作者：简行、走位@阿里聚安全 0x00 回顾 在上一章节中我们详细分析了TaintDroid对DVM方法参数和方法变量的变量级污点跟踪机制，现在我们将继续分析TaintDroid对类的静态域、实例域以及数组的污点跟踪。 0x01 了解DVM中类的数据结构 由于DVM师从JVM，所以DVM中所有类的祖先也是Object类，该类定义在dalvik/vm/oo/Object.h中。其实不仅仅是Object类，DVM所有的基本类都定义在Object.h文件中。 众所周知，Object类共分三种类型： 1）Class Objects，它是java.lang.Class的实例，此类object的公共基类是ClassObject； 2）Array Objects，由new Array指令创建，此类object的公共基类是ArrayObject；...

0x00 分析 乌云峰会那两天放的题，没人撸出来，今晚又开题了 根据上次获得的情报和这次放出的两个tips: 多文件上传，php源码对数组键值处理错误导致安全漏洞 base64解码导致字符丢失 开始前我就开始搜了，然后搜到了一个CVE-2012-1172，根据这CVE找到一篇blog: https://nealpoole.com/blog/2011/10/directory-traversal-via-php-multi-file-uploads/ 根据这篇博客中的代码，还有之前得到的情报，可以猜到大概就是该漏洞 我们来分析一下，我用phpstudy，在服务器上搭了一个5.2.17的php+apache服务, 测试代码如下： //upload.php <?php...

0x00 概况 “暗云”木马没有文件形态，长期潜伏在磁盘引导区，主要攻击代码放在云端，曾有超百万台电脑受感染，自2015年初被腾讯反病毒实验室首次捕获并查杀至今已有1年多。从今年4月开始，该木马卷土重来，感染了数十万台机器。新发现的暗云木马在模块分工、技术对抗等方面与老暗云相比有着明显的晋级特征，因此我们将本次爆发的木马取名为暗云Ⅱ。暗云Ⅱ除了隐蔽性高、云控、兼容性好等特点外，还有以下特点： 第一、顽固性增强，难以清除。暗云Ⅱ通过磁盘钩子隐藏恶意代码，并且特别设置一个计时器以不断地检测钩子和自身代码的完整性，一旦发现钩子被摘除或者自身代码被修改，则重启计算机，给木马的检测和清除工作增加难度。 第二、稳定性更好。暗云Ⅱ大幅度删减一些重复或不必要的功能代码，如取消了对安全软件句柄的关闭，直接在内核使用TDI连网下载模块，从而减少了应用层与内核的协作。...

本文旨在技术探讨故本文不提供工具，正常玩家请勿模仿，游戏中虚拟位置有封号风险 0x00 安卓定位方式归类 要伪造定位首先要摸清定位到底是如何实现的，首先从广义上来区分安卓的定位方式实际上就gps和network两种。但是network网络定位过于抽象，到底是移动网络基站定位，还是宽带ip定位还是wifi定位了，于是我又做了如下细分。 细分定位方式如下： GPS定位：通过卫星定位，精度高耗电也高定位速度慢。但是需要搜索到三颗星以上才可以定位，室内的大多无法使用。 网络定位：多指wifi／宽带ip定位，其实也包括移动网络也就是第三点。 基站定位：通过运营商的基站三角定位，定位精度低功耗低。 混合定位：结合上面多种方式，AGPS定位。 第三方SDK: 百度地图／高德地图／谷歌地图，本质上还是使用上面4种方式。...

0x00 前言 近日，Casey Smith@subTee在其博客分享了对regsvr32.exe的研究进展，通过regsvr32.exe加载dll不仅更加隐蔽，而且还能够实现Bypass AppLocker，很是神奇。 于是，我对此做了进一步的学习研究，所以本文在前半段会先介绍Casey Smith的研究进展，后半段分享一下我基于此做的进一步研究测试，希望能给大家启发，跟进最新技术。 Casey Smith的博客地址： http://subt0x10.blogspot.jp/2016/06/what-you-probably-didnt-know-about.html 图片引用自http://subt0x10.blogspot.jp/2016/06/what-you-probably-didnt-know-about.html...

0x00 概述 近日，腾讯反病毒实验室拦截到一个名为RAA的敲诈者木马，其所有的功能均在JS脚本里完成。这有别于过往敲诈者仅把JS脚本当作一个下载器，去下载和执行真正的敲诈者木马。采用JS脚本编写木马，混淆加密更加容易，并且增加了杀软的查杀难度，敲诈者木马与杀软的对抗进一步升级。但是经分析，发现名为RAA的敲诈者木马在部分场景下存在逻辑缺陷，可实现对加密文档的解密。（解密工具见附件） 0x01 样本分析 1、运行JS后，首先会在My Documents目录下释放一个假文档，文件名形如：doc_attached_*，并且用记事本打开；文档内容是提示用户该文档无法正常打开。 2、打开假文档之后，释放exe病毒。在JS中，存有exe数据，并且释放exe病毒的代码也经过有加密，解密后执行释放exe病毒、运行；该exe会进一步下载释放其他恶意软件，在此不进一步详细分析。...