安全

在本章中，我们将编写代码，提取恶意软件常滥用的分发文件格式（如磁盘映像和安装包）中的代码签名信息。接着，我们将关注磁盘上 Mach-O 二进制文件及运行进程的代码签名信息。针对每种情况，我会展示如何编

在上一章中，我们列举了正在运行的进程，并提取了一些信息，这些信息有助于我们通过启发式方法检测恶意软件。不过，我们还没有介绍如何检查支撑每个进程的实际二进制文件。本章将讲解如何以编程方式解析和分析 ma

绝大多数Mac恶意软件以独立进程的形式持续运行在被感染的系统上。因此，如果你生成当前运行进程的列表，很有可能包含系统中存在的任何恶意软件。因此，当你尝试通过编程方式检测macOS恶意软件时，应首先检查

请考虑当今你可能遇到的各种漏洞研究目标：Golang 网络协议服务器、Electron 桌面客户端、Kotlin 安卓应用等等。虽然传统的针对编译后的二进制文件进行白盒模糊测试仍有其用武之地，但你很可

基于变异的黑盒模糊测试的最大优势之一是几乎不需要复杂的准备工作。收集好初始输入（种子语料库）后，你所要做的就是运行模糊测试工具，等待崩溃或异常行为的发生，这些往往暗示着潜在的漏洞，比如内存损坏漏洞。这

我们到目前为止讨论的代码审计和逆向工程策略，都是为了深入理解程序，从而进行某种变体的污点分析。寻找易受攻击的汇点并将其与可达的源点关联，是一种经久不衰、永远适用的策略。然而，即使借助各种自动化框架和节

逆向工程中没有单一完美的方法。虽然静态分析理论上可以暴露程序的所有指令，但解读复杂应用尤其是在涉及对象和类等抽象概念时，往往十分困难。动态分析则能揭示程序的实际行为，但其效果高度依赖于能否触发那些代码

尽管基于脚本的框架如 Electron 很受欢迎，但由于实际和历史原因，你遇到的大量二进制文件实际上是被编译为机器码的。即便有最好的伪代码生成器，分析更复杂的二进制文件依然很困难。除非你是经验丰富的逆

就像代码审查和模糊测试一样，逆向工程也是一个可以写成整本书的专题（事实上已经有好几本了）。本书不会详细深入探讨每个学科的细节，而是聚焦于策略，如何高效调配有限资源以实现明确且重要的目标。要达成这个目标

现在你已经从内向外和从外向内两种角度接近了代码分析，是时候将二者结合起来了。当你深入钻研源与汇分析的细节时，或许会想知道是否可以将此过程自动化。这个问题在漏洞研究中常常遇到，答案是：视情况而定。 本章

随着软件复杂度的提升，其攻击面——即潜在漏洞利用入口点的数量——也随之扩大。此外，新功能的快速上线可能导致代码安全性不足，而旧功能则可能存在无人维护或已被弃用的代码。这些都为漏洞的产生提供了机会，因为

污点分析（又称源点-汇点分析，source and sink analysis）是对程序中输入数据从“源”到“汇”的流动路径进行追踪分析的方法。其核心思想很简单：大量安全漏洞的产生，都是由于攻击者可控

零日漏洞研究曾经是国家级行为体和独立研究人员的专属领域，如今已发展成为一个庞大的市场。随着发现和利用的零日漏洞数量持续增加，漏洞研究——即分析系统以发现新漏洞的过程——在网络安全中扮演了关键角色。 对

零日漏洞（Zero day）。这个词在信息安全圈里往往带有紧迫感、恐惧感，甚至兴奋感。之所以称为零日，是因为除了发现它们的研究人员外，没有人知道这些漏洞的存在，修补漏洞的倒计时尚未开始。因此，发现零日

引言 暗网包含的信息是常规搜索引擎无法访问的。需要专门的软件来访问暗网，即便如此，关于如何开始在网站上寻找内容，也没有明确的指导。一些可以在暗网上访问的网站被独立列出。可以在一些著名的维基百科和社交媒

对罗斯·乌尔布里希特（Ross Ulbricht）来说，比特币是上天的恩赐。到2013年3月，他29岁时，乌尔布里希特已经坐上了全球最大的在线毒品市场的宝座，而比特币正是让这一切成为可能的秘密武器。

在进行侦察活动并收集关于目标的信息后，你通常会继续寻找进入远程系统的入口点。你在寻找组织中的漏洞，这些漏洞可能会被利用。你可以通过不同的方式来识别漏洞。根据你的侦察，你甚至可能已经识别出一两个漏洞，这

当你进行渗透测试、道德黑客或安全评估时，这些工作通常都有一定的参数。这些参数可能包括目标范围的完整定义，但也常常没有明确的界定。你需要确定你的目标——包括系统和人员目标。为了做到这一点，你需要进行侦察

在第一章中，我们介绍了人工智能（AI）和机器学习（ML）的核心概念，以帮助奠定使用对抗性AI的基础。在本章中，我们将提供ML开发的实际操作演练，展示如何创建和管理您的开发环境，使用算法，并导航我们描述