本月初微博上有知名大V晒出一封私信截图，私信是以某记者名义发出，要求采访该大V博主，并提供了一个网盘链接作为“采访提纲”。当博主下载网盘中存放的所谓“采访提纲”后，该文件被360安全卫士检测为木马进行清除。

我们根据截图中的网盘链接下载了伪装“采访提纲”的木马进行分析，发现这是来自于一个长期从事木马植入与数据窃取的不法黑客团伙，该团伙利用盗取或冒名的各类账号，对账号关联人发起攻击，木马功能包括录音、远程上传或下载任意文件、服务管理、文件管理、屏幕监控等，很明显是意图窃取数据进行勒索或售卖来谋取利益。

在Windows從Vista版本之後加⼊了多個安全性防護如隨機化模組地址(ALSR)、資料防⽌執行(DEP)、使⽤者帳⼾控制(UAC) … 等，ALSR與DEP為exploit上的shellcode插⼊利⽤帶來的相當程度的困難度(當然站在現在技術⽽言繞過並⾮難事)不過今天要談的並非這兩者防護，⽽是要談使用者帳⼾控制(UAC)。（後續再次提及使用者帳⼾控制此防護都以縮寫UAC代稱）

JIT Spray是一种诞生于2010年的漏洞利用技术，可将Shellcode嵌入到JIT引擎生成的可执行代码中。目前，包括Chakra在内的各JIT引擎几乎都针对该技术采取了防御措施，包括随机插入空指令、立即数加密等。本文将指出Chakra的JIT Spray防御措施的两个问题（分别存在于Windows 8.1及其之前的系统，以及Windows 10之中），使得攻击者可在IE中用JIT Spray技术执行Shellcode，从而绕过DEP。同时，本文还给出了一种利用Chakra的JIT引擎绕过CFG的方法。

• 最早可以追溯到2007年开始进行制作并传播恶意代码等互联网地下产业链活动，一直活跃至今。
• 制作并传播的Hook007类样本HASH数量达到17万个，相关恶意代码云查询拦截次数达到1.3亿次，相关恶意代码主要以后门和盗号程序为主。
• 主要针对中国用户，累计受影响用户超过千万，单就Hook007家族统计近一年被感染用户达到50万。
• 相关初始攻击主要依托即时通讯工具（QQ\YY等）采用社会工程学方法进行对特定对象进行攻击；相关攻击对象主要为网络游戏玩家等普通网民，另外对教育、金融领域有几次针对性攻击。
• 进一步攻击方式主要是将恶意代码伪装为图片、文档等发送给特定对象，另外是制作虚假游戏平台网站，网站提供伪装游戏平台（game456等）安装包的恶意代码。

混淆是一种能增加二进制分析和逆向工程难度与成本的常用技术。主流的混淆技术都是着眼于使用与目标CPU相同的机器代码，在相同的处理器模式下，隐藏代码并进行控制。本文中引入了一种新的混淆方法，这一方法利用了64Windows系统中的32位/64位交叉模式编码。针对静态和动态分析工具的案例研究证明了这种混淆技术虽然简单，但是十分有效。

GPS Hacking 在过去几年的安全会议上一直都是很受关注的议题. 但往往因为内容太过学术化, 所需设备成本太高. 让许多感兴趣的朋友苦于无法入门. 直到GPS-SDR-SIM 这类开源项目的出现, 跟王康大牛在今年Blackhat Europe 2015 上的主题演讲. 彻底打开了GPS 的神秘面纱. 让小伙伴可以真正过一把GPS Hacking 的瘾.

Kali Nethunter是一款用于安全研究的手机固件包，可以使Android设备增加“无线破解”、“HID攻击”、“伪造光驱”等的硬件功能以及metasploit等软件工具，目前官方只支持少量的Android手机，然而，通过重新编译Kali Nethunter源代码，可以将其编译到其他型号的手机上

ART是Android平台上的新一代运行时,用来代替dalvik。它主要采用了AOT的方法，在apk安装的时候将dalvikbytecode一次性编译成arm本地指令（但是这种AOT与c语言等还是有本质不同的，还是需要虚拟机的环境支持），这样在运行的时候就无需进行任何解释或编译便可直接执行，节省了运行时间，提高了效率，但是在一定程度上使得安装的时间变长，空间占用变大。

近期，阿里移动安全团队发现大批量色情类病毒重新开始在某些论坛或者应用市场上泛滥。和以往的色情类病毒不同的是，它们使用了更多高级的技术手段来对抗安全软件的查杀。这类病毒具有以下特点：

应用白名单（Application Whitelisting）是用来防止未认证程序运行的一个计算机管理实践。它的目的是保护计算机和网络不受应用伤害。 McAfee Application Control作为其中比较有代表性的产品，使用动态的信任模型，避免了单调的人工更新许可清单工作。由于企业会面临来自网络的大量未知软件，因此这款可以集中管理的解决方案有助于及时控制系统安全策略，满足企业的运营需求。

虽然专业化是很多领域的关键所在，但是我个人认为在信息安全这一领域，过于专业会导致视野狭隘、观点片面。现在我就想让自己尝试那些我不是很喜欢的领域，而这篇文章就是在阐述一个我讨厌了很久的东西：嵌入式硬件逆向工程。

俄罗斯的网络犯罪市场闻名全球。我们在这里所说的“俄罗斯犯罪市场”指的是那些拥有俄罗斯国籍或前苏联国家国籍的网络犯罪分子，尤其是乌克兰和波罗的海诸国。为什么俄罗斯的网络罪犯会世界闻名呢？其中主要有两点原因：首先是媒体频繁地报道俄罗斯地区的网络犯罪活动。其次，俄罗斯的网络犯罪分子为了能达成交易，在线开放了他们所使用的通讯平台，从而宣传他们的各种“服务”和“产品”，并在上面讨论这些服务的质量和应用方法。

ActiveX的Fuzzer相当之多，本次我们暂时使用一个老牌但是性能较弱的开源Fuzzer：COMRaider。选择它的原因是它是一个图形化的Fuzzer，界面元素简单。但是说弱则是因为它的测试用例实在太少，而且比较陈旧（但是你可以手动添加）。比它强悍的工具还有很多，例如AxMan Fuzzer，但是AxMan的界面实在是没法截图，所以我还是用这个来演示好了……

在巴西的地下犯罪市场中充斥着世界上最活跃，最有创意的一群网络罪犯。与中国和俄罗斯的网络攻击活动类似，巴西的网络攻击活动也有很明显的地域特色。为了全面的了解这些特点，你需要在这个国家待一段时间，并理解其语言和文化。

1. 我个人非常喜爱JavaScript这门语言，而我们今天所说的就是NodeJS，JavaScript语言的一个分支。NodeJS本身就是一个Web 服务器同时他还是一门后端语言，这一点尤其重要，因为我们只需要下载一个NodeJs就可以完成一系列操作，从而免去很多的麻烦。
2. 而且即使被运维人员发现，也会以为是开发部门正在写有关NodeJs的项目。
3. NodeJs是一个非常年轻的语言，以至于很多人都没有学过。我见过运维人员懂PHP、Python的，但是懂NodeJs的，我是没见过。