En
  • 近日,Xshell官方发布公告称其软件中存在后门。腾讯安全应急响应中心的实习生同学对该后门进行了详细的分析,确认这是一个具备恶意代码下载执行和数据回传等能力的高级木马。

  • 随着手机功能越来越多,其在我们生活中扮演的角色也越来越重要,除了保存传统的通讯录、短信、照片等个人隐私,现在的手机还是一个支付工具,如果手机被盗用,手机锁屏密码就是保证大家数据和资金安全的第一道屏障。我们最近也研究和总结了一些手机解锁的新老姿势的安全性,在此分享给大家,欢迎大家上车一起交流。

  • FFmpeg是一个著名的处理音视频的开源项目,使用者众多。2016年末paulcher发现FFmpeg 三个堆溢出漏洞分别为CVE-2016-10190、CVE-2016-10191以及CVE-2016-10192。本文详 细分析了CVE-2016-10190,是二进制安全入门学习堆溢出一个不错的案例。

  • 本文其实是我们在2016年底为腾讯投后企业的相关同学进行主题为“如何防范黑客攻击”的安全培训(为投资企业提供全方位资源支持是腾讯投资的一个增值服务)的时候产生的副产物:部分初创企业安全团队规模较小(甚至没有专职的安全团队),但是却又实实在在地遭受到来自互联网的安全威胁,它们急需安全方面的指导,但是又苦于经验和资源的匮乏,所以当时我们答应下来将这部分工作后续以文章及服务的形式进行分享。

  • 本文主要针对x86架构下Obfuscator-LLVM的控制流平坦化,但最重要的是去除控制流平坦化过程中的思路,同时当函数比较复杂时可能速度会有点慢。有时间会以此为基础尝试分析伪造控制流、指令替换和VM等软件保护手段,另外符号执行也可以应用于漏洞挖掘领域,例如借 助符号执行生成覆盖率更高的Fuzzing测试集以及求解达到漏洞点的路径等。

  • 2016年12月的Apple安全公告中,修复4个由腾讯安全平台 部终端安全团队报告的漏洞,其中有2个是字体解析造成的越界访问漏洞,影响 macOS/iOS/watchOS/tvOS等多个平台系统,本文主要分析其中的 CVE-2016-7595 字体漏洞。

  • 谷歌近期对外公布了12月份的安全公告,其中包含我们团队提交的语音信箱伪造漏洞(CVE-2016-6771),该漏洞可导致恶意应用进行伪造语音信箱攻击。本文将对该漏洞进行分析。

  • Android应用的审计技术已经于相对成熟,而iOS应用审计系统在国内还是比较欠缺的。我们专门研发了一款针对iOS应用的自动化审计系统。除日常的应用审计外,也是希望它能够在安全应急上起到辅助的作用。本文主要是对这部分技术进行一些粗浅的探索。

  • Hacking Team泄漏的武器级黑客工具中,雪藏了一个安卓平台浏览器漏洞的精妙利用。一个普通的链接,是利用若干个CVE,堆喷射,ROP等多种攻击手法结合,层层洞穿系统的防御体系,最终种植ROOT木马?且看TSRC小伙伴kimyok对这次漏洞利用的简单分析。由于TSRC小伙伴都在忙于挖宝藏,时间仓促,如有疏漏敬请斧正。详情请点击查看正文!

  • 随着移动互联网的发展,很多PC端漏洞也逐步出现在移动终端上,比如PC上的Chrome浏览器此前就出现过各种UXSS漏洞,现在Android上也出现了许多同类漏洞。@腾讯安全应急响应中心 的安全工程师对该类漏洞的原理及防御方案进行了详细分析。