#逆向工程 22 个 #Linux 12 个 在看雪上看到一篇讲Linux内核监控的贴，觉得很不错，就去遍历了作者的blog。每个人兴趣点不同，下面是我觉得有意思的几篇，其中第一篇对我近期学习颇有增益。

我们的手机是怎样通过Internet发送数据并且每次都到达正确的目的地？答案是通过IP地址。Internet协议（IP）地址是一串数字和符号，主要是分配给网络或连接到该网络的设备后，登陆互联网使用。我们可以将IP地址视为信件的回信地址，将信件视为Web请求。数据包在网络发送之前使用IP地址进行编码。像Android手机这样的设备首先连接到网络，然后在通过手机访问网络。所以IP地址网络和手机需要唯一的标识符—本质上是两种类型的地址：公网IP地址和私有IP地址。互联网服务提供商（ISP）为你的网络分配一个公共IP地址，该网络为连接到各个设备提供私有IP地址。

作者：Moyun@墨云科技VLab Team原文链接：https://mp.weixin.qq.com/s/ck5wwDi9hXmjtiPPfRgtXw概述NFC在人们的日常生活中扮演了重要角色，已经成为移动设备不可或缺的组件，NFC和蓝牙类似，都是利用无线射频技术来实现设备之间的通信。因此芯片固件和主机NFC子系统都是远程代码执行(RCE)攻击的目标。CVE-2021-0870是一枚NFC中的RCE高危漏洞，2021年10月漏洞通告中显示已被修复 https://source.android.com/security/bulletin/2021-10-01。

#“雪花”创作激励计划 171个 本文为看雪论坛优秀文章看雪论坛作者ID：飞翔的猫咪题目出自看雪高研班2021年12月份作业第二题：已知该apk中有jni函数jnicheck，当接收参数为“XUe”时，返回true，请使用AndroidNativeEmu实现对该jni函数的完全模拟调用（不需要对crypt2函数进行逆向分析）一分析这道题主要考察的是对多层jni调用的模拟，所谓多层jni调用指native java函数的实现c/c++函数中又反过来调用java函数，而这个被调用的java函数仍然是一个native函数。

Android Beta Program 于今天正式推出了 Android 13 QPR1 Beta。官网表示包括 Pixel 4a、Pixel 4a 5G、Pixel 5、Pixel 5a、Pixel 6、Pixel 6 Pro 和 Pixel 6a 在内尚处于支持状态的 Pixel 设备均可以获得升级。 访问：阿里云1核2G云服务器低至1折 最高可得500元满减优惠券 本次更新虽然不是重磅更新，但依然为即将到来的 Pixel Feature Drops 提供了预览。Feature Drops 是面向 Pixel 智能手机的季度更新，为设备带来了许多功能。

F-Droid是一个替代的Android应用程序商店，提供免费的开源应用程序。 F-Droid官方网站介绍：F-Droid是一个Android平台上FOSS（Free and Open Source Software，自由开源软件）的目录，并提供下载安装支持。使用客户端可以更轻松地浏览、安装及跟进设备上的应用更新。 F-Droid和Play Store的最大区别在于没有谷歌，不仅您不必使用Google拥有的应用商店，F-Droid的应用也可以在没有Google Play服务的安卓设备上运行良好。

ZecOps 对 AliExpress 平台购买的 Android 手机取证分析，发现该手机将系统 Android 6 伪造欺骗成 Android 10。我们会在本文介绍攻击者如何“伪造”iOS 上的关机屏幕以实现持久性，以及设备伪造者如何将旧的 Android 设备作为新设备出售，伪造的规格包括伪造 CPU 速度、Android 版本、补丁级别、内存，甚至屏幕分辨率。我们能够在全球速卖通上找到下面的手机。这款手机看起来很棒，而且非常便宜。在使用ZecOps for Mobile检查了这款手机后这款设备声称的Android 10其实是Android 6。我们做的第一件事是转到设置→关于手机。

本周三下午，Google 开始发布月度安全更新。本月更新恰逢 Android 13 的首个补丁，所有支持的 Google Pixel 设备均可升级。此更新修复了 Android 13 发布以来出现的各种问题。 访问：阿里云1核2G云服务器低至1折 最高可得500元满减优惠券 该补丁将解决某些壁纸导致的电池消耗增加，并修复了在某些情况下无线充电未激活的问题。本次更新还修复了指纹扫描仪、偶尔无法连接某些设备的蓝牙连接错误，以及导致某些通知无法在锁定屏幕上正确显示的错误的修复。

