Android逆向小工具–apkCheckProtect

android小工具-查壳工具

移动端查壳并不是什么难事,主要就是特征库的维护而已。

这里V1版本仅对so文件做特征检验,其他文件检验将在下个版本体现

由于用几分钟写完,没来得及做各种兼容性适配和跨平台适配,有问题的话 可以直接评论留言

继续阅读“Android逆向小工具–apkCheckProtect”

懒人福利|一秒创建Xposed模版

*本文原创作者:Tasfa,本文属FreeBuf原创奖励计划,未经许可禁止转载

FreeBuf:http://www.freebuf.com/sectool/167274.html

懒惰是科技的第一生产力。

0×00 背景

由于Android逆向每次想要使用Xposed进行Hook时,总是需要重复性地操作一遍Android Studio新建项目的流程.ps:当然可以只用一个项目,强迫症需要分开 :)

由于Xposed实现的方式,每次修改hook代码后,需要重启机器,这也是白白浪费了很多时间。

基于以上两点,参考现有的方案,实现了一个Module,只需在AS中new一下即可解决问题。

继续阅读“懒人福利|一秒创建Xposed模版”

区块链的那些事,你知道和不知道的都在这里!

摘要: 区块链(Blockchain)是比特币的一个重要概念,本质上是一个去中心化的数据库,同时作为比特币的底层技术。本文将前一段时间整理的区块链技术文章做成了集合,以  供大家学习。

今年以来“区块链”的概念可以说是异常火爆,好像互联网金融峰会上没人谈一谈区块链技术就out了,BAT以及各大银行还有什么金融机构都在开始自己的区块链研究工作,就连IBM最近也成立了自己的区块链研究实验室,但其实区块链到底是什么?大家或许并不清楚,停留在雾里看花的状态。前一段时间为大家整理一个区块链学习系列文章,在这里为大家提供一个文章集合,大家就和我一起走进区块链吧,揭开区块链的神秘面纱吧!

比特币:一种点对点的电子现金系统

比特币:一种点对点的电子现金系统

[摘要]:本文提出了一种完全通过点对点技术实现的电子现金系统,它使得在线支付能够直接由一方发起并支付给另外一方,中间不需要通过任何的金融机构。虽然数字签名(Digital signatures)部分解决了这个问题,但是如果仍然需要第三方的支持才能防止双重支付(double-spending)的话,那么这种系统也就失去了存在的价值。我们(we)在此提出一种解决方案,使现金系统在点对点的环境下运行,并防止双重支付问题。该网络通过随机散列(hashing)对全部交易加上时间戳(timestamps),将它们合并入一个不断延伸的基于随机散列的工作量证明(proof-of-work)的链条作为交易记录,除非重新完成全部的工作量证明,形成的交易记录将不可更改。最长的链条不仅将作为被观察到的事件序列(sequence)的证明,而且被看做是来自CPU计算能力最大的池(pool)。只要大多数的CPU计算能力都没有打算合作起来对全网进行攻击,那么诚实的节点将会生成最长的、超过攻击者的链条。这个系统本身需要的基础设施非常少。信息尽最大努力在全网传播即可,节点(nodes)可以随时离开和重新加入网络,并将最长的工作量证明链条作为在该节点离线期间发生的交易的证明。

继续阅读“比特币:一种点对点的电子现金系统”

ADB配置提权漏洞(CVE-2017-13212)原理与利用分析

本文首发于 FreeBuf,转载请注明来源http://www.freebuf.com/articles/terminal/161843.html

0×01 背景

adb由于拥有shell权限,因此仅在授权PC端后才可使用shell权限,而通过该漏洞,可以实现在移动端获取shell权限,以致于可随意删除应用、屏幕截图等等高权限操作。不过移动端恶意应用程序必须能够连接到adbd正在监听的TCP端口,这就需要应用程序在它的AndroidMainifest.xml中定义INTERNET权限。

而漏洞作者所用的攻击方法是构造一个覆盖窗口,劫持用户点击,也就是经典的hijack攻击。Google也据此修复了此种攻击方式。

但是,我经过尝试后发现,除了以上构造hijack攻击窗口外,还可以劫持USB广播,然后在用户进行正常的连接电脑操作时,劫持授权界面,使用户误导从而进行授权。也即造成新的劫持授权漏洞方案。

继续阅读“ADB配置提权漏洞(CVE-2017-13212)原理与利用分析”