相关文章推荐
iOS 9系统已经出来了，而网络方面的ATS(App Transport Security)特性可以说每个人都要经历。而我这篇博客，就是结合我最近几天的经历，来谈谈从服务器到iOS客户端对ATS的适配...
PHP将URL地址参数进行加密传输提高网站安全性
大家在使用PHP进行GET或POST提交数据时，经常会在URL带着参数进行传递，比如/get.php?id=1&page=5，这里就将id编号和page页码进行了参数传递，...
前不久利用ArcGIS API for Flex做了一个程序，在Flash Builder中运行时能够正常显示地图，并不报出错误，然后利用IIS发布后进行浏览就出现错误[RPC Fault ...
大家在使用PHP进行GET或POST提交数据时，经常会在URL带着参数进行传递，比如/get.php?id=1&page=5，这里就将id编号和page页码进行了参数传递，...
paip.提升用户体验与安全性----cookie盗用检测
当机器上的COOKIE被他人盗用时，会造成安全问题..
如果仅仅是单处登录的情况,只需要用最新登录的状态，将其它登录状态COOKIE清除...
从数据库中取出的数据必须写入本地文件中才能进行编译。
写入成功后就进行下一阶段的代码安全性检测。
成功就行下一阶段的代码编辑。
将数据写入本地文件：
def get_code(solution_i...
ODBC是开放数据互连(Open Database Connectivity)的简称，它是一个用于远程访问数据库（主要是关系型数据库）的统一界面标准。　　ODBC下现实运用中是一个数据库的访问库，它提...
他的最新文章
讲师：董晓杰
讲师：姚远
他的热门文章
您举报文章：
举报原因：
原文地址：
原因补充：
(最多只允许输入30个字)Mac下的破解软件，真的安全吗？
我们发现很多Mac用户对自身的安全并不是很重视，针对用户的恶意软件逐渐增多，窃取用户的隐私, 监控用户的日常行为, 恶意推广广告, etc。因此，我们应该提高自身的安全意识, 警钟长鸣。
小夏是一名普通Mac用户，某天，他打算试试思维导图来记录工作学习。
他问同事小芳：“Mac下有啥好用的思维导图软件？”
小芳：“XMind呀，很实用的思维导图软件。”
小夏：“那到哪里下载，要钱吗？”
小芳：“哎，你百度XMind破解版呀! 不需要花钱的，直接安装!”
小夏：“这么方便！我试试！”
Xmind是一款实用的思维导图软件，正版官网售价高达99刀, 这个价格当然对普通用户无法承受, 通过搜索，很多站点都提供了破解版下载
对比相同版本号的正版和破解版, hash如下:
dab95dbad19995aeb88cc5d1bb0a7912 XMind_orig //正版 v3.7.1
我们发现该样本采集了用户的很多隐私信息, 上传到了第三方服务器,采集信息如下图
1、黑产非法售卖用户信息, 泄漏用户隐私
2、广告推广, 获取盈利
3、钓鱼执法, 发送侵权律师函
下面我们对该样本详细分析
在Mac应用中，OSX系统下的Mach-O是可执行文件格式，程序跑起来解析Mach-O，然后链接系统的库文件以及第三方动态库。
我们使用MachOView进行解析
在可执行文件 Load Commands 字段中记录了程序的加载指令，LC_LOAD_DYLIB是程序加载的动态库，其中Name字段记录了该动态库的路径，通常程序启动会根据该字段加载动态库。这里发现其加载了新增的两个动态库文件libcJFishPoolHook.dylib、libXMindHook.dylib。除此之外，XMind使用Java编写，移植到Mac平台，可执行文件也没有什么值得重点分析。
总结一下，主要做了如下事情:
1、程序启动初始化，获取资源文件。
2、加载.ini配置文件，得到启动的参数键值对。
3、将参数解析，然后运行加载Library(Java打包的动态库).
