前言电子取证当中，我们有时候会碰到关于GPS的情况，弄清楚GPS的取证相关知识点，可以帮助更好的判断。参考书籍:正文在这之前，我们要先下载好，两个工具，工欲善其事必先利其器。一个就是我们经常使用的FTK

前言前段时间拿到了弘连的取证实录杂志，看到了里面有关于APP取证的，对其中一个常用地址的取证解密分析进行了一下复现，非常感谢弘连公司高质量的文章。参考文献:相关文章:Frida达达，公众号：Th0r安全FO-HOOK取证实战数据库解密安卓达达，公众号：Th0r安全Android逆向之smali正文这篇主要的难点应该是在于需要花时间发现这个XML文件中的这个字段，剩余的就是不断的往上追踪和hook，但是发现的部分作者已经找出来了，所以之后的比较套路常规。用scrcpy显示真机下载软件，注册账号，绑定常用地址打开文件管理器，根据时间查看改变时间，之后在XML中找到关键字段这时候解码出来是乱码，需要去跟踪代码，搜索关键词继续跟踪mo66949d继续跟进，发现是native打开ida搜索相关跟进CBC然后初步假设AES_set_decrypt_key的第一个参数是key,AES_cbc_encrypt的第五个参数是IV，CryptoCore::cbcEncrypt是0x5A1C0这里就可以写出frida的hook脚本了通过点击该功能触发hook这时候去解密验证一下

点击“蓝字”关注我们吧！前言概述Linux环境下处理应急响应事件相比于Windows往往会更加的棘手。这篇文章将会对Linux环境下的应急响应流程进行讲解，并且提供每一个环节中所用到的shell命令，以帮助大家快速、系统化地处理Linux环境下的病毒。处理Linux应急响应主要分为这4个环节：识别现象->

前言在进行安卓环境的逆向分析时，会难免碰到so层的分析，这时候可以静态分析，也可以利用Frida这样的进行一个动态hook,这里今天带来了一个工具-Unidbg，可以直接在PC端调用SO文件。正文先从github上下载，这里使用的前提是要有JDK和maven。地址：https://github.com/zhkl0228/unidbg然后在有环境的前提下，直接导入idea中。运行自带的一个案例，查看是否运行顺利可以看到这里是运行成功了的。这里通过这个案例来看它的一个用法一开始就是配置，跟着文档来就行，导入so和它的类。可以通过callStaticJniMethodObject直接调用指定方法打印符号的内存信息。获取基地址也支持hook:postCall需要在hook.replace的参数3要为true的时候，才会执行。onCall：调用的时候

前置知识注册表的配置单元：HKEY_USERS：包含所有加载的用户配置文件HKEYCURRENT_USER：当前登录用户的配置文件HKEY_CLASSES_ROOT：包含所有已注册的文件类型、OLE等信息HKEYCURRENT_CONFIG：启动时系统硬件配置文件HKEYLOCAL_MACHINE：配置信息，包括硬件和软件设置存放位置：HKLM\BCD:

objection这里这一步会直接帮忙把frida和frida-tools安装掉，接着去把对应的frida-server安装上传至模拟器就行。adb

将这个指令的上一条指令计算结果，移入到v1寄存器中(需要配合invoke-staic、invoke-virtual等指令使用）move-result-object