7 尼古拉斯_赵四

尚未进行身份认证

生死看淡,不服就干!

等级
TA的排名 162

Android应用保活方案的另类出路,让你应用长生不老(针对小米手机)

一、前言我们在做Android应用的时候都知道,必须要有一套好的保活方案,这样应用的push到达率高,应用的活跃度也就很高,我们平时也可以发现很多应用我们明明已经关闭了,但是还是可以接收到push消息,或者ps查看进程还是存在的。当然这里就有很多方案做这件事了,从最早的Java层中接受各种事件和广播等时机唤醒我们的应用,在到Native层的进程保活都是很好的方案,但是随着Android系统的更...

2018-11-05 10:33:22

iOS狂暴之路--两种布局方式操作详解(xib文件和代码编写)

一、前言在Android中我们进行布局操作也是有两种方式,一种是直接手写xml布局,还有一种就是用代码编写,在iOS中其实也是类似,有两种方式一种是xib文件,一种代码编写。本文就来介绍iOS开发中最麻烦的最常用的知识布局内容。有了这些知识之后结合之前的讲解的网络和多线程知识就可以简单的开发一个应用了,后面会继续介绍iOS开发搜狐新闻。因为之前已经操作了多年的Android布局,所以就对比学习...

2018-09-17 08:36:33

Android安全防护之旅---只需要这几行代码让Android程序项目变得更加安全

我们在编码美丽微信公众号已经弄过了很多app了,不管是协议还是外挂,我们都是那么一路走过来了,在操作的过程中也发现了很多问题就是应用不在乎安全问题带来的后果,因为安全始终都是不可忽视的问题,辛辛苦苦写的代码被人看的体无完肤对不起自己也对不起公司,所以如果你做了这几件事至少可以防止一些人把你的app给强奸了。本文就来总结一下不用加固方式也可以让你的应用变得更加安全可靠。一、混淆永远都不可或缺这里说的...

2018-07-16 08:44:11

Android安全防护模式「多任务窗口中的界面高斯模糊处理」其实是个骗局?

一、情景介绍应用开发过程中安全问题的确需要系统考虑也要开发者自己多考虑,一个小的细节可能会让你的应用变的更安全,最近在用招商银行App的时候无意中发现了iPhone上多任务一个好玩的东西:看到招商银行的应用有一个特别的地方就是当应用出现在多任务中的时候界面被高斯模糊处理了,也就是我们看不到界面内容了,你看后面的今日头条还是可以看到内容的,为什么看不到这个应该都知道为了安全,假如招商应用当前的界面是...

2018-07-09 08:33:56

Android逆向之旅---Hook神器家族的Frida工具使用详解

一、前言在逆向过程中有一个Hook神器是必不可少的工具,之前已经介绍了Xposed和Substrate了,不了解的同学可以看这两篇文章:Android中Hook神器Xposed工具介绍 和 Android中Hook神器SubstrateCydia工具介绍 这两篇文章非常重要一个是HookJava层的时候最常用的Xposed和HookNative层的SubstrateCydia,可以看我之前...

2018-07-02 08:52:20

Android开发者的设备中安装哪些神器才可以事半功倍?

逆向我们都知道需要借助很多PC端的工具,包括IDA,apktools,Jadx等。但是有时候我们在设备中安装一些工具也会对我们的工作有很大的帮助,工欲兴其事,必先利其器。下面就来介绍一些Android开发者有利的工具:第一个:DebugProxy这个是可以在设备中进行抓包工具,我们在PC端抓包一般都是Fiddler和Charles,而这个工具利用系统的VPNSerivce工具进行抓包操作,无需r...

2018-04-17 08:31:56

Android中WebView的跨域漏洞分析和应用被克隆问题情景还原(免Root获取应用沙盒数据)

一、前言去年年底支付宝的被克隆漏洞被爆出,无独有偶就是腾讯干的,其实真正了解这个事件之后会发现,感觉是针对支付宝。因为这个漏洞找出肯定花费了很大劲,主要是因为支付宝的特殊业务需要开启了WebView的跨域访问功能,导致了这个问题,其实Google官方的Android早期版本这个功能默认是开启的的确是个漏洞,但是最后的版本都默认关闭了,除非应用自己业务需要就开启。而支付宝的口令红包是利用了WebVi...

