漏洞及渗透练习平台：

WebGoat漏洞练习环境

https://github.com/WebGoat/WebGoat

https://github.com/WebGoat/WebGoat-Legacy

Damn Vulnerable Web Application(漏洞练习平台)

https://github.com/RandomStorm/DVWA

数据库注入练习平台  

https://github.com/Audi-1/sqli-labs

用node编写的漏洞练习平台，like OWASP Node Goat

https://github.com/cr0hn/vulnerable-node

花式扫描器 ：

端口扫描器Nmap

https://github.com/nmap/nmap

本地网络扫描器

https://github.com/SkyLined/LocalNetworkScanner

子域名扫描器

https://github.com/lijiejie/subDomainsBrute

漏洞路由扫描器

https://github.com/jh00nbr/Routerhunter-2.0

迷你批量信息泄漏扫描脚本

https://github.com/lijiejie/BBScan

Waf类型检测工具

https://github.com/EnableSecurity/wafw00f

信息搜集工具 :

社工插件，可查找以email、phone、username的注册的所有网站账号信息

https://github.com/n0tr00t/Sreg

Github信息搜集，可实时扫描查询git最新上传有关邮箱账号密码信息

https://github.com/sea-god/gitscan

github Repo信息搜集工具

https://github.com/metac0rtex/GitHarvester

WEB：

webshell大合集

https://github.com/tennc/webshell

渗透以及web攻击脚本

https://github.com/brianwrf/hackUtils

web渗透小工具大合集

https://github.com/rootphantomer/hack_tools_for_me

XSS数据接收平台

https://github.com/firesunCN/BlueLotus_XSSReceiver

XSS与CSRF工具

https://github.com/evilcos/xssor

Short for command injection exploiter，web向命令注入检测工具

https://github.com/stasinopoulos/commix

数据库注入工具

https://github.com/sqlmapproject/sqlmap

Web代理，通过加载sqlmap api进行sqli实时检测

https://github.com/zt2/sqli-hunter

新版中国菜刀

https://github.com/Chora10/Cknife

.git泄露利用EXP

https://github.com/lijiejie/GitHack

浏览器攻击框架

https://github.com/beefproject/beef

自动化绕过WAF脚本

https://github.com/khalilbijjou/WAFNinja

http命令行客户端，可以从命令行构造发送各种http请求（类似于Curl）

https://github.com/jkbrzt/httpie

浏览器调试利器

https://github.com/firebug/firebug

一款开源WAF

https://github.com/SpiderLabs/ModSecurity

windows域渗透工具：

windows渗透神器

https://github.com/gentilkiwi/mimikatz

Powershell渗透库合集

https://github.com/PowerShellMafia/PowerSploit

Powershell tools合集

https://github.com/clymb3r/PowerShell

Fuzz:

Web向Fuzz工具

https://github.com/xmendez/wfuzz

HTTP暴力破解，撞库攻击脚本

https://github.com/lijiejie/htpwdScan

漏洞利用及攻击框架：

msf

https://github.com/rapid7/metasploit-framework

Poc调用框架，可加载Pocsuite,Tangscan，Beebeeto等

https://github.com/erevus-cn/pocscan

Pocsuite

https://github.com/knownsec/Pocsuite

Beebeeto

https://github.com/n0tr00t/Beebeeto-framework

漏洞POC&EXP:

ExploitDB官方git版本

https://github.com/offensive-security/exploit-database

php漏洞代码分析

https://github.com/80vul/phpcodz

Simple test for CVE-2016-2107

https://github.com/FiloSottile/CVE-2016-2107

CVE-2015-7547 POC

https://github.com/fjserna/CVE-2015-7547

JAVA反序列化POC生成工具

https://github.com/frohoff/ysoserial

JAVA反序列化EXP

https://github.com/foxglovesec/JavaUnserializeExploits

Jenkins CommonCollections EXP

https://github.com/CaledoniaProject/jenkins-cli-exploit

CVE-2015-2426 EXP (windows内核提权)

https://github.com/vlad902/hacking-team-windows-kernel-lpe

use docker to show web attack(php本地文件包含结合phpinfo getshell 以及ssrf结合curl的利用演示)

