精华内容
下载资源
问答
  • 此外,苹果安全专家帕特里克·沃德尔(Patrick Wardle)注意到,该解密例程在恶意软件代码中的任何地方均未调用,这表明该解密例程从未得到执行。Malwarebytes研究人员指出,即使恶意软件声称已加密文件,也并不总是...

    端点安全公司SentinelOne的研究人员创建了一个工具,使用户能够恢复由名为ThiefQuest的Mac恶意软件加密的文件,该恶意软件为勒索软件。

    c05b1de8be413d2f00f588513a29c528.png

    ThiefQuest最初名为EvilQuest,旨在对受感染系统上的文件进行加密,但也允许其操作员记录键盘记录,窃取文件并完全控制受感染的设备。

    f5f034cdda5a349d47664864a73c05a3.png

    0ea31b0178a623935db8141ecb67874f.png

    ThiefQuest最初被归类为勒索软件,但仔细分析后发现,攻击者无法知道哪个受害者支付了赎金,这使研究人员认为勒索软件功能旨在掩盖数据盗窃活动。

    感染

    一旦安装程序触发了感染,恶意软件便开始在硬盘驱动器上相当自由地传播自己。两种变体都patch在以下位置安装了文件副本:

    /Library/AppQuest/com.apple.questd

    /Users/user/Library/AppQuest/com.apple.questd

    /private/var/root/Library/AppQuest/com.apple.questd

    它还通过启动代理和守护程序plist文件设置持久性:

    /Library/LaunchDaemons/com.apple.questd.plist

    / Users /用户/Library/LaunchAgents/com.apple.questd.plist

    /private/var/root/Library/LaunchAgents/com.apple.questd.plist

    在中找到的每个文件组中的后者/private/var/root/,可能是由于在用户文件夹中创建文件的代码中存在错误,导致在根用户文件夹中创建了文件。由于几乎没有人实际以root用户身份登录,因此这没有任何实际用途。

    奇怪的是,该恶意软件也将自身复制到以下文件:

    /用户/用户/库/.ak5t3o0X2

    /private/var/root/Library/.5tAxR3H3Y

    后者与原始patch文件相同,但是前者以非常奇怪的方式进行了修改。它包含patch文件的副本,该文件的数据的第二个副本附加到末尾,后跟附加的9个字节:十六进制字符串03705701 00CEFAAD DE。尚不清楚这些文件或此附加附加数据的用途是什么。

    更奇怪的是,仍然是莫名其妙的是,该恶意软件还修改了以下文件:

    /Users/user/Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/Contents/Helpers/crashpad_handler

    /Users/user/Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/Contents/Helpers/GoogleSoftwareUpdateDaemon

    /Users/user/Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/Contents/Helpers/ksadmin

    /Users/user/Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/Contents/Helpers/ksdiagnostics

    /Users/user/Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/Contents/Helpers/ksfetch

    /Users/user/Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/Contents/Helpers/ksinstall

    这些文件都是GoogleSoftwareUpdate的一部分的所有可执行文件,由于在计算机上安装了Google Chrome,因此最常安装这些文件。这些文件具有文件内容的patch前缀,这当然意味着在执行这些文件中的任何一个时,恶意代码就会运行。但是,Chrome会发现文件已被修改,并且运行后会立即用干净的副本替换修改后的文件,因此目前尚不清楚目的是什么。

    c00c5dde490a35221551384909a79ceb.png

    ThiefQuest是针对macOS应用程序(例如Ableton和Mixed in Key DJ应用程序以及Little Snitch防火墙)的木马安装程序提供的。一旦安装了恶意软件,它将开始加密在设备上找到的文件,然后通过文本文件和模式窗口通知受害者,他们的文件已被加密,需要用比特币支付50美元的赎金才能恢复它们。