2018-04-02 08:35:02

Android中实现「类方法指令抽取方式」加固方案原理解析

一、前言Android中加固方案一直在进步,因为新的加固方案出来就会被人无情的破解脱壳了,从第一代加固方案落地加密dex文件,第二代加固方案不落地加密dex文件,在到第三代加固方案类方法抽取,以后后面的更多加固方案来说都是安全的进步,关于脱壳方案网上有很多资料,但是加固方案却没多少资料,因为有些加固方案是一些加固公司的商业机密不可泄露的,所以我们现在看到的网上加固方案还是以前的加固方案,不了解以前...

2018-03-19 08:34:15

移动安全著作《Android应用安全防护和逆向分析》终于发售了,赶紧来购买吧!

经历了一年半,我的毕生精力著作终于和大家见面了,写书很不容易,这段时间感谢大家对我的文章的支持和肯定,也有很多同学和我反馈要是能写一本书这么详细介绍内容就好了。其实我一直在写,只是没有写好的那一天还不想通知大家,不过现在好了。我的著作:《Android应用安全防护和逆向分析》一书终于能和大家见面了。也欢迎大家下单购买。先到先得,首次印刷数量有限,希望这个封面大家喜欢:下面就来和大家简单说一下本书内...

2017-11-16 15:18:32

Android脱壳圣战之---脱掉360加固壳(破解约友神器的钻石充值功能)

一、情景分析程序猿一般都很孤独,特别是总是和代码相伴,比如像我这种穷屌丝,一到周末就闲着没事刷各种应用,看看想看的,无意中发现一款封面看着挺诱人的约友神器,下来来看看,迫不及待的点开:我尼玛我只是想视频通话,竟然还要让老子冲钻石,我这暴脾气可不答应,可是谁叫我们那么穷呢?只能靠着自己的左手和右手开始搞了?不多解释,直接上手破解这个app。二、逆向脱壳分析这种app找入口就太简单了。直接使用Jadx...

2017-11-16 10:24:35

Android逆向之旅---Android手机端破解神器MT的内购VIP功能破解教程

一、前言在破解app的时候,我们现在几乎都是在PC端进行操作,但是之前bin神的MT管理器,可以在手机端直接破解,不过也有很大的局限性,但是对于一些简单的app破解没问题的。这个工具其实原理也很简单,就是解析apk中的dex,arsc等文件,然后支持修改其中的类方法信息和资源信息,然后在二次打包签名即可。其实把这部分功能移到了移动端做了,不过值得佩服的是这个app从整体效果来说,非常的赞,非常佩服...

2017-10-29 14:17:26

Android中java和smali转化一键化操作工具java2smali原理分析

最近在小密圈中,有同学咨询到如何快速的将java文件转化成smali文件,因为我们知道在反编译之后都是smali代码,如果我们想进行代码插入,需要将java代码弄成smali代码,然后放进去,但是在这个过程中,比较麻烦,一般都是新建一个Android工程,然后编写需要插入的功能代码,然后在反编译得到smali代码。直接复制过去即可。而在这个过程中,发现操作有点繁琐,比如我只想插入两个类,结果还得搞...

2017-10-16 16:47:45

Android逆向之旅---带你解读Android中新型安全防护策略

一、前言最近有一个同学,发给我一个设备流量访问检测工具,但是奇怪的是,他从GP上下载下来之后安装就没有数据了,而在GP上直接安装就可以。二次打包也会有问题。所以这里就可以判断这个app应该是有签名校验了,当然还有其他的校验逻辑,我们打开这个app界面如下,没有任何数据:二、应用分析下面就来简单分析这个app,不多说直接使用Jadx工具打开:我们在使用的过程中会发现需要授权VPN权限,所以就断定这个...

2017-10-16 10:59:10

Android逆向之旅---破解一款永久免费网络访问工具

一、前言因为最近个人需要,想在手机上使用"高级搜索",但是找了一圈发现都是需要收费的网络工具,奈何我没钱,所以只能通过专业技能弄一个破解版的。二、应用分析下面就直接奔入主题。首先我们看到到期界面如下:提示会员还有0天,所以这个就是我们的突破口,直接反编译这个app,然后找到这个字符串信息:然后用Jadx打开apk文件,全局搜索这个name值:直接点进入进行查看即可:最终会跟踪到这个方法中,我们在这...