直接对比正版和破解版的包目录，在包中我们发现了多出来的2个dylib文件
libC.JFishPoolHook.dyliblibXMindHook.dylib
下面对这2个dylib进行详细分析
对于Mac/iOS中使用到的dylib，可以使用class-dump和hoppper结合进行反汇编分析。class-dump又是一款开源解析MachO利器，与MachOView相似的是，他可按照MachO偏移量，找寻符号表(Symbol Table)，从而导出类名和方法名，但是他提供了诸多参数用于导出不同架构的MachO链接符号表。使用如下命令导出类名方法名到文件中：
$ class-dump --arch x86_64 libCJFishPoolHook.dylib & header.txt
$ cat header.txt
从导出结果来看，很可疑的是CJFishPoolHook类，该类有多达16个成员， 写该动态库的程序员非常老实，没有进行任何加密、混淆类名、方法名的操作，因此从字面上也不难猜出其含义为qq号、微信号、手机号、邮箱号、操作系统、CPU类型、内存、MAC地址、内网IP、公网IP、用户名、应用列表、设备ID，是否上传信息、开启应用和关闭应用的时间。
第二个动态库的类方法较少，很明显能猜出，hook了程序的函数，修改程序运行逻辑。
主要方法为:
1、init初始化方法
2、ExChangeImp，Method Swizzling动态交换函数指针，用于hook
3、BuyHook
4、CheckUpdatesHook
5、HelpHook
6、TitleHook
7、OpenURLHook
8、DateMenuItemHook
最后还使用了一个加密方法方法，该方法传入第一个参数(明文)，第二个参数key用于加密内容。
@interface NSString (AES)
+ (id)AESDecrypt:(id)arg1 password:(id)arg2;
+ (id)AESEncrypt:(id)arg1 password:(id)arg2;
@interface NSString (Number)
- (BOOL)isPureF
- (BOOL)isPureLongL
- (BOOL)isPureI
通过上面的简单分析不难猜测, 他把采集的信息发送到服务端了, 通过抓包分析该样本与服务端通信的过程如下：
第一次向服务端发送了checklocked, 返回值为0, 说明可以传输设备信息
接下的data是用来上传用户信息的。Body是经过AES加密后base编码的密文，既然key已经有了，可以尝试解开请求密文
通过静态分析我们知道他使用了AES加密算法, 而key就硬编码在代码中
结合上述过程，了解到加密算法的第一个参数为kCCEncrypt，第二个为kCCAlgorithmAES128，第三个为加密的填充模式kCCOptionECBMode。 依据此我们写出的AES解密方法应该为：
CCCryptorStatus cryptStatus = CCCrypt(kCCDecrypt,kCCAlgorithmAES128,kCCOptionECBMode, //ECB Mode keyPtr,kCCKeySizeAES128,iv,[self bytes],dataLength, /* input */buffer,bufferSize, /* output */numBytesEncrypted);
key为：iMdpgSr642Ck:7!@
解开的密文为
下面我们看看该样本是如何获取这些用户隐私的。
用户隐私收集
CJFishPoolHook.dylib中会获取用户的隐私信息, 其流程如下
在应用初始化过程中，单例类的CJFishPoolHook执行初始化Init，随后，在Init方法中进行初始化成员操作，包含上述的16个信息。
在初始化过后，开启捕获用户信息startCapture。这其中包含获取用户联系方式(getContact)，获取设备信息(getDevice)，判断设备是否需要上传信息(checkLocked)，获取应用ID(getProduct)，获取设备上的应用列表(getFeature)，获取地理位置(getLocation)，获取启动时间(getHabitStart)。
