初试Frida JS hook

根据网上教程,基本是写Python代码进行hook,但根据群里大牛指引,可以直接使用frida – U “com.example.test.XXX” -l xxx.js 直接注入。
JS代码编写规则
JS模板代码:

 

然后frida – U “com.example.test.XXX” -l xxx.js,开启HOOK,接着开启相应的APP,就会看到打印信息了。

Tea轮函数加密逆向笔记

部分加密环节逆向

  • REV R1 R1 //是指对R1的字节进行反转,如R1中本来保存的是744308C2,经过REV反转后,R1保存的字节为C2084374
  • JAVA传入的参数有两个,暂且称之为传参1、传参2
  • 传参1为8位字节长,分别保存在R0、R1两个寄存器中,传参2为16位字节长(疑似加密密钥),分别保存在R5、R6、R7、R12四个寄存器中

关键轮函数加密部分

R0 = C2084374 R1 = C500F400 R2 为栈缓冲区,主要用于字节中转 R3 = 0 R4 = E3779B90 R5 = 574B5A79 R6 = 54446575 R7 = 3146736B R8 = 78486E41

R3 = R3 + 0x9F000000 R8 = R12 + (R1 << 4 ) (左移4位)

R3 = R3 – 0xC80000

R3 = R3 – 0x8600

R3 = R3 – 0x47

R9 = R3 + R1

if (R3 = R4): R8 = R9 ^ R8 (位异或) R9 = R7 + (R1 >> 5) R8 = R8 ^ R9 R0 = R0 + R8 R9 = R6 + (R0 << 4) R8 = R5 + (R0 >> 5) R8 = R0 + R3 R9 = R9 ^ R9 R8 = R8 ^ R9 R1 = R1 + R8

循环结束后,R0 = E980238E (其实是R2反转后写入),R1 = BCDC6241

一周信息安全干货分享【第133期】

 

安全资讯


1.五角大楼制定不能购买的中俄软件清单

五角大楼的采购主管警告军方及其承包商不要使用与俄罗斯和中国有关联的软件

2.微软披露软件供应链攻击

微软安全博客披露了一起软件供应链攻击,软件巨人没有透露相关公司的名字

3.中远集团美洲计算机网络遭勒索软件攻击

国有中远集团的美洲区计算机网络本周遭勒索软件攻击,48 小时后情况仍然没有好转

4.在引入物理密钥后没有一名 Google 雇员被钓鱼

Google 从 2017 年初开始要求所有雇员使用物理密钥替代密码,此后该公司 8.5 万名雇员没有一位的工作相关帐户被成功钓鱼

5.研究人员公开新旁路漏洞 SpectreRSB

加州大学河滨分校的研究人员发表论文,公布了命名为 SpectreRSB 的新 Spectre 漏洞

6.第五个思科后门账号被发现

思科上周修复了 25 个漏洞,其中一个补丁是移除 Cisco Policy Suite 中的后门账号 root

[详细阅读…]

一周信息安全干货分享【第132期】

 

安全资讯


1.去年曝出的 HPE 远程管理软件身份验证漏洞是 29 个“A”

攻击者只需要通过 cURL 发送一个包含 29 个 A 的请求,就能绕过身份验证

2.NSO Group 的一名雇员被控盗取了公司的间谍软件

以色列间谍软件公司 NSO Group 的间谍软件能入侵智能手机

3.入侵 Gentoo GitHub 账号的攻击者在构建脚本里加入 rm -rf /* 命令

Gentoo Linux 项目在 GitHub 上的账号遭到入侵,攻击者随后对 Gentoo 的代码进行大肆修改

4.Firefox 和 Chrome 下架流行扩展 Stylish

用户样式管理器 Stylish 是一个非常受欢迎的浏览器扩展,但在被多次转手之后,这个扩展开始变得恶意

 

技术干货


1.FastJson 反序列化漏洞利用的三个细节 

TemplatesImpl 利用链

[详细阅读…]

一周信息安全干货分享【第131期】

 

安全资讯


1.印度央行要求该国银行淘汰 Windows XP

印度央行要求该国银行部门在 2019 年 6 月前从 ATM 机器淘汰 Windows XP

2.Windows 用户感染无法卸载的恶意程序 All-Radio 4.27 Portable

从周三开始,很多 Windows 用户报告感染了一种无法卸载的恶意程序 All-Radio 4.27 Portable

3.ProtonMail 遭到 DDoS 攻击

加密电邮服务 ProtonMail 过去几天遭到了 DDoS 攻击

4.2012 年之后的所有 Android 设备受到 RAMpage 漏洞的影响

Rowhammer 攻击变种 RAMpage漏洞影响 2012 年之后发布的几乎所有 Android 设备

5.Gentoo 的 Github 账号遭到入侵

Gentoo Linux 项目警告其 Github 账号遭到入侵,托管在 Github 的内容被修改

6.WordPress 被公开一个超过半年但尚未修复的漏洞

RIPS团队通过 Hackerone 向 WordPress 团队报告了一个任意文件删除漏洞

[详细阅读…]