    小偷任务

    但是,正如Bleeping Computer指出的那样,将向所有受害者提供相同的比特币地址,并且受害者无法与攻击者联系,让他们知道赎金已经支付。

    此外,苹果安全专家帕特里克·沃德尔(Patrick Wardle)注意到,该解密例程在恶意软件代码中的任何地方均未调用,这表明该解密例程从未得到执行。Malwarebytes研究人员指出,即使恶意软件声称已加密文件,也并不总是对其进行加密,这进一步表明勒索软件功能只是一种干扰。

    对于文件已被恶意软件加密的Mac用户,SentinelOne已发布了免费的解密工具。该公司的研究人员对ThiefQuest进行了分析,并注意到其开发人员将解密功能保留在了恶意软件代码中。一旦他们能够恢复解密文件所需的密钥,就可以使用恶意软件自己的解密功能来恢复加密的文件。

    ThiefQuest旨在从受感染的系统中窃取文档,图像,源代码,数据库,加密密钥和加密货币钱包。

    Wardle 对威胁的分析表明,它还会查找可执行文件,并向这些文件添加恶意代码。这将使其像病毒一样传播,这在Mac恶意软件中非常罕见。

    “现实是,大多数(全部?)最近的macOS恶意软件标本不是计算机病毒(按照标准定义),因为它们不寻求本地复制自身。但是OSX.EvilQuest确实……使它成为真正的macOS计算机病毒!” 沃德尔说。

    免费工具-恢复ThiefQuest Mac恶意软件加密的文件下载:

    https://github.com/Sentinel-One/foss/tree/master/s1-evilquest-decryptor

    妥协指标

    补丁(com.apple.questd)

    5a024ffabefa6082031dccdb1e74a7fec9f60f257cd0b1ab0f698ba2a5baca6b

    小飞贼4.5.2.dmg

    f8d91b8798bd9d5d348beab33604a540e13ce40b88adc096c8f1b3311187e6fa

    混入密钥8.dmg

    b34738e181a6119f23e930476ae949fc0c7c4ded6efa003019fa946c4e5b287a

    样品

    SHA-1:178b29ba691eea7f366a40771635dd57d8e8f7e8

    SHA-256:f409b059205d9a7700d45022dad179f889f18c58c7a284673975271f6af41794

    MD5:522962021E383C44AFBD0BC788CF6DA3 6D1A07F57DA74F474B050228C6422790 98638D7CD7FE750B6EAB5B46FF102ABD

    展开全文
  • plist 反解析工具

    2014-06-18 14:01:04
    TexturePacker 打包成的plist文件反解析成小文件 界面不好看,简单写了下
  • ipa文件中info.plist与icon图标解密

    热门讨论 2012-02-20 19:29:00
    我们用程序解析ipa文件时,里面info.plist与icon图标都是加密过的,这两个jar包可以用java程序实现文件解密.下载后里面有例子程序
  • plist文件加密方法

    热门讨论 2014-05-03 16:02:22
    ios开发中给plist文件进行DES加密的方法
  • plist文件解析

    2016-03-10 10:32:16
    plist

    plist解析:  http://blog.csdn.net/ning_ya9293/article/details/48816023

    定位:http://blog.csdn.net/vnanyesheshou/article/details/50125519    

                http://blog.csdn.net/mylizh/article/details/44838065


    调用相机:http://www.cnblogs.com/kenshincui/p/4186022.html#avFoundationCamera

    展开全文
  • 怎么解析info.plist文件

    2016-03-09 15:20:54
    1.第一种,解决bundle里面配置的inf.plist文件.案例:表情的解析 2.第二种,获取系统的info.plist文件,设置版本更新,或查询信息

    1.第一种,解决bundle里面配置的inf.plist文件.案例:表情的解析

    2.第二种,获取系统的info.plist文件,设置版本更新,或查询信息

    展开全文
  • 反编译info.plist工具类

    热门讨论 2012-01-12 21:16:55
    使用java获取ipa包中info.plist,详见http://blog.csdn.net/akwolf/article/details/7197311
  • dump、Hopper等工具中使用的 info.plist文件 IPA文件有一个很重要的文件Info.plist 就类似于Android程序的Manifest.xml,只要能够从IPA文件中提取出来Info.plist,然后在进行解析提起相关信息 权限和权限描述 ...