最后一步，上传所有数据到服务器，并且使用AES加密算法加密httpbody。
恶意收集QQ信息, 电话, 微信号，应用列表
应用从Library/Containers/com.tencent.qq/Data/Library/Application Support/QQ目录获取个人QQ信息。在该目录下，保存着用户的临时聊天记录，截图等信息。
从/Applications遍历本机安装的应用，形成应用列表。
libCJFishPoolHook.dylib修改了更新xmind的官方网站, 推广其自己的广告站点
进程注入后，使用Method Swizzling挂钩MenuItem、Button等按钮，使其失效或重定向跳转到其他网站，屏蔽注册、激活检查更新功能。难怪启动应用后发现激活按钮失效，无法进行版本更新，购买激活产品却跳转到另一个网站。
本次的逆向分析过程清晰，单从网络传输和静态分析上就能了解到该重打包应用运行状态的全部过程。对此公司搜集用户信息的这种行为，不想做过多评价。
主要还是从两个方面进行总结，对于开发者而言，要了解一些基本的防御手段，注重网络传输安全、存储安全，在开发过程中，尽量不要把key明文编码于程序中，哪怕是将二次编码后的key放到应用内也好。我们无法得知软件是否会被破解，key是否会泄露，而一旦暴露出来，则很容易被利用从而解开密文信息。更有甚者，直接使用base编码内容、数据位亦或运算编码，这种更容易被分析。同时我们可以混淆加密、反调试等手段增加软件破解的难度。
另一方面，站在用户的角度，下载安装未经验证的软件，是一件很危险的事情，例如著名的XcodeGhost事件，其实就是开发者安装了非官方验证的开发软件，导致开发的程序带有后门，窃取和上传大量用户信息。
本文所述的只是个人信息安全的一角，但却不能忽视他的存在。就同本文中libCJFishPoolHook命名一样，真正的含义是鱼塘，软件使用者是鱼，养在破解者的鱼塘中，等鱼养大了，也该收网了。
过去六年间，Mac销量越来越高，也意味着苹果用户越来越多。而用户一多，生态圈内的软件产出势必增长, 同时也会出现更多恶意软件浑水摸鱼。
Mac恶意软件发展历史
*本文作者：eleme_sec，转载请注明来自
责任编辑：
声明：本文由入驻搜狐号的作者撰写，除搜狐官方账号外，观点仅代表作者本人，不代表搜狐立场。
今日搜狐热点iPhone木马自己检测, 大家试试自己手机安全不, 不需要实用第三方源,
稿源：我们都是黑帽子
2016年底的22万iCloud账号被盗事件闹得沸沸扬扬，虽然苹果目前已经重置了这些账号的密码，各种大大小小的木马检测插件也是层出不穷，不过据个别网友反馈，在使用了一些检测插件之后出现了桌面图标全部消失的问题，而一些有“洁癖”的用户并不喜欢使用第三方源的检测插件，那怎么检测iPhone是否中了盗号木马病毒呢？下面小编为大家推荐一个自行检测木马的方法。红包插件致iCloud账号泄露 怎么查询是否中招经过专业技术人员的分析可以得知，第三方盗号木马检测插件查杀的是iOS设备的【/Library/MobileSubstrate/DynamicLibraries/*】目录，然后提取查找关键字为“wushidou”，以此来检测是否为木马，所以我们可以手动查找和删除，目前已知的木马关键字有这些：【wushidou】【gotoip4】【bamu】【getHanzi】查找方法：第一步：cydia里下载Terminal（也可以用ifunbox的ssh）第二步：打开Terminal，点击感叹号，如下图第三步：进入shortcut meun，并按下图复制查马指令（防止手动输错）第四步：点击back回到输指令界面，点击睡倒的感叹号，找到刚设置名称的快捷指令，之后代码就会自动输入，键盘点回车即可。第五步：如果发现木马会再输出结果有：Binary file /Library/MobileSubstrate/xxx.dylib matches 字样，这个就是木马程序，在cydia里卸载这个木马插件，然后回到目录下看还存在dylib和plist文件吗？