛 | 0.前言在日常分析工作中, 面对一个全新的样本, 分析师们总是喜欢首先进行初级的静态分析来熟悉样本功能, 这其中就包含了对字符串、资源、导入表等数据的观察. 恶意代码编写者们为了混淆分析师的视线, 经常将一些敏感的字符串、资源数据进行各式各样的加密后进行存储, 在代码运行时再通过解密函数进行 ... |
| 2021-02-25 11:15:01 | 看雪论坛 | |
| 2021-02-25 11:15:01 | 看雪论坛 | |
| 2021-02-25 09:32:38 | 看雪论坛 | |
| 2021-02-25 09:32:37 | 看雪论坛 | VML的全称是Vector Markup Language(矢量可标记语言),其基于XML,矢量图形——意味着图形可以任意放大缩小而不损失图形的质量。VML相当于IE里面的画笔,能实现你所想要的图形,而且结合脚本,可以让图形产生动态的效果。(不仅是IE,Microsoft Office同样支持VML) |
| 2021-02-24 18:25:04 | 看雪论坛 | 近日,国外网友Hector Martin和Longhorn在其发布的Twitter帖子中提到,他们的SSD总写入数在几个月内达到了一个异常高的数值,固态硬盘磨损过大,可能会导致机器寿命降低。 |
| 2021-02-24 14:44:52 | 看雪论坛 | 最近学了点ollvm相关的分析方法,正好之前朋友发我一个小demo拿来练练手。看上去很简单,就是找flag用jadx打开发现加壳了,然后想试试直接用fridadexdump脱壳的时候发现frida上就崩了 |
| 2021-02-24 13:45:40 | 看雪论坛 | |
| 2021-02-24 13:37:39 | 看雪论坛 | 最近学了点ollvm相关的分析方法,正好之前朋友发我一个小demo拿来练练手. 看上去很简单 就是找flag用jadx打开发现加壳了 然后想试试直接用fridadexdump脱壳的时候发现frida上就崩了 上葫芦娃的strongfrida 直接重启了 ... |
| 2021-02-24 09:44:41 | 看雪论坛 | 最近一段时间,遇到不少朋友问我关于"恶意代码分析如何入门","应该哪些书","如何提升分析能力"之类的问题,断断续续回复了之后,我也思考了一些相关的内容,在这里整理成了一份《恶意代码分析基础技能表》分享给大家。主要是为刚刚开始学习恶意代 ... |
| 2021-02-24 09:44:41 | 看雪论坛 | 最近,AnyRun发布了2020年年度报告,其中 Emotet 木马被上传的次数高达3w余次,充分说明了它的活跃程度,所以对Emotet木马进行简要分析。 |
| 2021-02-24 09:44:41 | 看雪论坛 | 上文的结尾说过,游戏数据交互是靠另一套协议来传输的。那么本篇章则开始分析该游戏协议。通过抓包发现,包的可读性变差了。但看着像是序列化后的json。其中的参数都是上一篇所见识到的。 印证前面说到,这些数据像是序列化后的json。印证了一下,确实如此。前六个 ... |
| 2021-02-23 22:24:30 | 看雪论坛 | |
| 2021-02-23 22:24:29 | 看雪论坛 | 概述最近一段时间,遇到不少朋友问我关于"恶意代码分析如何入门","应该哪些书","如何提升分析能力"之类的问题,断断续续回复了之后,我也思考了一些相关的内容,在这里整理成了一份《恶意代码分析基础技能表》分享给大家。主要是为刚刚开始学习恶意代 ... |
| 2021-02-23 18:04:14 | 看雪论坛 | |
| 2021-02-23 18:04:14 | 看雪论坛 | 目录 Emotet.assets木马分析 前言nb ... |
| 2021-02-23 18:04:14 | 看雪论坛 | 上文的结尾说过,游戏数据交互是靠另一套协议来传输的。那么本篇章则开始分析该游戏协议。感谢wmsuper 00.抓包通过抓包发现,包的可读性变差了。但看着像是序列化后的json。其中的参数都是上一篇所见识到的。 00.0.印证前面说到,这些数据像是序列化后的json。印证了一下,确实如此。前六个 ... |