https://github.com/hxer/vulnapp

php7缓存覆写漏洞Demo及相关工具

https://github.com/GoSecure/php7-opcache-override

XcodeGhost木马样本

https://github.com/XcodeGhostSource/XcodeGhost

中间人攻击及钓鱼

中间人攻击框架

https://github.com/secretsquirrel/the-backdoor-factory

https://github.com/secretsquirrel/BDFProxy

https://github.com/byt3bl33d3r/MITMf

Inject code, jam wifi, and spy on wifi users

https://github.com/DanMcInerney/LANs.py

可扩展的中间人代理工具

https://github.com/intrepidusgroup/mallory

wifi钓鱼

https://github.com/sophron/wifiphisher

密码破解：

密码破解工具

https://github.com/shinnok/johnny

本地存储的各类密码提取利器

https://github.com/AlessandroZ/LaZagne

二进制及代码分析工具：

二进制分析工具

https://github.com/devttys0/binwalk

系统扫描器，用于寻找程序和库然后收集他们的依赖关系，链接等信息

https://github.com/quarkslab/binmap

rp++ is a full-cpp written tool that aims to find ROP sequences in PE/Elf/Mach-O (doesn't support the FAT binaries) x86/x64 binaries.

https://github.com/0vercl0k/rp

Windows Exploit Development工具

https://github.com/lillypad/badger

二进制静态分析工具（python）

https://github.com/bdcht/amoco

Python Exploit Development Assistance for GDB

https://github.com/longld/peda

对BillGates Linux Botnet系木马活动的监控工具

https://github.com/ValdikSS/billgates-botnet-tracker

木马配置参数提取工具

https://github.com/kevthehermit/RATDecoders

Shellphish编写的二进制分析工具（CTF向）

https://github.com/angr/angr

针对python的静态代码分析工具

https://github.com/yinwang0/pysonar2

一个自动化的脚本（shell）分析工具，用来给出警告和建议

https://github.com/koalaman/shellcheck

基于AST变换的简易Javascript反混淆辅助工具

https://github.com/ChiChou/etacsufbo

EXP编写框架及工具：

二进制EXP编写工具

https://github.com/t00sh/rop-tool

CTF Pwn 类题目脚本编写框架

https://github.com/Gallopsled/pwntools

an easy-to-use io library for pwning development

https://github.com/zTrix/zio

跨平台注入工具（ Inject JavaScript to explore native apps on Windows, Mac, Linux, iOS and Android.）

https://github.com/frida/frida

隐写：

隐写检测工具

https://github.com/abeluck/stegdetect

各类安全资料:

域渗透教程

https://github.com/l3m0n/pentest_study

python security教程（原文链接http://www.primalsecurity.net/tutorials/python-tutorials/）

https://github.com/smartFlash/pySecurity

data_hacking合集

https://github.com/ClickSecurity/data_hacking

mobile-security-wiki

https://github.com/exploitprotocol/mobile-security-wiki

书籍《reverse-engineering-for-beginners》

https://github.com/veficos/reverse-engineering-for-beginners

一些信息安全标准及设备配置

https://github.com/luyg24/IT_security

APT相关笔记

https://github.com/kbandla/APTnotes

Kcon资料

https://github.com/knownsec/KCon

ctf及黑客资源合集

https://github.com/bt3gl/My-Gray-Hacker-Resources

ctf和安全工具大合集

https://github.com/zardus/ctf-tools

《DO NOT FUCK WITH A HACKER》

https://github.com/citypw/DNFWAH

各类CTF资源

近年ctf writeup大全

https://github.com/ctfs/write-ups-2016

https://github.com/ctfs/write-ups-2015

https://github.com/ctfs/write-ups-2014

fbctf竞赛平台Demo

https://github.com/facebook/fbctf

ctf Resources

https://github.com/ctfs/resources

各类编程资源:

