Kang's Blog

混淆技术主要用于防御规避，通过加密（字符串、可执行文件、负载）、编码（字符串、负载、命令行）、垃圾数据填充（二进制、代码）、隐藏（伪装、负载嵌入）等手段，增大恶意行为被发现或分析的难度，主要涉及脚本、代码、二进制、负载、命令行方面。

macOS 更新系统到15.x，系统扩展激活方式更新，某些机器出现系统扩展无法激活的问题，需要修复系统扩展授权策略。

通过修改 Mach-o 文件将其依赖的系统动态库替换为自定义的动态库，需要解决系统动态库的导出符号问题，本文介绍基于reexport_library机制优雅地解决符号导出问题。

AC自动机是一种高效的多模式字符串匹配算法，通过 Trie 树和失配指针的结合优化匹配过程。本文结合图例，基于go语言进行算法讲解和实现。

Windows 绕过主机安全应用的检查，有时候可以简单通过将恶意工具或者系统工具改名实现。为了提高绕过成本，可以借助 PE 文件的原始文件名属性辅助分析。

NavigationSplitView 是 macOS 和 iPadOS 系统常用的布局容器。虽然入门简单，但在 NavigationSplitView 里混合使用 List、Section 等容器可能会造成列表元素选择异常的问题，需要对元素标识符进行处理。

使用 NSPasteboard 类提供的各项方法实现对系统通用剪切板的查看和控制。在剪切板数据变更时获取当前拷贝的数据内容，根据需要修改或者删除相关类型的数据。

理解汇编语言是逆向必须掌握的一项技能。本文基于逆向 xnu 内核的发现，谈一下对 call 指令的学习理解，涉及到 call near 和 call far。

逆向 macOS14 xnu 内核时，发现一个较大的变化：内核 execsw 符号已不再使用。

macOS 应用开发小技巧：基于 Github 托管平台实现应用内更新检查。