终端流量对抗的经验总结
本文聚焦终端流量的攻防对抗技术,分析系统代理、VPN隧道、网关抓包及libpcap抓包等流量控制手段的原理与限制,并探讨SSL/TLS中间人攻击、协议逆向、密钥提取等流量解密方法。通过技术对比与实例,揭示攻防双方在流量隐蔽、检测与反制中的动态博弈,为安全研究人员提供实践参考
TLS协议握手与协议组合的深度解构:从TLS协议到定制化加密协议的移动安全视角
本文将以TLS 1.2与TLS 1.3的握手流程为核心,解析其协议组合的底层逻辑,并提炼出一套逆向分析自定义协议的方法论
Frida检测技术全解析:原理、方法与对抗
KeyAttestation检测思路
KeyAttestation原理理解
页面展示来自于attestationResult这个回调结果Linux Kprobe原理探究
之前在分析其他安全厂商App的防护策略时,想要设计个风控分析沙盒来实现对于App行为的全面监控,包括
- App访问、操作了哪些文件
- 执行了哪些操作
- 对于相关操作进行针对性的修改等等
其中很棘手的问题在于如何应对App中越来越常见的内联系统调用,对于内联系统调用的监控我不希望通过ptrace这类进程注入的方式来实现,而是想寻求通过定制系统或者相关的方式来实现以达到无侵入App的目的
基于Kernel Kprobe机制的改机架构实现
一、背景
如上文Linux Kprobe原理探究 所提及的,Kprobe有多种玩法,在设备改机场景中可以通过对内核系统函数的篡改以完成改机的目的,本文就是基于Kernel Kprobe机制来搭建一套完整的改机架构
LSPlant源码学习
LSPlant是LSPosed官方推出的新的ART hook框架,用来替代LSPosed之前使用的YAHFA框架
从官方README上看,对于LSPlant的使用分为几种
Zygisk-V27.0源码阅读
隔了很久再读Magisk源码中关于Zygisk的部分,上次翻源码还是v25.0,这次已经更新到了v27.0。粗略扫了眼,变化的地方还是挺多的,想搜索一下关键字也基本上搜索不到,懒得重新过一遍源码,既然是关于zygisk,那就以(zygisk_enabled)作为关键搜索词切入