2021年8月初，一款针对Android银行APP的恶意软件出现在人们的视野中，ThreatFabric 安全研究人员首次发现了这一木马，在其C2服务器的登录面板，研究人员发现，攻击者将其称之为SOVA。SOVA简介在俄语中，SOVA译为猫头鹰，或许是攻击者期望该恶意软件如同猫头鹰一般，成为夜间的优秀捕食者。研究人员确认这是一个全新的Android银行木马，且被发现时正处于开发和测试阶段。与之同时，研究人员还发现，攻击者已经为其未来可实现的功能建立了清晰的路线图。

臭名昭著的Android 银行木马SharkBot再次冒头，这次其伪装成防病毒和清洁应用程序出现在Google Play 商店。据了解，有问题的应用程序 Mister Phone Cleaner 和 Kylhavy Mobile Security被下载了60000+次，主要针对的是西班牙、澳大利亚、波兰、德国、美国和奥地利的用户。安全团队分析称，这个新的dropper不依赖 Accessibility 权限来自动执行dropper Sharkbot 恶意软件的安装，该版本要求受害者安装恶意软件作为防病毒软件的虚假更新，以保持免受威胁。

Hackernews 编译，转载请注明出处： 臭名昭著的Android银行木马SharkBot，再次伪装成防病毒和清洁应用程序出现在Google Play商店中。 NCC集团的Fox IT在一份报告中说：“这种新的dropper不依赖于可访问权限自动执行dropper Sharkbot恶意软件的安装。相反，新版本要求受害者安装恶意软件作为防病毒软件的虚假更新，以防止受到威胁。” 存在问题的应用程序Mister Phone Cleaner和Kylhavy Mobile Security，总共被安装了6万多次，主要针对西班牙、澳大利亚、波兰、德国、美国和奥地利的用户。

Microsoft discovered a high-severity vulnerability in the TikTok Android application, which could have allowed attackers to compromise users’ accounts with a single click. The vulnerability, which w

在周三的一篇博客文章中，Microsoft 365 Defender 研究团队曝光了 Android 版 TikTok 应用中存在的一个高危漏洞，或致数亿用户被黑客“一键劫持账户”。一旦 TikTok 用户点击了攻击者特制的一个链接，黑客就可能在用户不知情的状况下劫持 Android 上的任意 TikTok 用户账户，然后访问各项主要功能 —— 包括上传发布视频、向他人发送消息、以及查看私密视频等。

微软在 2 月份发现并报告了 TikTok Android 应用程序中的一个高度严重的漏洞，该漏洞允许攻击者通过诱骗目标点击特制的恶意链接，一键“快速而安静地”接管账户。该安全漏洞被跟踪为 CVE-2022-28799，目前尚未发现该漏洞被利用的证据。Microsoft 365 Defender 研究团队的 Dimitrios Valsamaras 说：“如果目标用户只是单击特制链接，攻击者可能会利用该漏洞在用户不知情的情况下劫持帐户。此外，还可以访问和修改用户的 TikTok 个人资料和敏感信息。

源代码的反编译斯洛克尔android勒索软件在过去六个月里的新版本数量增加了六倍，它刚刚在GitHub上发布，现在任何想要它的人都可以使用。SLocker源代码由一名用户发布，该用户使用“fs0c1ety”作为在线绰号，并敦促所有GitHub用户贡献代码并提交错误报告。SLocker或Simple Locker是一种移动锁屏和文件加密勒索软件，可对手机上的文件进行加密，并使用Tor进行指挥与控制（C&C）通信。这些恶意软件还伪装成执法机构，说服受害者支付赎金。2016年，安全研究人员在野外发现了400多个SLocker勒索软件的新变种，并以感染数千台安卓设备而闻名。

