记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

我绝对是中国人 维基解密曝光CIA反取证工具熟练运用敌国语言

维基泄密这周五公开第三批CIA文档,内容聚集在反取证工具。上两次则主要是间谍机构使用的黑客工具。 3月7日,维基泄密首次公开CIA的漏洞利用工具,可入侵安卓、苹果手机,Windows/Mac电脑等设备。两个星期之后,维基泄密又公开了CIA购买苹果电脑和手机,在上面安装间谍软件后,把设备交给被监控目标。 此次(第三次)公开的文档包括CIA秘密反取证工具Marble框架的源代码。该工具用于令CIA的恶意软件难于被安全人员分析破解,通过混淆文本片段,以防止被追踪溯源。 通过代码混淆的方法来逃避沙盒检测的手段,近年来对于主流的网络犯罪分子来说已不新鲜,但Marble的一个功能却十分突出。它为病毒编写者提供了一个把自己伪装成说其他语言的人,包括汉语、俄语、韩语、阿拉伯语和波斯语。而中、俄、朝鲜和伊朗,都是或曾经是美国的
发布时间:2017-04-01 16:45 | 阅读:138326 | 评论:0 | 标签:牛闻牛评 CIA Marble 混淆 维基泄密

反混淆:恢复被OLLVM保护的程序

译者序: OLLVM作为代码混淆的优秀开源项目,在国内主流app加固应用中也经常能看到它的身影,但是公开的分析研究资料寥寥。本文是Quarkslab团队技术博客中一篇关于反混淆的文章,对OLLVM项目中的控制流平坦化、虚假控制流、指令替换等混淆策略进行了针对性分析,并展示了利用符号执行对OLLVM混淆进行清理的一些思路和成果。 文章侧重于反混淆思路的讲解,并没有提供完整的代码方案,部分关键点也有所保留。文章末尾会提供编译好的测试程序(基于LLVM3.6.1),对OLLVM反混淆感兴趣的读者可以结合实例继续研究,后续有机会也会分享关于OLLVM还原的实例分析案例。外文技术文章翻译确实不易,初次尝试难免有误,欢迎留言指正。 【原文】: 《Deobfuscation: recovering an OLLV
发布时间:2017-03-28 19:51 | 阅读:164880 | 评论:0 | 标签:系统安全 终端安全 OLLVM 混淆

对匿名社交应用Yik Yak的安卓APP逆向之旅

本文主要对安卓平台上的匿名社交媒体应用Yik Yak进行逆向分析,在分析的过程中发现该APP用到了代码混淆、字符串混淆、防签名篡改校验等技术,最后通过整个分析过程总结了APP分析的流程和方法。0×01 Yik Yak介绍每隔一段时间,我就会遇到一个实现了一些加固技术的APP,从而使逆向更加有趣。最近,当我尝试为Yik Yak代理API 请求时,就遇到了这种情况。其中,Yik Yak是一款流行的专用于移动平台的社交媒体应用,它允许半径为5英里(通常是大学校园)之内的半匿名用户之间进行交流。在执行self-MITM攻击时打开应用程序,能够有效地杀掉所有API通信,通常来说是SSL pinning的一个指标。0×02 混淆措施在反编译该APK文件且检查Java源代码后,很明显
发布时间:2015-12-28 16:05 | 阅读:108394 | 评论:0 | 标签:终端安全 Yik Yak 安卓应用 混淆 逆向分析

一种在恶意软件中常见的字符串和Payload混淆技术

我最近研究了一个来自客户提交的恶意软件。SHA-256为:f4d9660502220c22e367e084c7f5647c21ad4821d8c41ce68e1ac89975175051从技术角度来看,这并不是一个复杂的恶意软件。但是它说明了一些恶意软件作者最常用的用于反动态(自动)和静态(手动)分析的技术。为了检测动态分析环境,它会检测下列程序列表:OLLYDBGW32DASMWIRESHARKSOFTICEPROCESS EXPLORERPROCESS MONITORPROCESS HACKER该恶意软件列举了被感染系统上的所有窗口,如果发现其中任何一个属于上面列出的程序之一,恶意软件将进入一个循环并等待程序退出。这是一个很基本的技术,但是用代码实现起来相
发布时间:2015-09-07 10:30 | 阅读:82153 | 评论:0 | 标签:系统安全 payload 混淆

使用 estools 辅助反混淆 Javascript

知道创宇安全研究团队  ChiChou:2015.8.7   1. 前言 Javascript 作为一种运行在客户端的脚本语言,其源代码对用户来说是完全可见的。但不是每一个 js 开发者都希望自己的代码能被直接阅读,比如恶意软件的制造者们。为了增加代码分析的难度,混淆(obfuscate)工具被应用到了许多恶意软件(如 0day 挂马、跨站攻击等)当中。分析人员为了掀开恶意软件的面纱,首先就得对脚本进行反混淆(deobfuscate)处理。 本文将介绍一些常见的混淆手段和 estools 进行静态代码分析的入门。   2. 常见混淆手段   2.1 加密 这类混淆的关键思想在于将需要执行的代码进行一次编码,在执行的时候还原出浏览器可执行的合法的脚本,然后执行之。看上去和可
发布时间:2015-08-07 19:10 | 阅读:166737 | 评论:0 | 标签:技术分享 chichou javascript 反混淆 混淆

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云