2017-09-11 08:46:55

Android逆向之旅---分析某直播App的协议加密原理以及调用加密方法进行协议参数构造

一、前言随着直播技术火爆之后,各家都出了直播app,早期直播app的各种请求协议的参数信息都没有做任何加密措施,但是慢慢的有人开始利用这个后门开始弄刷粉关注工具,可以让一个新生的小花旦分分钟变成网红。所以介于这个问题,直播App开始对网络请求参数做了加密措施。所以就是本文分析的重点。逆向领域不仅只有脱壳操作,一些加密解密操作也是很有研究的目的。二、抓包查看加密协议本文就看一款直播app的协议加密原...

2017-09-06 15:22:25

Android"挂逼"修炼之行---微信中定位照片的位置信息插件开发详解

一、前言最近关于微信中,朋友之间发送原图就可能暴露你的位置信息,其实这个问题不在于微信,微信是为了更好的体验效果,才有发送原图功能,而对于拍照,发送普通图片微信后台都会过滤图片的exif信息,这样就不会携带位置信息了。我们本身用手机自带的相机拍摄照片默认都是会在图片中添加位置信息的。当然我们也可以手动的关闭这个功能。这一点个人觉得不能怪微信。因为更好的逆向学习,和用户体验,本文将开发一套更加好...

2017-09-02 10:11:42

Wireshark和Fiddler分析Android中的TLS协议包数据(附带案例样本)

一、前言在之前一篇文章已经介绍了一款网络访问软件的破解教程,当时采用的突破口是应用程序本身的一个漏洞,就是没有关闭日志信息,我们通过抓取日志获取到关键信息来找到突破口进行破解的。那篇文章也说到了,如果这个app应用没有日志信息,我们该怎么办呢?那么这时候就需要采用抓包来寻找突破口了。二、安装Fiddler证书我们通过Fiddler连接手机进行抓包查看,应用访问数据信息都是用的HTTPS协议,也就是...

2017-08-30 18:07:48

Android中利用AXMLEditor工具不进行反编译就篡改apk文件

一、问题描述在上一篇文章,我们已经介绍了如何修改arsc文件,直接利用AXMLEditor工具进行二进制文件修改,可以实现对属性和标签的增删改。这样我们就不需要在反编译apk文件,然后修改xml在回编译了。而本文就用一个案例来分析这个工具的用法,我们用一个回编译失败的apk包文件,那就是我们常用的WX,我们想实现的效果很简单,在WX的启动页面篡改一下,启动的是我们插入的广告页面,效果如下:看到这里...

2017-08-28 08:46:03

Android中AndroidManifest ARSC 二进制文件修改器AXMLEditor

一、情景分析通常我们在破解apk的时候,第一步肯定先反编译apk文件,然后开始修改代码和资源文件,最后回编译签名即可。但是现在有些apk做了一定策略,或者apk包如果很大都会导致回编译失败,而回编译如果失败,对于修改就没意义了。毕竟我们想回编译安装使用我们修改之后的功能。而对于回编译失败的问题,也可以花点时间结局的。但是有时候花费的时间不值得,而且也不一定能成功。所以就需要想其他的办法了。那就是无...

2017-08-14 08:39:10

Chrome浏览器如何调试移动端网页信息

最近在弄项目,用WebView加载一个页面,想追踪页面中一个按钮的点击事件。这个可能就需要调试这个页面了。而关于WebView调试页面,我觉得有点麻烦,所以这里直接利用PC端的Chrome浏览器进行调试即可。因为Chrome浏览器可以支持预览手机页面。关于需要调试的页面地址为:https://ds.alipay.com下面就来开始直接进行调试功能,首先我们在PC端用Chrome打开这个链接:我们会...

2017-08-12 12:42:20

查看更多

CSDN身份
  • 博客专家
勋章 我的勋章
  • 专栏达人
    专栏达人
    授予成功创建个人博客专栏的用户。专栏中添加五篇以上博文即可点亮!撰写博客专栏浓缩技术精华,专栏达人就是你!
  • 持之以恒
    持之以恒
    授予每个自然月内发布4篇或4篇以上原创或翻译IT博文的用户。不积跬步无以至千里,不积小流无以成江海,程序人生的精彩需要坚持不懈地积累!
  • 勤写标兵Lv1
    勤写标兵Lv1
    授予每个自然周发布1篇到3篇原创IT博文的用户。本勋章将于次周周三上午根据用户上周的博文发布情况由系统自动颁发。