2016-06-14
/早在2013年,bluebox就发布了一个可以在运行时篡改Dalvik字节码的Demo。之后,国内有很多对这个Demo进行分析的资料,分析得也非常详细。但是看了很多资料以后,感觉缺少从实现的角度可以给学习的同学进行练手的资料。因此,本文从实现的角度,解释篡改的原理并实现篡改的过程,并附上实现的源代码。希望可以帮助想自己实现着玩的同学。
2016-03-24
/DEXLabs发表过题为《Detecting Android Sandboxes》的博客,文章提出了一个检测Android沙箱的方法,并附了PoC。本文对原文的内容进行介绍,并加上笔者自己实际实验的结果及讨论。
2016-03-01
/目前对Android模拟器的检测,主要是从特定的系统值来进行区分的。例如,getDeviceId()、getLine1Number()这类函数,还有android.os.Build类记录的一系列值等等。但是偶然发现有位老外提出了用cache来区分模拟器和真机的idea,但是这位老外可能当时比较懒,没有具体的细节,写了个简单的PoC后把Evaluation空着了,也没有实验,所以并不知道这个方法是否真的有效。因此,本文就把检测的整个方法从原理到实现完整地展现出来。
2016-02-22
/Sofacy组织,也被称为APT28或者Sednit,是一个相当知名的网络攻击间谍组织,据信跟俄罗斯有关。他们的攻击目标遍布全世界,主要针对政府、防御组织和多个东欧国家政府。已经有很多关于他们活动的报告,以至于已经有维基百科的词条。
从这些报告里,我们发现该组织有丰富的工具和策略,包括利用0day漏洞攻击通用应用程序,例如JAVA或者Microsoft Office;大量使用鱼叉式网络钓鱼;利用合法网站进行水坑式攻击并且目标包括各类操作系统--Windows、OSX、Linux、iOS。