如 果iOS设备已被越狱,则“破界”恶意代码从PC端向iOS端释放并启动start文件,start文件启动后会上传应用和设备sn信息,启动恶意样本 apps(“破界”恶意代码从PC端安装到iOS设备中的应用),apps启动后加载其包下的lib文件sfbase.dylib,该文件运行后会 hook sendEvent函数,获取电话、短信、浏览器、移动储存挂载、搜索、系统偏好等信息通过POST上传到服务器,其中通信录和短信通过sqlite数据 库获取,还会检测更新样本版本。下图为”破界”恶意代码执行流程。
下表给出了“破界”恶意代码执行流程中的关键元素的对应说明:
1. 解包分析
下面以“中国银行手机银行 2.6.3.rar”为例进行分析。解包后有如下8个文件。其中6个DLL与1个文本文件为正常文件,后缀为.exe文件为恶意文件。
2. 向iOS设备安装分析
l 当系统中未装入iTunes时,双击“中国银行手机银行 2.6.3.exe”时,出现警告提示,当点击“是”,会连接iTunes的官方下载站点:http://www.apple.com/cn/itunes/download/。
· 当系统中安装iTunes时,会有如下安装提示:
· 当接入iOS设备时,会有如下提示:
· 当点击“点击安装”时会进行安装并提示安装完成。
安装完成后在测试设备中无新增应用(正常应用及恶意应用均未安装成功)。测试中将正常版本及越狱版本均进行了测试。测试设备:IPad MINI2 + iOS 7.0.4。
3. 释放文件分析
会在用户的Temp目录下释放出如下两个文件:
Apps.ipa文件在“中国银行手机银行 2.6.3.exe”中的偏移地址为:0xdbb22
third.ipa文件在“中国银行手机银行 2.6.3.exe”中的偏移地址为:0x1FDA00
4. PE文件的代码分析:
释放正常文件(third.ipa)和恶意文件(Apps.ipa)
将恶意文件apps.ipa(“破界”恶意代码)向iOS设备中进行安装。
好文章,需要你的鼓励
普林斯顿大学研究团队通过分析500多个机器学习模型,发现了复杂性与性能间的非线性关系:模型复杂性存在最优区间,超过这个区间反而会降低性能。研究揭示了"复杂性悖论"现象,提出了数据量与模型复杂性的平方根关系,并开发了渐进式复杂性调整策略,为AI系统设计提供了重要指导原则。
微软亚洲研究院开发出革命性的认知启发学习框架,让AI能够像人类一样思考和学习。该技术通过模仿人类的注意力分配、记忆整合和类比推理等认知机制,使AI在面对新情况时能快速适应,无需大量数据重新训练。实验显示这种AI在图像识别、语言理解和决策制定方面表现卓越,为教育、医疗、商业等领域的智能化应用开辟了新前景。