OSQuery 是一款由 facebook 开源的，面向 OSX 和 Linux 的监控与分析工具。OSQuery 允许使用 SQL 的方式来获取系统的相关信息，比如正在运行的进程，已加载的内核模块，已打开的网络连接，硬件事件等等。

引言：本文介绍了iOS和macOS中使用的内存管理单元zone的基本知识。以及通过zone的一些特性，来攻击最新版iOS和macOS内核的技巧。

跳跳糖是一个安全社区，旨在为安全人员提供一个能让思维跳跃起来的交流平台。

希望你在这里能够找到灵感，找到志同道合的小伙伴。

人在做，天在看。
利用Powershell执行攻击由于其绕过现有病毒查杀体系的有效性，已经成为目前日益泛滥的攻击手段，不论普遍撒网的勒索软件还是定向的针对性攻击都有可能采用。360天眼实验室一直对此类样本做持续的监测， 5月份以来，我们注意到一类比较特别的样本，发现其有两个比较鲜明的特点。

打开亚马逊，当挑选一本《Android4高级编程》时，它会不失时机的列出你可能还会感兴趣的书籍，比如Android游戏开发、Cocos2d-x引擎等，让你的购物车又丰富了些，而钱包又空了些。关联分析，即从一个数据集中发现项之间的隐藏关系。

在Web攻防中，SQL注入绝对是一个技能的频繁项，为了技术的成熟化、自动化、智能化，我们有必要建立SQL注入与之相关典型技术之间的关联规则。在分析过程中，整个规则均围绕核心词进行直线展开，我们简单称之为“线性”关联。以知识点的复杂性我们虽然称不上为神经网络，但它依然像滚雪球般对知识架构进行完善升级，所以也可称之为雪球技术。

因为ZIP压缩包文件中允许存在“../”的字符串，攻击者可以利用多个“../”在解压时改变ZIP包中某个文件的存放位置，覆盖掉应用原有的文件。如果被覆盖掉的文件是动态链接so、dex或者odex文件，轻则产生本地拒绝服务漏洞，影响应用的可用性，重则可能造成任意代码执行漏洞，危害用户的设备安全和信息安全。比如近段时间发现的“寄生兽”漏洞、海豚浏览器远程命令执行漏洞、三星默认输入法远程代码执行漏洞等都与ZIP文件目录遍历有关。

Elasticsearch是一个基于Lucene构建的开源,分布式,RESTful搜索引擎，大量使用于各种场景，随着不断的发展，不可避免的会产生安全问题，一些危害比较大的漏洞比如CVE-2015-3337、CVE-2015-5531。面对这些漏洞（包括0day）的威胁，以及多业务使用使用同一套es集群的情况，使用一套认证授权系统就显得尤为必要。
经过es1代到2代产品的过度，目前主流的方案就只有官方的shield以及开源search-guard，然而我厂比较扣。

文章本是计划在五月完成，由于一直没有合适放出的案例导致此计划一直搁浅。巧遇乌云峰会puzzle，于是出了一道相关的题目，顺便放出此文以供大家交流学习。

峰会题目地址传送门：

你永远叫不醒一个装睡的人。但，快递小哥可以！
虽说是一句戏言，但确实多少反映出了快递在大家心中的重要性。如果你收到一个带有快递公司发来的电子邮件通知，你会不会也希望快点打开看看是不是哪个朋友给你寄了什么东西等着你去取呢？最近我们就收到了这样的一个带有“快递单号”的电子邮件附件。唯一有些水土不服的就是——在中国用FedEx的确实并不很多……大写的PITY……

近日，360安全中心收到多起用户反馈，手机中了一种难以清理的病毒，某些用户尝试自行清理掉病毒，发现删除病毒文件vold.apk后，会再次重现。通过分析，发现此病毒已经寄生到系统底层，定时恢复APK实现自我保护。随着反馈用户数量急剧上升，360急救箱已下发紧急查杀方案，全面支持清理该手机病毒。

IOS App的开发者们经常会出现这类问题：当一个新版本上线后发现存在一个严重的bug，有可能因为一个逻辑问题导致支付接口存在被薅羊毛的风险，这个时候能做的只能是赶快修复完安全问题并提交到appstore审核，在急忙推送用户尽快更新，避免为此导致的严重安全后果买单。为了解决此类问题遍有了实现给App应用”实时打补丁”这类方案，目前大致有两种主流的“热修复”的项目。

漏洞作者EduardoBraun Prado在今年早期发现了WMP的.MCL文件又存在一个可以导致远程代码执行的漏洞。为什么要说又呢，因为这个东西实在是“不争气”，同一个地方出现了多次绕过导致远程代码执行的问题。

注：
这篇文章里我详细说一下针对企业802.1X的安全解析，还有一些针对数据协议的分析方法和浅析关于个人渗透太多太啰嗦我就不写了，有机会在说。
因为我不想一部分一部分的写，所以索性就把三个内容写在了一起，如果大家觉得那里有问题，欢迎指正与交流。

通过计算某部分代码的执行时间差来判断是否被调试，在Linux内核下可以通过time、gettimeofday，或者直接通过sys call来获取当前时间。另外，还可以通过自定义SIGALRM信号来判断程序运行是否超时。

这是“Exploiting Internet Explorer’s MS15-106”系列文章的第二部分，如果您没有阅读过第一部分，我建议您开始阅读本篇之前去阅读前置文章