    什么是IPA

    “ipa后缀的文件是iOS系统的软件包,全称为iPhone application archive.通常情况下,ipa文件都是使用苹果公司的FairPlay DRM技术进行加密保护的。每个IPA文件都是ARM架构的可执行文件以及该应用的资源文件的打包文件,只能安装在iPhone,iPod Touch 或iPad上。该文件可以通过修改后缀名为zip后,进行解压缩,查看其软件包中的内容。 ”

    脱壳

    经过App Store加密的应用,我们无法通过Hopper等反编译静态分析,也无法Class-Dump,在逆向分析过程中需要对加密的二进制文件进行解密才可以进行静态分析,这一过程就是大家熟知的砸壳(脱壳)

    其实就是经过加密的,这个“砸壳”的过程就是一个解密的过程

    "砸壳"在iOS逆向工程中是经常做的一件事情,,因为从AppStore直接下载安装的App是加壳的,其实就是经过加密的,这个“砸壳”的过程就是一个解密的过程

    未砸壳的App是无法在Class-dump、Hopper等工具中使用的

    info.plist文件

    IPA文件有一个很重要的文件Info.plist 就类似于Android程序的Manifest.xml,只要能够从IPA文件中提取出来Info.plist,然后在进行解析提起相关信息

    权限和权限描述
    在这里插入图片描述

    CFBundleName:app名称:这个是程序安装之后,显示在iPhone/iPad上的名字
    CFBundleDisplayName:应用展示的名称
    CFBundleIdentifier:ipa包名:应用的唯一标识,是用来发布到App store 用的
    CFBundleVersion:版本号:项目版本号,对内公布,不对外公布。
    MinimumOSVersion:应用所需IOS最低版本
    
    # 声明权限和权限描述
    <key>NSPhotoLibraryUsageDescription</key>
        <string>如果不允许,您将无法设置头像,也无法发送相册里的照片。</string>
    
        <key>CFBundleDevelopmentRegion</key>
        <string>zh_CN</string>
    

    Java 解析 IPA 文件,读取 Info.plist 信息

    参考文章:https://my.oschina.net/heweipo/blog/382942

    iOS逆向工程之App脱壳

    参考:https://www.cnblogs.com/ludashi/p/5725743.html

    ios app真机测试到上架App Store详细教程

    参考文章:http://blog.applicationloader.net/blog/zh/88.html

    展开全文
  • 之前拿了一些别人的图片素材,是用TexturePacker打包合成的,结果写程序的时候不知道每个合成前小png图的名字是什么,只能一个一个从plist文件中找,然后猜测对应的名字,再进行显示,如果不对,还要继续猜。...
  • Android 解析 plist

    2016-08-02 23:38:09
    plist 是iOS 的常用的一种数据,在iOS 中是 以 json数据 的形式 展示的,但是在Android这边的话是不提供这种解析方式的,plist的本质是 xml文件 但是 格式并不相同 questionID 1 whatQuestions
  • 下载该脚本 执行python unpack_plist.py plist的文件名获取图片
  • Android - plist文件解析

    千次阅读 2019-01-29 19:43:26
    Android解析plist文件 : plist文件示例 : &lt;?xml version="1.0" encoding="UTF-8"?&gt; &lt;!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "...
  • IOS-plist文件DES加密

    2015-03-02 15:51:22
    这些天一直在做一个知识问答的项目,因为初赛的项目题目比较少,所以题目就写在本地的plist文件里面了,直接读取就可以了。公司PM担心题目泄露,所以要我们给plist文件加密,这下可把我搞残了,因为我从来没搞过加密...
  • 这是以个很好用的以个MD5解密工具!汇集了很多,无毒无木马不信的话自己查去!
  • plist与xml的转换工具