| 2021-02-23 17:44:17 | 看雪论坛 | 最近研究人员发现一款macOS恶意软件(被称为“Silver Sparrow”),已经感染了分布在153个国家的近3万台英特尔和M1 Mac设备,引起安全社区的注意。据悉,Silver Sparrow以两个不同文件的形式分发,文件分别名为updater.pkg... |
| 2021-02-23 10:04:04 | 看雪论坛 | 近日,深信服安全团队捕获到一款使用Go语言编写的勒索病毒。此次捕获的样本有勒索及后门两个功能,并且能指定目录和文件进行加密。 |
| 2021-02-23 10:04:04 | 看雪论坛 | 使用scp或者助手把已砸壳的wechat.ipa导出,MonkeyDev集成在xcode上面,可以快速开发hook的代码,链接到Mach-O文件,支持修改ipa后的免越狱安装。 |
| 2021-02-22 19:23:43 | 看雪论坛 | |
| 2021-02-22 19:23:43 | 看雪论坛 | |
| 2021-02-22 19:23:43 | 看雪论坛 | IOS微信逆向-免越狱抢红包防撤回等自定义功能实现环境 环境 版本 操作系统 MacOS Mojave 10.14.6 手机系统 Iphone6 IOS12 mac上面的 theos 最新版 xcode 11.3.1 Mo ... |
| 2021-02-22 19:23:43 | 看雪论坛 | 一个匿名用户声称能够将Clubhouse的音频从“多个房间”传送到他们自己的第三方网站上。该公司表示将“永久禁止”这一用户,并配备了新的安全措施以防止此类事件再次出现。但仍有研究人员认为,Clubhouse平台可能永远无法兑现这样的承诺。 |
| 2021-02-22 19:23:43 | 看雪论坛 | 本章记录一下常见的恶意代码隐藏手段,包含注入 劫持 hook等,只有了解了这些技术手段才能在实战中快速定位核心代码,否则可能将大量精力花费在释放器或注入器上。 |
| 2021-02-22 15:15:45 | 看雪论坛 | 近日百度安全又一重磅研究成果收录安全顶级会议NDSS。幽灵(Spectre)作为开启侧信道攻击的热核时代一类漏洞,它以变种多,影响范围广而受到业界关注。Spectre是利用现代处理器芯片预测执行机制的一类漏洞的总称。利用该类漏洞,黑客可以绕过了传统的软件防御壁垒,窃取私人敏感数据,泄露内核地址空间相关信息,更甚至可以绕过虚拟机的隔离防护机制,访问其他用户的内存数据,导致其他云用户的敏感信息泄漏。 |
| 2021-02-22 12:54:13 | 看雪论坛 | |
| 2021-02-22 12:54:12 | 看雪论坛 | FakeXposed一个通用多功能的 Xposed 隐藏器,采用 Native 与 Java 结合来做到双向屏蔽检测,提供高度自由化为每个应用配置不同属性。它不仅仅局限于屏蔽 Xposed 检测,还提供更多更加高级的功能,如 maps 文件自定义屏蔽各种检测、完整的文件重定向功能、访问权限控制、JN ... |
| 2021-02-22 11:54:11 | 看雪论坛 | |
| 2021-02-22 10:14:10 | 看雪论坛 | |
| 2021-02-22 10:14:09 | 看雪论坛 | 主要介绍Cobalt Strike 4.1相关功能的二开和后门(artifact.exe\beacon.exe)的生成方式,Cobalt Strike的jar包我已反编译,并改了下反编译后的bug,teamserver与agressor均能正常调试使用,附反编译后项目地址: ht ... |
| 2021-02-22 10:14:09 | 看雪论坛 | 打开libsmsdk.so,找到JNI_Onload函数,导入jni.h文件,找到RegisterNatives函数。off_7283C即为JNI动态注册的函数。 |
