前几天遇到一个问题在分析代码时，样本是替换了Linux的命令文件，然后想要远程调试虚拟机上的elf样本，开始是用的Remote Linux debugger方式，结果attach时候报错：The debugger could not attach to the selected process.This can perhaps indicate the process was just t...

Xpose原理控制zygote进程，通过替换/system/bin/app_precess程序控制zygote进程，使它在系统启动过程中加载Xposed framework的一个jar文件即XposedBridge.jar,从而完成对Zygote进程及创建的Dalvik/ART虚拟机的劫持，并且能够允许开发者独立替代任何class，例如framework本身，系统UI或者随意一个app。控制程序两

下面资料比较老了，记录下只为增加下了解虚拟机后门检测（IN）__try{__asm{pushedxpushecxpushebxmoveax, 'VMXh'movebx, 0// 将ebx设置为非幻数’VMXH’的其它值movecx, 10 // 指定功能号，用于获取VMWare版本，当它为x14时...

符号链接转设备名可以调用ZwOpenSymbolicLinkObject，ZwQuerySymbolicLinkObject直接查询到设备名反过来是调用第一种方法，把每个盘符A到Z的符号链接对应的设备名求出来，然后一一比对。一种实现DWORDWINAPIMyQueryDosDeviceW(LPCWSTR ...

通过githubAPI利用代码{repository(name: "grank", owner: "lctt") {ref(qualifiedName: "master") {target {... on Commit {idhistory(first: 5) {edges {node {author {

API函数的调用过程（3环部分）Windows APIApplication Programming Interface，简称 API 函数。Windows有多少个API?主要是存放在 C:\WINDOWS\system32 下面所有的dll，dll里面函数都是API几个重要的DLLKernel32.dll:最核心的功能模块，比如管理内存、进程和线程相关的函数等...

#grep -Ril "IBM" /tmp递归列出/tmp目录下包含文本字符串"IBM"的文件有时要修复dex文件的前八个字节。ClassLoader和动态加载类加载器Android的虚拟机ART和davilk都是JVM的一种实现，使用寄存器来实现。JVM的类加载器包括3种：Bootstrap ClassLoader（引导类加载器）C/C++代码实现的加载器，用于加载指定的JDK的核心类库，比如j

linuxlinux 系统gdb等调试器，都是通过ptrace系统调用实现。Android加固中，ptrace自身防止调试器附加是一种常用的反调试手段。调试时一般需要手工在ptrace处下断点，通过修改ptrace返回值过掉反调试。下面提供另一种思路，降低手工操作复杂度：测试代码（反调试程序）#include <stdio.h>#include <stdlib.h>#inc