Quantcast
Channel: i, Claud » Claud
Browsing all 20 articles
Browse latest View live

Image may be NSFW.
Clik here to view.

让Vim和Ctags支持smali语法

smali是目前Dalvik指令集最适合阅读和解析的汇编语法,是做Android软件逆向分析必须学习的内容。比较可惜的是,到现在也没有特别好的smali阅读工具。下面给出的是平时习惯的Vim+Ctags组合下阅读smali的方法。先看最终效果: 可以看到,vim支持smali的语法高亮,ctags支持解析smali中的域和方法。实现这个的方法如下: 1. 下载这个文件: smali.tar.gz...

View Article



DIMVA’12见闻

by Spark Zheng @ CUHK 第一天 7月26日 会议开始,先去注册领了所有paper的纸质版和一堆乱七八糟的礼品。随后chair讲了一下会议paper的来源,大多数来自德国和美国。另外Android是今年很热的一个关键词。   Keynote: Industrial Control Systems Security
Corrado Leita (Symantec Research...

View Article

关于MIUI中cit.apk暴露bugreport的漏洞

之前在乌云发布的MIUI数据泄露漏洞之一(WooYun-2012-08222),其中的“详细说明”部分,存在部分错误。这个漏洞涉及bugreport,我错误地指出在shell下可以调用的bugreport,第三方应用软件也可以随便调用,这是错误的。由此在微博上和回复里引起对Android一般安全的讨论,向大家表示歉意。...

View Article

介绍几个Android分析工具

1. otertool 动态分析的瑞士军刀,功能包括:logcat筛选、文件系统diff、apk->smali及搜索、java->smali、app data browser(以及内嵌的text/hex/sqlite viewer)、smali编辑并一键build apk(可以签名)、一键安装apk、安装证书等。...

View Article

两个会议回视

这周去xkungfoo和xcon,是第一次参加国内的安全方向纯技术会议。其实只去了三天,只认真听了一天,所以没法谈对具体议题的看法了。 与我想象中相同的是,xcon的主要用处果然是大家来聚一聚了。不过并不适合新人来拓展业内关系,主要还是已经在线上结识的或者以前就见过的人再次聚会。老实说,如果一个新人想要融入国内的这个圈子,感觉还是蛮难的。...

View Article


MBP换SSD也能折腾出问题唉

一些经验: 原硬盘是500G,新硬盘256G,无法使用disk utility中的restore功能克隆磁盘分区,会提示空间不足,即便已用空间不足256G; 如果用Time Machine备份系统时,自定义了一些不需要备份的文件夹,那这个会被标记为不是完整的系统备份,而不能被用于将系统恢复至一个空的磁盘上,哪怕没备份的只是个人数据文件;...

View Article

最近关于secmobi的事

两个月前,我决定建设secmobi.com这个移动安全的专题站点,于是这两个月的业余时间,包括十一假期,就都搭进去了。主要做了这样几件事:...

View Article

MDCC第一天

有两个人的keynote印象深刻,一是Udacity的Sebastian,他做的三个项目:Google无人驾驶骑车、Google眼镜、Udacity在线教育,都是改变人类生活方式的革命性项目。尤其是Google眼镜的概念视频,让人觉得,完全有改变人类与世界交互的能力。...

View Article


Safari移除Google搜索结果重定向的扩展

之前写过一篇文章,介绍在Chrome和Firefox下怎么用扩展来移除Google搜索结果的重定向。今年开始用Safari,相应的扩展如下: http://canisbos.com/gdirectlinks 在天朝,移除Google搜索结果重定向这件事相当重要。你们懂的……

View Article


2012年总结

除小说以外,读了48本书,其中用Kindle、平板和手机读了23本。 看了28部电影/电视剧。 买了8个电子设备,难以计算的软件,21本电子书,33本实体书。 去了2个国家,10个城市。骑行了两次(东湖、西湖+龙井)。 写了72篇博客文章,其中中文55篇,英文17篇。新做了1个网站。 在《程序员》发表2篇技术文章。(幸运地)写了0个没价值的专利和0篇没价值的论文。...

