社会闲散人员的 2021-09 月报

大家好，恭喜开始国庆节假期， 这里是社会底层的闲散安全研究员的九月份摸鱼报告。

目录

社会闲散人员的 2021-09 月报    目录    Coding            AtomShrink            CxQL Query for  Android Bug    Learning        图数据库        程序分析        AI 超分    Money        仓位        收益    十月

Coding

9 月 の 代码合集

AtomShrink

AtomShrink 是一个给 APK 做代码剪枝的工具，8 月报里提到的 JEB Headless Analysis 即是其中的一部分，原理是通过定义 source 以及  sink 然后通过 Call Graph 和 Dependency Graph 来进行可达的路径裁剪， 虽然这部分工作在大部分程序分析工具里都会做， 但是因为他们经常还会同时进行其他较为复杂的分析，导致可能会出现内存爆炸的情况， 比如 FlowDroid，所以专门写了这个东西来完成第一阶段的 CG 剪枝。

利用 JEB 强大的反混淆特性 (解反射，字符串解密等)，也许能覆盖更多的准确路径，不过强大付出代价就是调用 JEB Decompiler 需要付出多倍的时间来完成这件事情。（现在感觉性价比不是很高，所以我打算换成速度更快的工具来代替这件事情，感觉一星期的代码白写了...）

并且配套脚本，自动化的批量处理以下流程

APK -> 解压-> 提取 DEX -> 分析 -> DEX 瘦身 -> 重压 -> 反编译

既然名字里带 Atom， 当然不能满足于调用图级别的剪枝，并且实际情况也证明光靠流和上下文都不敏感的调用图的剪枝效果还是有点差强人意，现在是设置最大上限并且配合几种策略来使用，虽然有用还是有用，但不是我理想中的状态，所以后面可能还是要把数据流的剪枝也安排上，不过用什么来做还没有决定好，之前在 JEB 上也已经写了一些代码，不过跟我现在的构想已经大相径庭。

另外一个点是准备用 neo4j 之类的 GraphDatabase 来存数据，一些图上的算法不用自己写了，可视化和查询也方便。现在是用 JSON 存数据，就只能给代码用，还得自己建索引其实也损失了效率。

CxQL Query for  Android Bug

大概花了一星期时间写好了剪枝的部分， 就开始写 CxQL 的漏洞规则了， 将以前挖到的漏洞 + 网上收集的漏洞报告都梳理好漏洞模型，定义好 source 和 sink， 然后挑选一个幸运的厂商 app 一边挖洞一边调整规则，目前覆盖了 9 种 Android 上常见的风险规则， 包括 IntentBridge，WebPageInjection，CommandInjection，ArbitraryWriteFile，FileSteal 等。

我还是挺喜欢 Cx 这种跟 CPG 一样的查询模式的，不过实践下来对于数据流的分析还是有一些值得诟病的地方，比如对 this 的污染传播离谱到没边， 给 instance field 赋值不是在 field domain 污染， 而是直接对 this object 污染，虽然也许能通过写规则来清洗掉，但是真的很费劲， 而且带来的另一个问题是对于没有调用边的代码就匹配不到了， 而 Android 里很多代码都是根据回调机制触发的，这个也可以用规则解决， 但是也很费劲，而且效率也不高（我猜的，想了半天觉得太费劲没能写出来（主要是没学会...

不过也不只是 Cx 的问题， 试用了一些别的其实各家都是有利有弊吧， 想要最符合自己需求的果然还是得自己写哈...或者二次开发，比如大家常用的 FlowDroid， 虽然我一万个不喜欢 soot 的理由，但这个行业开源的靠谱选择少得可怜。

吐槽归吐槽，扫扫审审修修改改了两个星期，还是出了几个洞，交了两个利用链危害比较大的，撞一个留一个，这波不亏（：

至于最后一个星期，基本都在摸鱼，当肥宅，熬夜打游戏，熬夜发胖，啊好想减肥~...

Learning

9 月 の 瞎几把看看

图数据库

在看的是这本，除了后面实战的部分， 前面基本快看完了，图数据库这玩意看起来好使哇，学废了自己写 CPGQL 指日可待，非常符合我现在的需求。

程序分析

入门书 +1

AI 超分

学废了怎么运行 python 脚本来使用模型和训练模型，虽然代码一点都看不懂，参数也不是很会调，不过能跑就牛逼。现在封装了 https://github.com/Thmen/EGVSR 方便使用并且训练了 x2 模式，放到家里的 gitlab ，等我什么时候有钱买显卡了就拿出来跑小姐姐。

Money

喜闻乐见的 9 月 の 理财，迫于失业，挖不到洞还理财亏钱，好惨一男的。

仓位

• A 股：20 %，月中在高点的时候减了一些票，本来只占 16%，在节前最后一天加到了账户的九成，所以现在占总体 20 %左右。

• 偏股基金：22 %， 在月初高点的时候追了一些，到月中开始回撤就把基金总体就减了三层仓位，下旬又减了一些偏股基，同样在节前最后一天又加了不少仓位，节后确认之后大概占总体 34 %。

• 偏债基金：27 %，除了月中卖出三层仓位， 没有任何操作。

• 空仓：17 %， 留着节后看情况加仓基金。

收益

先算下总收益率，大概是-0.66%，本月没赚钱，不过幸好也没亏多少，亏得主要原因是月初在最高点追高梭了一些仓位，没亏多少的主要原因及时止损控制了回撤再加上股票比较给面子。

• A 股账户：+ 3.85%

  现在持有歌尔+恒绿医药+三一。本月主要靠中国巨石和歌尔股份，巨石拿了一年翻倍，在本月山顶上全清了；歌尔在山腰卖了两笔最后一天在山底又接回来了；恒绿还是半死不活的，看起来还是照 10 年拿的亚子；三一重工日常冲高回落，在本月的山腰附近卖了两笔，在底一点又接了三笔，但总体目前还是亏损的一千块钱。

        重仓了三一没有控制好回撤就是这个亚子，像我这样的的三一韭菜大概还有 98 万个。

• 支付宝：-1.59 %

  基金账户血亏， 幸好月中一波减仓躲过了不少回撤，不然人都没了。

• 天天基金：-1.44%

  这个账户里没什么钱，只买了一个支付宝买不了的 009758， 以至于我减仓的时候都没有想到这个账号。

十月

十月份还是比较看好的，希望能有收益，希望能多挖到几个洞，希望能把几个脑子里的 idea 实现了，希望能减减肥，希望能规律作息，希望小富贵竹身体健康(有两杆快凉了)，祝大家国庆过个好节～