SAST静态分析第27页

攻防世界-pwn pwn-100(ROP)

0x03静态分析main:sub_40068E:sub_40063D: 整个程序由3个嵌套的程序组成，我们可以

影子019·2020-06-24 22:20

使用SpotBug进行静态代码检查

通过使用静态分析工具SpotBugs，浏览代码以查找某些“已知的坏味道”：可能会导致偶发性/间歇性问题，性能不佳等的事物。这些问题很难通过测试找到，因此通过检查通常是唯一可行的方

peterwanghao·2020-06-24 19:26

Webpack入门的关键知识点

它将根据模块的依赖关系进行静态分析，然后将这些模块按照指定的规则生成对应的静态资源。其它更多的不在这里赘述，如想了解更多详情，请移步至Webpack官网查看。

Geolage·2020-06-24 18:08

SourceInsight与PC-LINT集成进行代码静态分析

PC-LINT是C/C++软件代码静态分析工具，能够帮你在程序动态测试之前发现编码错误，可以把它看作是一种更加严格的编译器。它不

objects·2020-06-24 18:21

流浪者-CTF

0x01拿到题目后是一个exe程序，首先看一下运行结果，那么一共有两种结果，一种是如果密码为空，则提示重新输入，如果输入错误，则提示加油，如下图：输入错误后程序会退出0x02放进IDA进行静态分析，看下主要代码是如何运行进入以后首先字符串查找

怪味巧克力·2020-06-24 17:20

maze

0x01拿到题目，放到IDA中静态分析，发现main函数中就是关键代码，如图：__int64__fastcallmain(__int64a1,char**a2,char**a3){constchar*v3

怪味巧克力·2020-06-24 17:20

国内外主流静态分析类工具汇总

笔者从事该软件安全方面工作，在工作和学习中收集了国内外比较主流的静态分析类工具，供大家参考。大多是资料来自于网络整理，如有不足或欠缺，还请在评论中指出。我进行修正。也欢迎同行多多交流。

manok·2020-06-24 13:49

2020疫情期间软件代码安全领域你不得不了解的重要事件

Checkmarx公司是应用程序安全测试方案的全球领导者，一直专注于软件静态分析工具研发，其核心产品Checkmarx在全球享有非常高的知名度，具有大量用户。

manok·2020-06-24 13:48

[iOS 逆向 3] 应用砸壳

4静态分析函数的反汇编代码，大致了解函数的内部逻辑。5动态分析关键函数，分析运行时的实际执行流程及寄存器、内存等信息。6模拟或篡改程序逻辑。7制作成插件；移植到非越狱机器。

Eric217·2020-06-24 12:54

如何理解C++中的动态绑定

我对于C++动态绑定的理解，一句话，就是编译器用静态分析的方法加上虚拟函数的设计实现在程序运行时动态智能执行正确虚拟函数的技术。因此要彻底理解动态绑定

luckxu·2020-06-24 09:10

iOS安全–使用static inline方式编译函数，防止静态分析

我们知道一般的函数调用都会通过call的方式来调用，hacker很容易对一个函数做手脚，如果是以inline的方式编译的，会把该函数的code拷贝到每次调用该函数的地方;而static会让生成的二进制文件中没有清晰的符号表，让逆向的人很难弄清楚逻辑staticintisValidate(intid)__attribute__((always_inline));staticinlineintisVa

Scott丶Wang·2020-06-24 08:37

使用FlowDroid生成Android应用程序的函数调用图

提到Android应用程序静态分析，就不能不提Flowdroid。该工具是目前使用很广泛的Android应用程序数据流分析工具。它基于强大的Java分析工具Soot开发，提供了许多有用的功能。

银色轻骑兵·2020-06-24 06:45

使用国内 maven 源编译 sbt

最近在研究一个用Scala编写的Android静态分析工具Argus-SAF，也就是之前的Amandroid1。

银色轻骑兵·2020-06-24 06:38

一文洞悉DAST、SAST、IAST ——Web应用安全测试技术对比浅谈

袁新平@默安科技一、全球面临软件安全危机我们即将处于一个软件定义一切的时代，这是“一个最好的时代，也是一个最坏的时代”。无论是生活中离不开的通讯、支付、娱乐、餐饮、出行，以及医疗，还是国防领域中的火箭、导弹、卫星等，都离不开软件技术。然而，软件技术在促进社会发展的同时，也可能因为漏洞问题危害人们的个人隐私信息、财产安全甚至生命安全，这类案例不胜枚举。2010年，大型社交网站rockyou.com被

liqiuman180688·2020-06-24 06:43

《深度思维》读书心得（十七）

知道了在复杂的情境中，传统的因果关系被颠覆，微观层面的静态分析失效了。而我们需要站在更高的层面上，以更宏观的、系统的高度去看待和解决问题。

龙潭593闫慧·2020-06-24 03:52

代码静态分析工具——splint的学习与使用

splint的学习与使用：http://www.cnblogs.com/bangerlee/archive/2011/09/07/2166593.html#提示没有找到头文件，通过-I参数把目录加进来splint-I"E:\C_workspace\demo\sipApp_tkj\include"Call.cppsplint的安装：Splintshouldcompileeffortlesslyons