View Article

2013年1月

在1月最主要的变化是开始搞开源硬件。 受到去年RubyConfChina上一个议题的鼓舞,购买了Arduino开发板和一堆传感器,前几天又买了常用的零件和面包板。在这个板子上写代码确实很容易,扩展也很方便。在考虑:i. 和Android通过ADK的互动;ii. 固件怎么逆向。 受到Chris Anderson的Maker这本书影响,以及他的离职创业,我也跟风开始玩3D打印机。买了一台国产的Prusa...

View Article

Image may be NSFW.
Clik here to view.

Android中webview缓存密码带来的问题

乌云上发布了一个漏洞,称微信记录了用户微博账号的密码。地址是: http://www.wooyun.org/bugs/wooyun-2013-020246...

View Article

Image may be NSFW.
Clik here to view.

A security flaw in the SQLite Editor application

In some of security conferences last and this year, I’ve said that, if any Android utility tool with root permission has security vulnerability, this may lead to gaining privilege-escalation like...

View Article


Image may be NSFW.
Clik here to view.

SQLite Editor的一个安全缺陷

去年和今年的一些安全会议中,我曾经提出如果一些具有root权限的Android工具软件存在安全漏洞,也可能获得类似提权的利用效果。此前,我曾发文介绍过MIUI中定制的一款应用软件的组件暴露导致系统信息泄露。下面则是最近发现的另一个案例。 SQLite Editor是Speed Software开发的一款Android本地SQLite数据库文件查看器,在Google...

View Article

Attack 3D Printing

This Friday, I gave a presentation “Security Attack to 3D Printing” at XCON 2013 Beijing. I introduced technologies and toolchains of popular open-source 3D printer — RepRap, and generally discussed...

View Article


Image may be NSFW.
Clik here to view.

2013年台湾黑客大会回顾: 如何组织听众为中心的技术活动

7月19日和20日,受主办方邀请和看雪安全论坛推荐,我有幸前往台北参加今年的台湾黑客大会(Hacks In Taiwan Conference, HITCON)并作演讲。...

View Article

修改Android模拟器的system分区,以及加入SuperSU

对Android的模拟器,如果要修改其system分区里的文件,除了remount之外,还需要对数据进行持久化——因为默认情况下emulator会以只读的形式加载system.img,即便remount之后对其进行的修改也不会实际被保存下来。...

View Article


2013年总结

入: 进入2个新的领域:开源硬件、iOS安全 在旧金山、硅谷和台北生活了一个月,逛了许多创业公司、计算机历史博物馆、诚品书店 去了国内的7个城市 将全部的系统和软件更换成正版 读了102本书——9月之后数量显著降低 看了24部电影或电视 用Evernote写了280份笔记 玩了12种开源硬件和可穿戴设备 读了30多篇论文和40多份幻灯片 出:...

View Article

Image may be NSFW.
Clik here to view.

New iOS malware use Cydia Substrate to steal advertisement promotion fee

Claud Xiao – 03/24/2014 Today, a Chinese security researcher find a strange iOS dynamic library file in his iOS device and post it to PEDIY[1] — the biggest security forum in China. This dynamic...

View Article

2014年总结

2014年的整体情况是,为了一件事,把几乎所有的学习、产出和生活都放弃了。结果还算不错,运气也还好。 入: 换了个东家,也换了个国家 几乎没读几本书、没看几篇论文 英语能力和生活能力有了一点提高 意外进入一个新的领域:OS X安全 出: 只在HITCON和XCON两个会议上做了报告(XCON是合作议题,我没到场),拒绝了其他的邀请,也只去其他三个会议晃了一圈:Bsides SF, RSA, and...

View Article
Browsing all 20 articles
Browse latest View live




Latest Images