shayuchaor的博客

近日逆向一个app的时候发现它的主要功能都是用lua实现的，查看资源文件时发现，文件后缀是luac而非lua，打开一看全是乱码。那么毫无疑问，这是一个被加密过的文件，我们需要把它逆向还原出来，或者说解密出来更为合适。

目录1. 实战背景2. 问题分析3. 实战记录1） 脱壳2） 找到解密函数3） 重现4. 总结阅读本文之前，建议阅读Android逆向实战篇（Https抓包）。1. 实战背景由于工作需要，要爬取某款App的数据，App的具体名称此处不便透露，避免他们发现并修改加密逻辑我就得重新破解了。爬取这款App时发现，抓包抓到的数据是加密过的，如图1所示（原数据较长...

移动安全分析框架 (MobSF) 是一个智能的、集成型的、开源移动App（安卓/iOS）自动检测框架，能用于静态检测和动态检测。该框架可以进行高效迅速的移动应用安全分析。文章将介绍MobSF的使用指南和检测项目，并对框架结构进行分析。1.MobSF使用指南（1）上传分析文件使用MobSF进行App安全检测的第一步，是将APK文件上传到MobSF上去，上传APK文件有以下三种方法。①...

APP安全漏洞整理1.源码安全漏洞1.1 代码混淆漏洞当前APK文件的安全性是非常令人堪忧的。APK运行环境依赖的文件/文件夹 res、DEX、主配文件Lib 只有简单的加密或者甚至没有任何加密。诸如apktool这类工具可轻易将其破解，再配合其他例如dex2jar、jd-gui等工具基本可以做到：源码暴露、资源文件暴露、主配文件篡改、核心SO库暴露、暴力破解恶意利用等。因此需要对安卓...

手机App用户输入隐私数据的识别与检测技术研究1.引言随着移动设备的普及，智能手机和手机应用已经成为日常生活中必不可少的一部分，与此同时，移动设备中的隐私问题也就变得日益重要。先前手机隐私相关的研究工作主要集中在手机操作系统预定义的已知来源上，例如位置信息、通话记录、短信等，这些内容都是通过预定义的系统API获取的。那些通过UI界面由用户自己输入的隐私信息，则被绝大多数工作所忽略了，但实际...

APP安全漏洞学习笔记 本文首先明确了APP安全的目标，然后对常见的APP漏洞进行了整理分析，并研究学习了APK的静态分析与动态分析技术，最后介绍了安卓的渗透测试技术和常见的安全评估工具。附录处整理了2014年和2015年的OWASP移动风险Top10.1.安卓APP安全的目标1.1保护用户的数据 用户在使用APP时通常不得不交付一些敏感数据给APP，如...

移动安全框架 (MobSF) 是一个智能化、一体化的开源移动应用（Android / iOS）自动测试框架，能够对以上两种移动应用进行静态和动态分析（动态分析目前暂时只支持Android）。它可以有效、快速地对应用APK 和IPA文件 及压缩的源代码进行审计分析。同时，MobSF 也能够通过其APIFuzzer功能模块，对 Web API的安全性进行检测，如收集信息，分析安全头部信息，识别移动...

上一步请看移动安全框架MobSF安装过程简介 （一）2.在你的Android设备或虚拟机上配置MobSF动态分析环境2.1 运行环境•root过的安卓设备；•支持平台：安卓；•支持版本：安卓4.03-4.4。2.2 配置步骤•重置设备；•在安卓设备中插入一张SIM卡（可选项）；•root你的设备；•从应用商店下载root检测器来检测root是否完成，确认完...

Kali Nethunter安装指南0.准备工作近日入手了一部“谷歌亲儿子”Nexus5手机，回想起了之前用小米note试图安装Kali的失败经历，既然拿到了官方指定的“亲儿子”型号，自然要再试一次。开始之前要先做好一些准备。第一步肯定是先获得手机的ROOT权限，现在一键ROOT工具也很多，随意下载一个完成ROOT即可，这里建议下一个刷机精灵，虽然有一点小缺陷不过挺派的上用场的...