如 果iOS设备已被越狱,则“破界”恶意代码从PC端向iOS端释放并启动start文件,start文件启动后会上传应用和设备sn信息,启动恶意样本 apps(“破界”恶意代码从PC端安装到iOS设备中的应用),apps启动后加载其包下的lib文件sfbase.dylib,该文件运行后会 hook sendEvent函数,获取电话、短信、浏览器、移动储存挂载、搜索、系统偏好等信息通过POST上传到服务器,其中通信录和短信通过sqlite数据 库获取,还会检测更新样本版本。下图为”破界”恶意代码执行流程。
下表给出了“破界”恶意代码执行流程中的关键元素的对应说明:
1. 解包分析
下面以“中国银行手机银行 2.6.3.rar”为例进行分析。解包后有如下8个文件。其中6个DLL与1个文本文件为正常文件,后缀为.exe文件为恶意文件。
2. 向iOS设备安装分析
l 当系统中未装入iTunes时,双击“中国银行手机银行 2.6.3.exe”时,出现警告提示,当点击“是”,会连接iTunes的官方下载站点:http://www.apple.com/cn/itunes/download/。
· 当系统中安装iTunes时,会有如下安装提示:
· 当接入iOS设备时,会有如下提示:
· 当点击“点击安装”时会进行安装并提示安装完成。
安装完成后在测试设备中无新增应用(正常应用及恶意应用均未安装成功)。测试中将正常版本及越狱版本均进行了测试。测试设备:IPad MINI2 + iOS 7.0.4。
3. 释放文件分析
会在用户的Temp目录下释放出如下两个文件:
Apps.ipa文件在“中国银行手机银行 2.6.3.exe”中的偏移地址为:0xdbb22
third.ipa文件在“中国银行手机银行 2.6.3.exe”中的偏移地址为:0x1FDA00
4. PE文件的代码分析:
释放正常文件(third.ipa)和恶意文件(Apps.ipa)
将恶意文件apps.ipa(“破界”恶意代码)向iOS设备中进行安装。
好文章,需要你的鼓励
当AI遇到空间推理难题:最新研究揭示GPT-4等顶尖模型在传送门解谜和立体拼图中集体"挂科",复杂智能远比我们想象的更难实现。
大连理工大学和浙江大学研究团队提出MoR(Mixture of Reasoning)方法,通过将多种推理策略嵌入AI模型参数中,让AI能自主选择最适合的思考方式,无需人工设计专门提示词。该方法包含思维生成和数据集构建两阶段,实验显示MoR150模型性能显著提升,比基线模型提高2.2%-13.5%,为AI推理能力发展开辟新路径。
2025施耐德电气智算峰会上,全新EcoStruxure(TM) Energy Operation电力综合运营系统正式亮相,定位场站级智慧能源管理中枢,集技术领先性与本土适配性于一体。
剑桥大学研究团队开发了FreNBRDF技术,通过引入频率修正机制显著提升了计算机材质建模的精度。该技术采用球面谐波分析提取材质频率信息,结合自动编码器架构实现高质量材质重建与编辑。实验表明,FreNBRDF在多项指标上超越现有方法,特别在频率一致性方面改善近30倍,为游戏开发、影视制作、电商预览等领域提供了重要技术支撑。