追踪OS X商业间谍软件Crisis

本文档主要介绍如何逆向HackingTeam的OSX的商业间谍软件Crisis。首先说明的是dropper的实现方法与技巧，并给出一两个改进提示。其次会介绍后门模块，因为发现市面上最近检测到的样本中将后门与MPRESS打包来绕过逆向工程。还会探讨打包，如何解包，如何构建自动解包器，以及调试技巧。随后会介绍加密用法，配置和可用的功能，以及大部分功能的实现方法，也就是捆绑注入。最后会回顾C&Ccommunications及内核rootkit。