一木之夏·2020-06-24 00:59

恶意代码分析实战 Lab 11-3 习题笔记

问题分析恶意代码Lab11-03.exe和Lab11-03.dll确保这两个文件在分析时位于同一个目录下1.使用基础静态分析过程，你可以发现什么有趣的线索？

isinstance·2020-06-23 18:41

缓冲区溢出分析第09课：MS06-040漏洞研究——深入挖掘

对漏洞函数进行静态分析我们之前所研究的Netapi32.dll的大小为309,008字节，补丁后的文件大小为3

ioio_jy·2020-06-23 18:35

嵌入式软件测试——初探

采用静态分析方法，通常对软件单元的功能、性能、接口、局部数据结构、独立路径、错误处理、边界

敲键盘的钢琴师·2020-06-23 16:41

windows逆向

1.软件逆向应用：1）软件破解2）病毒和恶意程序分析3）系统漏洞分析（Exploit）4）其他2.代码分析技术1)代码静态分析二进制对比技术（补丁漏洞分析）2)代码动态分

勇敢的鑫9·2020-06-23 16:45

如何排查Java内存泄漏?看完我给跪了!

更糟糕的是，检测这些泄漏可能很困难：静态分析通常

huangjinjin520·2020-06-23 15:00

高效看源代码网络汇总

二：1借助一些对代码静态分析的工具。2利用链接器的功能在代码模块之间跳转，搞清楚我感兴趣的程序的脉络。3设断点和写单元测试进行调试。这些方法其实都很简单，也没有什么心得可言。但实际上代码的种种玄机

he_world·2020-06-23 13:42

webpack小栗子

它将根据模块的依赖关系进行静态分析，然后将这些模块按照指定的规则生成对应的静态资源。优势webpack是以commonJS的形式来书写脚本，但对AMD/CMD的支持也很全面，方便旧项目进行代码迁移。

肆意木·2020-06-23 10:17

iOS逆向之使用ida (伪代码静态分析项目)

iOS逆向之静态分析项目的意义：1、了解文件结构：包的构成，以及文件结构里面的内容。2、文件二进制：对文件二进制进行分析，和修改二进制。

封楼·2020-06-23 08:30

ios逆向- 01逆向原理&Class-dump安装及获取头文件

静态分析利用之前学习的汇编代码,分析三方APP的源码!代码注入注入的其实是动态库!HOOK代码改变原来程序的执行流程!

ClementGu·2020-06-23 08:26

白盒测试方法 + 实战

A.静态分析：是一种不执行程序而进行测试的技术。静态分析的主要

fantian_·2020-06-23 07:48

Apk 分析与Hook技术

个人博客http://blog.csdn.net/qq_22329521/article/details/52335180Android技术防范与揭秘总结APK静态分析##静态分析指，在不允许代码的情况下

越长越圆·2020-06-23 02:12

安全笔记：逆向|windows逆向工程和8086汇编语言

目录基础知识代码分析逆向分析法修改应用程序文件或进程内存内容方法入口点修改地址方法区分代码为部分的方法快速查找制定代码两个反调试方法函数调用约定字符串字符串编码修改字符串方法内存内存分区字节序PE文件格式地址映射PE头节区头工具8086汇编语言基础知识汇编语言依赖于CPU，每个产品用的CPU种类不同，则汇编语言也有略微差异代码分析汇编文件（主）十六进制文件（辅）逆向分析法静态分析

「已注销」·2020-06-22 23:23

linux上进行C或者c++ 代码debug工具 Clion使用总结

Clion最好的一点就是他的代码静态分析能力，可以自动分析某些书写错误/类型错误，可以自动保存文件，可以ctrl跳转定义，可以一健编译，可以单步调试，这些在本文都会有所介绍。

风口上的传奇·2020-06-22 19:27

第三章动态分析简介

来源：MalwareDataScienceAttackDetectionandAttribution在第2章中，您学习了高级静态分析技术，以反汇编从恶意软件中恢复的汇编代码。

Threathunter·2020-06-22 13:02

DevOps-持续XX

目标：第三方：探索基于Specta和Expecta来测试我们的iOS项目.生成可视化的TestResultTrendReport.基于Gcovr工具来生成代码覆盖率报告.基于OCLint的静态分析,自动报告破坏代码风格规则的代码位置

XiaoLeiGe·2020-06-22 13:46

攻防世界reverse新手区writeup

查详细信息可以看到程序是32位的，是MicrosoftVisualc++编译的，并且没有加壳注：查壳工具还有PEID，EID，但是推荐EID或者exeinfope，因为，PEID查壳的时候有时候不准确那么，我们可以用静态分析神器

a370793934·2020-06-22 11:47

李洪强经典面试题4

1.怎么保证多人开发进行内存泄露的检查.1>使用Analyze进行代码的静态分析2>为避免不必要的麻烦,多人开发时尽量使用ARC2．非自动内存管理情况下怎么做单例模式.创建单例设计模式的基本步骤·>声明一个单件对象的静态实例

a359798678·2020-06-22 10:37

XCTF Hello CTF

一.查壳二.拖入idax86静态分析shift+F12找到字符串。发现关键字pleaseinputyourserial点击进入这是我们的主函数，F5反编译一下，看一下逻辑。