2022年8月15日，Android 13正式发布。短短一周多时间，已经有一个名为Hadoken的黑客组织开发出一款可绕过Android 13新安全措施的App。在Android 13里，Google禁止侧载应用访问手机的无障碍服务，因为黑客可以利用Google 的辅助功能API来窃取银行账户等重要数据。但Hadoken所开发的BugDrop（研究人员命名）通过其他方式绕过了Android 13的新安全措施，在Android 13限制了应用程序访问手机的无障碍服务情况下，该恶意软件仍然可以激活和利用辅助功能API。

 概要第三方库(TPLs)作为移动生态系统的重要组成部分，促进了Android应用程序的快速发展。但是，对于TPL识别，存在TPLs依赖、代码混淆、精确的版本表示等问题。现有的TPLs检测工具不能很好地解决这些问题。因此，提出了ATVHUNTER的系统，该系统可以精确地定位应用内TPLs版本的漏洞，并提供有关漏洞的详细信息。 挑战除了上述现有工具的缺陷，目前在这个研究方向上仍然面临一些挑战:缺乏有漏洞的TPL版本（TPL-V）数据集。理想情况下，对于每一个有漏洞的TPL，应该包括TPL的名称、版本、类型、漏洞危害等级等。然而，据我们所知，没有这样公开的数据集。精确的版本表示。

         基础 webview它是一个系统组件，webview资源将基于web的内容嵌入到android应用程序中，它允许直接在应用程序内部显示来自web的内容，从而创建混合的android应用程序。 webview它就是将加载本地或外部web内容的本机应用程序，它将使用HTML5、javaScript和CSS进行实现。在android5.0系统之后，webview它就可以独立于操作系统进行更新。 它虽然在android的功能开发带来许多非常大的功能，但是同样它也可能存在一个很大的安全风险。

据The Hacker News报道，攻击者正在想法设防绕过 Google Play 商店的安全保护措施。安全研究人员也发现了一个以前未记录的Android滴管木马，该木马目前正在开发中。 荷兰网络安全公司ThreatFabric的Han Sahin 在一份报告中指出，这种恶意软件试图使用一种从未见过的新技术来感染设备，以传播极其危险的Xenomorph银行木马，允许犯罪分子在受害者的设备上进行欺诈攻击。

Beyond Identity 进行了一次调查，由 10003 位美国用户参与，其中 76%的苹果用户觉得 iOS 更安全。Android 用户中，有 74% 的用户也有这样的想法，认为 iOS 更安全。因为担心安全和隐私问题，有 49% 的 Android 用户考虑升级为 iPhone。 访问：阿里云服务器精选特惠：1核1G云服务器低至0.9元/月 此外，用户表示使用 iPhone 13 Max 感觉比三星 Galaxy S22 Ultra 更安全。这次调查还包括云服务如何影响苹果和 Android 用户。

近日，澳大利亚公平竞争和消费者委员会(ACCC)发布消息称，谷歌2017年1月至2018年 12 月的时间里，存在收集和使用其位置数据并误导澳大利亚 Android 用户，被处以6000万美元(约合人民币2.88亿元)罚款。澳大利亚竞争监管机构表示，这家科技巨头继续跟踪其部分用户的 Android 手机，尽管他们在设备设置中禁用了“位置历史记录”。但实际情况是，谷歌在默认情况下会打开另一个名为“Web & App Activity”的帐户设置使公司能够“收集、存储和使用个人可识别的位置数据”。ACCC 表示，根据现有数据，估计有超过 130 万个属于澳大利亚人的谷歌账户受到影响。

近日，澳大利亚公平竞争和消费者委员会(ACCC)发布消息称，谷歌2017年1月至2018年 12 月的时间里，存在收集和使用其位置数据并误导澳大利亚 Android 用户，被处以6000万美元(约合人民币2.88亿元)罚款。 澳大利亚竞争监管机构表示，这家科技巨头继续跟踪其部分用户的 Android 手机，尽管他们在设备设置中禁用了“位置历史记录”。但实际情况是，谷歌在默认情况下会打开另一个名为“Web & App Activity”的帐户设置使公司能够“收集、存储和使用个人可识别的位置数据”。

#“雪花”创作激励计划 139个 本文为看雪论坛优秀文章看雪论坛作者ID：白云精灵用到工具：1:jeb2:ida3:Pycharm4:idea5:010editor6:frida 1.背景网上能看到的相关解题方法基本都是穷举爆破，还原代码，这里我巧解一下，用到的办法是XOR解密。无须还原代码，穷举爆破。原理：经过XOR异或加密的字符串都可以再次异或进行解密获得key。 2.开始分析 把app安装到手机：输入注册码，点击注册，提示我们“您的注册码已保存”：我们获取一下最顶层activity。