一周信息安全干货分享【第130期】

 

安全资讯


1.黑客通过崩溃银行的计算机尝试入侵 SWIFT

黑客利用病毒破坏了智利银行的计算机系统

2.思科系统再次发现硬编码的后门账号

四个月来的第四次,思科从其产品中移除了一个硬编码的后门凭证

3.杀毒软件 F-Secure 发现远程代码执行漏洞

一位安全研究人员先后在流行的解压缩开源软件 7-Zip 和杀毒软件 F-Secure 中发现了与 RAR 拆包相关的内存处理漏洞

4.VPNFilter 恶意程序能降级 HTTPS

思科安全研究人员在进一步分析后发现,恶意程序 VPNFilter比早先以为的更强大更具破坏性

5.医学成像 AI 软件易被愚弄

一项新研究发出警告,分析医学成像的 AI 软件容易被愚弄

6.安全公司称朝鲜黑客到中国交流技术

安全公司 FireEye 表示,主要针对韩国实施窃取情报攻击的朝鲜黑客组织 “APT37” 可能与中国黑客就攻击技术交换信息

[详细阅读…]

一周信息安全干货分享【第129期】

 

安全资讯


1.Valve 修复了一个影响过去十年 Steam 版本的漏洞

Valve 修复了一个影响过去十年所有 Steam 版本的严重漏洞

2.Mozilla 邀请用户测试 DNS over HTTPS

Mozilla 开始邀请 Nightly 版用户测试更安全的域名解析方法

3.利用 CSS 特性的边信道攻击

安全研究人员在浏览器实现的 CSS 特性“mix-blend-mode” 中发现了一个边信道漏洞

4.研究人员演示对硬盘和操作系统的声音攻击

密歇根大学和浙江大学的一组研究人员演示了利用廉价扬声器对硬盘和操作系统的物理攻击

5.中国公司展示能破解 iOS 系统的扫描仪

在最近北京举行的警用设备展览会上,厦门美亚柏科展示了一种能在数秒钟内破解智能手机密码提取用户信息的扫描仪 XDH-CF-5600

 

[详细阅读…]

一周信息安全干货分享【第128期】

安全资讯


1.CPU 新漏洞 Spectre variants 3a 和 4

英特尔正式披露了两个 CPU 新漏洞 Spectre variants 3a 和 4

2.Stuxnet 蠕虫是至今创造的最复杂软件

一群神秘作者开发的 Stuxnet 蠕虫是至今创造的最复杂软件

3.思科软件再次发现硬编码密码

思科释出了 16 个安全公告,其中有三个漏洞的威胁评级被归类为高危

4.朝鲜黑客利用 Google play 和 Facebook 监视脱北者

迈克菲的研究人员报告,朝鲜黑客设法在 Google play 上托管了至少三个应用去窃取脱北者的个人信息

5.CIA 黑客工具 Vault 7 泄密者身份曝光

去年初,Wikileaks 披露了代号为 Vault 7 的 CIA 黑客工具集

6.Def Con 黑客大会首次在中国举办

世界最大的美国黑客大会之一首次在中国举办

[详细阅读…]

一周信息安全干货分享【第127期】

 

安全资讯


1.恶意应用改名重返 Google 应用商店

安全研究人员发现,先前被举报而下架的恶意应用又重返了 Google 官方应用商店 Play Store

2.四分之一的公司无视安全漏洞是因为他们没有时间

RSA 安全会议上进行的一项调查发现,绝大多数公司仍然缺乏恰当的安全保护措施

3.IBM 禁止雇员使用可移除存储设备

蓝色巨人禁止雇员使用可移除存储设备

4.研究人员演示向 Alexa 和 Siri 发出人类察觉不到的秘密指令

年轻一代生长在一个习惯与智能设备对话的时代,但有些话可能是你听不见的悄悄话

5.百度软件中心的开源软件被发现捆绑恶意程序

中国用户报告他通过百度软件中心下载的开源软件 PuTTY 被发现捆绑了恶意程序

6.因误读英特尔文档主要操作系统曝出新内核漏洞

Linux、Windows、macOS、FreeBSD 和 Xen 实现曝出了一个设计漏洞

[详细阅读…]