YenKoc·2020-06-22 09:43

C/C++ 避免数组越界的方法

由于C语言并不具有类似Java等语言中现有的静态分析工具的功能，可以对程序中数组下标取值范围进行严格检查，一旦发现数组上溢或下溢，都会因抛出异常而终止程序。也就是说，

·2020-06-22 08:08

使用webpack合并js文件

它将根据模块的依赖关系进行静态分析，然后将这些模块按照指定的规则生成对应的静态资源。在代码实践之前，先说一写webpack的基础知识。

艾小莫的梦·2020-06-22 07:46

C/C++的单元/集成测试工具 - VectorCAST/C++

VectorCAST/C++可自动实现：为单元测试和集成测试构建完整的测试环境基于脚本命令或GUI图形界面执行测试集成最好的需求管理系统和静态分析工具根据基本路径来自动生成测试用例根据测试需求自定义测试用例回

Trinitytec·2020-06-22 07:33

iOS逆向基本知识2:指针&MachO文件

静态分析利用我们之前学习的汇编代码,分析三方APP的源码!代码注入注入的其

小宝_ab67·2020-06-22 06:14

代码等静态分析(Clang/LLVM，Hades)

>Clang/LLVM针对C/Objective-C主流的静态分析开源项目包括：StaticAnalyzer、Infer、OCLint等。

desaco·2020-06-22 05:44

卡巴斯基白皮书-基于机器学习的恶意软件检测-笔记

这篇文章描述卡巴斯基实验室基于机器学习的恶意软件检测实践，包括静态分析和行为分析两类检测方法，以及数据预处理工作。

Niatruc·2020-06-22 02:44

软件测试学习（1）

（2）软件测试可分为静态分析（只是检查和审阅）和动态测试（运行和使用软件）进行静态分析时，不必运行软件，只是通过对源代码进行分析，检测程序的控制流和数据流，以及发现执行不到的“死代码”、无限循环、未初始化变量

马晓帅·2020-06-22 01:32

数据科学分析与统计

数据科学分析与统计1、统计学的介绍2、基本概念3、分析方法4、数据分组处理5、数据的静态分析指标6、数据的动态分析指标7、数据动态分析一一时间数列模型1、统计学的介绍1.1含义统计学是以数据为食物的动物

LYR1994·2020-06-21 23:53

EP5-动态加载dex(Part1)

动态加载dex(Part1)几年前我写过一篇博客(Clickhere)，当时是看了《Android软件安全与静态分析》这本书写的。里面有介绍dex的生成和反编译。

DrunkPian0·2020-06-21 22:50

Herry_Lee·2020-06-21 21:40

TscanCode C/C++静态分析

前言TscanCode是腾讯静态分析团队开发的一款开源免费的C/C++静态分析工具，由于其比较简单实用，准确率较高，并且扫描C/C++代码不需要进行编译，对C/C++项目开发挺有帮助的，下面简单介绍一下该工具的安装与使用

FLy_鹏程万里·2020-06-21 20:37

利用Volatility进行Windows内存取证分析(一)：初体验

简介承接上文,上文中使用cuckoo沙箱的时候提到过,分析恶意代码的时候,首先利用沙箱做粗略分析,然后可以目标程序进行动态分析(OD,Windbg调试)或者静态分析(IDA静态反汇编).如果嫌每次逆向麻烦的话

FLy_鹏程万里·2020-06-21 20:33

嵌入式C代码单元测试工具试用总结--Aunit/SpecChecker

但自动生成的用例会给定好多变量的值，有用的、无用的都有，难以直接判定要达到覆盖度100%，需要修改哪些变量3.工具不是很成熟，存在bug（个别源文件静态分析后显示可测试函数为0，实际是有函

WowMannix·2020-06-21 19:04

ELF文件格式修复

在IDA动态调试-没啥卵用的静态加固中，我构造了一个畸形的ELF文件，虽然能够糊弄一下IDA的静态分析，但是动态分析无效。

difcareer·2020-06-21 18:15

利用AI+大数据的方式分析恶意样本（十五）

文章目录系列文章目录background硕士答辩1恶意代码检测主要是动静结合，基于静态分析的检测是否存在边界？

西杭·2020-06-21 16:01

iOS应用代码注入防护

比如防止静态分析的，代码混淆、逻辑混淆；防止重签名的，应用ID检测、甚至是代码的HASH检测等等。那么这篇文章我想聊聊关于代码的注入检测，因为发现随着iOS系统的更新,我们防护的手段发生了一些变化。

喵喵唔的老巢·2020-06-21 16:49

推荐频道

SAST静态分析