#“雪花”创作激励计划 136个 本文为看雪论坛精华文章看雪论坛作者ID：houjingyi计划是写一个android中so文件反混淆的系列文章，目前这是第三篇。第一篇：android so文件攻防实战-百度加固免费版libbaiduprotect.so反混淆（https://bbs.pediy.com/thread-271388.htm）第二篇：android so文件攻防实战-某团libmtguard.so反混淆（https://bbs.pediy.com/thread-271853.htm）今天分析的是企业版64位，我用LibChecker查了一下手机上的APP找到的，时间也还比较新。

热点1、国家互联网信息办公室发布《数字中国发展报告（2021年）》为贯彻落实党中央、国务院关于建设数字中国的重要部署，深入实施《国家信息化发展战略纲要》《“十四五”国家信息化规划》等战略规划，国家互联网信息办公室会同有关方面跟踪监测各地区、各部门数字化发展情况，开展数字中国发展水平评估工作，编制完成《数字中国发展报告（2021年）》（简称《报告》）。《报告》总结了党的十九大以来数字中国建设取得的显著成就和2021年的重要进展成效，评估了2021年各地区数字化发展水平，并对2022年数字中国建设进行了展望。

 前言Android App中页面跳转主要通过Intent的显式，隐式传递来拉起其他的Activity组件，或是通过在AndroidManifest.xml中配置的android:scheme进行DeepLinks拉起app或跳转页面。相应的，跳转的时候传入参数未校验，就可能存在风险。 Deeplinks格式一般Deeplinks格式如下：Scheme://host:port/path?query=xxxxxxx被拉起的的App可以在AndroidManifest.xml中配置，向操作系统提前注册一个URL，开头的Scheme 用于从浏览器或其他App中拉起本App。

Hackernews 编译，转载请注明出处： Google修补了Android操作系统中的一个关键漏洞，跟踪为CVE-2022-20345，可利用该漏洞通过蓝牙实现远程代码执行。 Google没有透露有关该漏洞的其他细节。 “本节中最严重的漏洞可能导致通过蓝牙远程执行代码，而不需要额外的执行权限。”Google发布的安全公告中写道。 Google通过发布安全补丁级别“2022-08-01”和“2022.08-05”解决了这个问题。 CVE-2022-20345漏洞是Google本月唯一被评为“严重”的漏洞。其他所有漏洞都被评为“高危”。

谷歌已从其Google Play商店中删除了八个正在传播Joker间谍软件新变体的应用程序，但在此之前，它们已经获得了超过300万次下载。根据网络安全公司Evina的法国安全研究员Maxime Ingrao上周在推特上发布的一篇帖子内容，其声称他发现了一种他称之为Autolycos的恶意软件。该恶意软件可以订阅用户优质服务并访问用户的短信。这种类型的恶意软件——即恶意应用程序在用户不知情或未经用户同意收取付款费用的情况下订阅优质服务——被称为收费欺诈恶意软件，或者更常见的说法是羊毛软件。

趋势科技研究人员在 Google Play 商店中发现了17个 滴管Android 应用程序，统称为 DawDropper，它们正在分发银行恶意软件。 DawDropper 应用程序伪装成生产力和实用程序应用程序，例如文档扫描仪、VPN 服务、二维码阅读器和通话记录器。所有这些有问题的应用程序都已从应用程序市场中删除。 “在 2021 年下半年，我们发现了一个恶意活动，该活动使用了一种新的 dropper 变体，我们称之为 DawDropper。

近几年来，网络安全风险在增加，国家之间也在围绕着网络安全做斗争，网络安全在国家安全中也变得更为重要。网络安全如何保障？已经是我们需要面对的难题，网络安全并不是一个简单的一个问题，它包含了很多个复杂面，想要保障网络安全，需要做的基础准备以及布局还有很多。目前保障网络安全，需要对传统的网络安全防护进行更新，传统的网络安全防护已经不能很好的预防网络黑客的攻击了，网络黑客可以通过各种方法来进行攻击，我们需要研发新的技术保障。