| 2021-02-22 10:14:09 | 看雪论坛 | 本篇分析报告介绍如何使用IDA和OD去分析程序 |
| 2021-02-21 19:33:45 | 看雪论坛 | |
| 2021-02-21 19:33:45 | 看雪论坛 | 1.打开libsmsdk.so,找到JNI_Onload函数,导入jni.h文件,找到RegisterNatives函数。 1234567if ( v11 == -2109534065 ) ... |
| 2021-02-21 10:53:32 | 看雪论坛 | 希望能在这里找到志同道合的朋友 |
| 2021-02-21 10:53:32 | 看雪论坛 | 按照谷歌的惯例,Android 的首个预览版充满了很多面向开发者的变化。本次Android 12大部分变化都集中在后台,虽然还没有 OTA 升级方式,但能够让开发者更容易测试其应用程序的兼容性。 |
| 2021-02-20 13:24:00 | 看雪论坛 | 提到代码混淆时,我首先想到的是著名的代码混淆工具OLLVM。OLLVM(Obfuscator-LLVM)是瑞士西北应用科技大学安全实验室于2010年6月份发起的一个项目,该项目旨在提供一套开源的基于LLVM的代码混淆工具,以增加逆向工程的难度。 |
| 2021-02-20 13:24:00 | 看雪论坛 | 其实本人很早以前就关注PEDIY了,但是一直都没有注册账号,今天是首次注册账号,也带来一个处女作(为了转正哈哈哈),因为最近我们公司用到了这款EA15.2软件,所以我也对这个软件的License进行研究。跟踪的方式很简单,以下为详细步骤: |
| 2021-02-20 10:43:18 | 看雪论坛 | |
| 2021-02-20 10:03:14 | 看雪论坛 | |
| 2021-02-20 10:03:14 | 看雪论坛 | |
| 2021-02-20 10:03:14 | 看雪论坛 | 提到代码混淆时,我首先想到的是著名的代码混淆工具OLLVM。OLLVM(Obfuscator-LLVM)是瑞士西北应用科技大学安全实验室于2010年6月份发起的一个项目,该项目旨在提供一套开源的基于LLVM的代码混淆工具,以增加逆向工程的难度。 OLLVM的核心功能,也就是代码 ... |
| 2021-02-20 10:03:14 | 看雪论坛 | 其实本人很早以前就关注PEDIY了,但是一直都没有注册账号,今天是首次注册账号,也带来一个处女作(为了转正哈哈哈),因为最近我们公司用到了这款EA15.2软件,所以我也对这个软件的License进行研究。跟踪的方式很简单,以下为详细步骤: 1、打开EA15.2软件,进入到注册界面,随意输入名字和公 ... |
| 2021-02-20 09:23:13 | 看雪论坛 | 2010年毕业那会,我首次接触到51单片机,当时发现51单片机如此简单却功能完备:尽管它没有搭载OS,却能接收GPIO Port上的硬件事件;同时能将控制逻辑反馈给设备。反观基于x86体系的PC,虽然功能强大,但终端用户因为下列限制,很难在Ring3层控 ... |
| 2021-02-19 17:22:52 | 看雪论坛 | |
| 2021-02-19 17:22:52 | 看雪论坛 | 序 2010年毕业那会,我首次接触到51单片机,当时发现51单片机如此简单却功能完备:尽管它没有搭载OS,却能接收GPIO Port上的硬件事件;同时能将控制逻辑反馈给设备。反观基于x86体系的PC,虽然功能强大,但终端用户因为下列限制,很难在Ring3层控 ... |
| 2021-02-19 15:22:49 | 看雪论坛 | 近日研究人员Patrick Wardle发现一款专门为苹果M1芯片定制运行的恶意软件,并在其发布的一份报告中,详细解释了恶意软件如何开始被改编和重新编译,以便在M1芯片上原生运行。 |
Hacking8 安全信息流