如果还存在删除这个dylib文件和对应的plist文件即可清理！（一般情况下是不存在的）然后记得改密码。如果返回结果为空就是没有查询到木马，如果返回结果是such file no search什么的，就是路径错误，检查是否输入错误（这里推荐大家复制指令）下面给出几条查询指令，方便大家复制：grep -r wushidou /Library/MobileSubstrate/DynamicLibraries/*grep -r gotoip4 /Library/MobileSubstrate/DynamicLibraries/*grep -r bamu /Library/MobileSubstrate/DynamicLibraries/*grep -r getHanzi /Library/MobileSubstrate/DynamicLibraries/*各位试试吧。我的iphone7越狱过，一检测出来了个，还不错。各位有时间也试试吧，当你感觉iphone很卡，或者日历时间中出现很多提示的时候，大家试试吧，有用的。
有好的文章希望站长之家帮助分享推广，猛戳这里
本网页浏览已超过3分钟，点击关闭或灰色背景，即可回到网页【图片】大家用Mac遇到病毒没有？Mac不装杀毒软件真的安全吗【macbook吧】_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名：今日本吧第个签到，本吧因你更精彩，明天继续来努力！
本吧签到人数：0成为超级会员，使用一键签到本月漏签0次！成为超级会员，赠送8张补签卡连续签到：天&&累计签到：天超级会员单次开通12个月以上，赠送连续签到卡3张
关注：330,315贴子：
大家用Mac遇到病毒没有？Mac不装杀毒软件真的安全吗收藏
这是最近第二次遇到病毒报警了
个性,开放,互联.欧洲技术,欧洲设计,全球制造,全球销售的高端汽车品牌LYNK & CO.将为中国消费者提供高标准的无忧购车,无忧用车的超值体验!
没人戳进来，二楼自己默默顶起，求关注
不装杀毒软件不就没有警报了？
你可以装一个，定期查查
你都浏览些什么，怎么就病毒警告了？
怎么还是英语呀？
强烈推荐安装360，定期检查系统漏洞
其实我用mac下的杀软杀出的病毒都是windows下的病毒。针对mac的病毒真的是少之又少。碰到一回的几率就很小了，碰到两回的几率就更是微乎其微了。楼主杀出的病毒可能是windows下的病毒。
[国美]笔记本,爆款笔记本特卖,品牌钜惠,低价抢购.国美,笔记本,国美商城,品质之选,每天低价,品牌购实惠!
上网站了吧。不然中规中矩哪里会中毒。
不是吧？那怎搞！
应该不用吧
至少现在不用
我就装了来提醒自己，一旦发现U盘中了别人的病毒就格式化
楼主，我用的是腾讯的，还不错哦。
你装了什么清理软件
随着os普及，病毒也慢慢出现了。装个吧
我擦，又一个，绝对只看了几个贴子
前排，呼唤水军
偶连工作PC机win7都米装杀毒软件，OS X装毛~道高一尺魔高一丈，出病毒的人永远能找到任何系统任何杀毒软件的任何漏洞，防不胜防~
装杀毒软件治标不治本 mac系统本身很纯净由于 特殊的认证机制 很难中病毒 病毒自动安装就更不可能了 很多情况都是楼主 自己安装 软件不上心 在一些不正规的论坛 资源站 里下载的 破解软件安装时 才会不小心将打包的病毒安装进去的
少看的毛片不久没事了
好多年没用过各种杀毒或者优化的软件了不管是mac还是win机器还是手机
Mac、Linux、win7及其以后的微软系统，都不需要杀毒软件。良好的使用习惯是防范病毒的最终办法。PS：说过多少次了，不要安装什么杀毒优化卫士管家之类的垃圾，安装一个纯粹的清理垃圾的软件就够了。PS：最近又一台电脑让我给重装系统，2G内存XP系统还卡得要死。我就不说我1G内存跑XP跑得飞快！又是360卫士又是360杀毒的，外加一窝360渣渣，不卡才怪！
你的杀毒的不会是AVAST之流的吧，，这明明就是safire 看网页，下的SWF，或图片的缓存。。你杀不杀都行。。第一，不来就不是毒。第二，没机会运行。。　　　　------为了加点经验，我也不得不加一个小尾巴了。～
偶尔逛逛国外的网站。建议不用来自撸妹
随意，反正病毒一直都有。。。。
登录百度帐号推荐应用}