r2libc技术是一种缓冲区溢出利用技术，主要用于克服常规缓冲区溢出漏洞利用技术中面临的no stack executable限制(所以后续实验还是需要关闭系统的ASLR，以及堆栈保护)，比如PaX和ExecShield安全策略。该技术主要是通过覆盖栈帧中保存的函数返回地址(eip)，让其定位到libc库中的某个库函数(如，system等)，而不是直接定位到shellcode。然后通过在栈中精心构造该库函数的参数，以便达到类似于执行shellcode的目的。

从3月5日开始，腾讯反病毒实验室监控到大量知名软件客户端存在释放下载器病毒的异常数据，预示着可能存在通过挂马方式大规模攻击知名软件客户端的行为。电脑管家紧急对相关数据进行分析排查，最终发现这是一起综合利用运营商监控缺失、网络广告商审核不严、客户端软件存在安全漏洞等多重因素进行的大规模网络攻击，其攻击方式就多达3种（参见下图）。

近日，安卓市场上出现了一种名叫”变脸”的木马病毒，该病毒通过在正常安卓应用程序中插入恶意扣费代码，诱使用户下载安装后，在程序启动时，拉起恶意代码执行，用户在使用软件的同时，莫名其妙地被恶意扣费，手段隐蔽，用户毫不知情。被植入恶意代码的应用往往是下载和使用量较大的应用程序，所以攻击面非常广泛。

“绿色软件”通常指的是那些无需安装即可使用的小软件，这些小软件运行后通常可以直接使用，且使用后不会在注册表、系统目录等残留任何键值和文件，甚至可以直接将其放到U盘、光盘等移动介质中，随时随地使用。同时由于其免安装、解压即可使用，也会给人予安全的感觉，因此深受广大网友的喜爱。然而这些“绿色软件”真的都安全吗？

在乌克兰电力系统被攻击之后，最近又爆出该国机场也遭受网络袭击。罪魁祸首都是黑暗力量（BlackEnergy），BlackEnergy是何方神圣？为何有如此神通？BlackEnergy是最早出现在2007年的一套恶意软件，后来出现了专门针对乌克兰政府机构打造的分支。BlackEnergy并不是最近兴起的新型恶意软件，但时至今日仍然站在潮头兴风作浪，这点值得我们关注。

Linker是Android系统动态库so的加载器/链接器，要想轻松地理解Android linker的运行机制，我们需要先熟悉ELF的文件结构，再了解ELF文件的装入/启动，最后学习Linker的加载和启动原理。

鉴于ELF文件结构网上有很多资料，这里就不做累述了。

之前@三好学生的文章JavaScript BackDoor中提到了利用rundll32.exe执行一段JavaScript代码即可反弹一个Http Shell，这里将之前看到的对其原理进行分析的文章翻译和大家分享。

OsmocomBB(Open source mobile communication Baseband)是国外一个开源项目，是GSM协议栈(Protocols stack)的开源实现。其目的是要实现手机端从物理层(layer1)到layer3的三层实现，主要进行2G网短信嗅探。本文详细地介绍了实现方法，以供安全爱好者学习和参考。

目前来看，真正的物理层(physical layer)并没有真正的开源实现，暂时也没看到实施计划。只有物理层控制。因为真正的物理层是运行在baseband processor的DSP core上,涉及到许多信号处理算法的实现，而且还要牵扯很多硬件RF的东西。这项技术至少在2010年，技术已经成熟，2011年就有开源实现了。得益于OsmocomBB 的开源项目，使得我们用一台笔记本和很简单的硬件就能完成GSM sms嗅探。

刚重装的系统就中毒了，这是很多网友常常遇到的事，难道是中了引导区木马？甚至bios中毒？其实没那么复杂，很可能是你安装的系统自带了木马。

现在越来越多Android App使用了WebView，针对WebView的攻击也多样化。这里简单介绍下目前的WebView File域攻击一些常用的方法，并重点举例说明下厂商修复后依然存在的一些问题。（影响Android 4.4及以下）

近日，Joomla再曝高危0day漏洞，可进行远程命令执行，阿里云云盾昨日已上线相应的拦截规则抵御该漏洞。同时,对云托管客户已经做了电话通知和自动漏洞修复。统计数据显示，截至16日凌晨，已有数百个恶意IP尝试使用该漏洞对阿里云网站发起攻击，云盾已成功拦截上万次攻击请求，其中攻击请求数排名第一的黑客在一小时内尝试入侵超过1000个 Joomla 网站。

混淆是一种能增加二进制分析和逆向工程难度与成本的常用技术。主流的混淆技术都是着眼于使用与目标CPU相同的机器代码，在相同的处理器模式下，隐藏代码并进行控制。本文中引入了一种新的混淆方法，这一方法利用了64Windows系统中的32位/64位交叉模式编码。针对静态和动态分析工具的案例研究证明了这种混淆技术虽然简单，但是十分有效。

现在Android App几乎都有二维码扫描功能，如果没有考虑到二维码可能存在的安全问题，将会导致扫描二维码就会受到漏洞攻击，严重的可能导致手机被控制，信息泄漏等风险。

笔者一直在关注webshell的安全分析，最近就这段时间的心得体会和大家做个分享。

• 在WEB渗透中可能使用某个关键字为密码核心的密码(Mail,Vpn,后台登陆等)