    热门讨论 2010-01-21 17:10:35
    plist与xml之间的转换,方便实用,简单。
  • 文件加密和文件解密

    2015-09-21 16:15:29
    C# WinForm 文件加密和文件解密
  • 一.info.plist文件的反编译与提取信息  在ipa文件中,有一个info.plist文件,这是一个xml格式的文件,ipa程序的程序名称,icon图标名称等等信息都记录在其中,可是info.plist在ipa打包的时候被加密了,怎么用程序...
  • 先简单介绍一下.plist文件 .plist文件在iOS开发中经常用到,但是android开发用的比较少.其实跟xml格式的文件很像.下面给一个venues.plist文件示例 <?xml version="1.0" encoding="UTF-8"?> &l..
  • 问道手游新坐骑素材 喜欢的可以看看 问道好资源
  • cocos2dx 3.12 各平台资源加密解密

    千次阅读 2016-12-22 11:19:37
    前言,一般项目发包基本会加密 lua代码,图片资源,现在3.12自带一套加密解密流程,但是这套加密流程只适用于lua代码解密,现在需要对框架进行修改,从而可以解密图片资源。准备,首先要想好自己的加密解密的密钥 和...
  • 读取plist文件

    2013-03-14 09:16:29
    在Xcode中建立一个iOS项目后,会...我们会做一个小例子,在这个例子中我们自己建立一个plist文件并填入数据,然后运行时读取这个plist文件,并将数据填写在界面上。 首先要知道读取plist文件的方法,一般来说,使
  • 这就是为什么很多情况查壳工具并没有检测出壳,但恶意代码还是被混淆的原因,下面,我们就来学习下如何动态解密恶意软件中的payload。样本:61c19e7ce627da9b5004371f867a47d3,下载地址:...
  • ipa 打包,这里教你如果打包IPA,然后同步应用到IPHONE上
  • ios plist文件的读写

    2013-01-04 12:38:39
    在做iOS开发时,经常用到到plist文件, 那plist文件是什么呢? 它全名是:Property List,属性列表文件,它是一种用来存储串行化后的对象的文件。属性列表文件的扩展名为.plist ,因此通常被称为 plist文件。文件...
  • 我们用TexturePacker工具打包生成了plist和pvr.ccz文件,那么下一步,我们就该获取plist中的信息了。 Cocos2d中SpriteFrameCache通常用来处理plist文件,并能与SpriteBatchNode结合使用来达到批处理渲染精灵的目的...
  • IOS 项目问题总结

    2015-02-02 19:06:00
    把自己项目中遇到的问题总结一下,供大家参考,希望大家多多提出意见!! 在Xcode6.2中遇到YourbuildsettingsspecifyaprovisioningprofilewiththeUUID,noprovisioningprofilewasfound错误1.找到项目中的**....
  • 1、准备 1、安装 TexturePacker ...把 xx.plist和xx.pvr.ccz 文件放在工具目录下,直接双击“PVR转PNG.bat” 批处理文件,如果成功的话,在当前目录下就会生成相应的.png文件,这个批处理 可同时转化很多对(xx.
  • Cocos2d-x 资源加密解密实践总结

    万次阅读 2015-04-08 14:48:21
    本文针对的是cocos2d-x 3.2 和 3.4 版本进行研究。 做加密解密的思路 ...加密解密算法的简单介绍...首先,加密解密应该是一个单独的话题,一般不会涉及具体使用的引擎、框架和技术。 加密算法有Base64,DES等。 Ba
  • 其实只是通过简单的执行3次DES来达到增加密钥长度和安全而已,3DES算法在对明文M进行加密时,采用了三次加密过程,其中第一次和第三次是采用DES的加密算法,第二次采用的则是解密算法,从而得到最终的密文C。...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 1,483
精华内容 593
关键字:

plist解密