大礼包（什么都有）

https://github.com/bayandin/awesome-awesomeness

bash-handbook

https://github.com/denysdovhan/bash-handbook

python资源大全

https://github.com/jobbole/awesome-python-cn

git学习资料

https://github.com/xirong/my-git

安卓开源代码解析

https://github.com/android-cn/android-open-project-analysis

python框架，库，资源大合集

https://github.com/vinta/awesome-python

JS 正则表达式库（用于简化构造复杂的JS正则表达式）

https://github.com/VerbalExpressions/JSVerbalExpressions

Python：

python 正则表达式库（用于简化构造复杂的python正则表达式）

https://github.com/VerbalExpressions/PythonVerbalExpressions

python任务管理以及命令执行库

https://github.com/pyinvoke/invoke

python exe打包库

https://github.com/pyinstaller/pyinstaller

py3 爬虫框架

https://github.com/orf/cyborg

一个提供底层接口数据包编程和网络协议支持的python库

https://github.com/CoreSecurity/impacket

python requests 库

https://github.com/kennethreitz/requests

python 实用工具合集

https://github.com/mahmoud/boltons

python爬虫系统

https://github.com/binux/pyspider

ctf向 python工具包

https://github.com/P1kachu/v0lt

科学上网：

科学上网工具

https://github.com/XX-net/XX-Net

福利：

微信自动抢红包动态库

https://github.com/east520/AutoGetRedEnv

微信抢红包插件（安卓版）

https://github.com/geeeeeeeeek/WeChatLuckyMoney

神器

https://github.com/yangyangwithgnu/hardseed

吾爱破解论坛从2008年3月13日建立以来，陪伴众多坛友走过了9年艰辛而辉煌的风雨历程，以带领新手走入密界大门为基础，汇集了一大批爱好者在此栖息，今天我们依然坚持我们的初衷，希望在起到承上启下的作用，带领爱好者们走入密界的圣殿。

我们在官方微信和微博收到很多朋友发来的消息，想加入论坛学习交流逆向分析技术，为了让论坛融入更多的新生血液，值此周年之际，吾爱破解论坛管理团队经过商议决定周年当天限时开放注册。

开放注册时间:2017年3月13日  12：00 -- 14：00 和  20：00 -- 22：00

点击注册 得CB

Burp Suite是一款信息安全从业人员必备的集 成型的渗透测试工具，它采用自动测试和半自动测试的方式，包含了 Proxy,Spider,Scanner,Intruder,Repeater,Sequencer,Decoder,Comparer等工具模块。通 过拦截HTTP/HTTPS的web数据包，充当浏览器和相关应用程序的中间人，进行拦截、修改、重放数据包进行测试，是web安全人员的一把必备的瑞士军刀。

功能

• 拦截代理（Proxy），你可以检查和更改浏览器与目标应用程序间的流量；
• 可感知应用程序的网络爬虫（Spider），它能完整的枚举应用程序的内容和功能；
• 高级扫描器，执行后它能自动地发现web应用程序的安全漏洞；
• 入侵测试工具（Intruder），用于执行强大的定制攻击去发现及利用不同寻常的漏洞；
• 重放工具（Repeater），一个靠手动操作来触发单独的HTTP 请求，并分析应用程序响应的工具；
• 会话工具（Sequencer），用来分析那些不可预知的应用程序会话令牌和重要数据项的随机性的工具；
• 解码器，进行手动执行或对应用程序数据者智能解码编码的工具；
• 扩展性强，可以让你加载Burp Suite的扩展，使用你自己的或第三方代码来扩展Burp Suit的功能。

1.7.12更新内容

• SMTP interactions
• SMTP external service interaction
• SMTP header injection
• private Burp Collaborator server

具体更新内容参见：http://releases.portswigger.net/2016/11/1712.html

由于11版本有卡顿情况与未知bug问题，特此更新一个12版本.

下载地址

---

网盘下载: https://pan.baidu.com/s/1dFj4VoH 

本地下载: burpsuite_pro_v1.7.12.zip (解压密码:mrxn,感谢@Larry_Lau 大牛的分享).

首先简单的介绍一下shc:

shc是一个专业的加密shell脚本的工具.它的作用是把shell脚本转换为一个可执行的二进制文件，这个办法很好的解决了脚本中含有IP、密码等不希望公开的问题.

今天逛一个博客看见了他的一篇文章说的关于破解云免脚本的,评论里面很多人说破解不了骚逼汪的云免脚本,我就是试试而已.哈哈

Google一下就找到了在youtube上的一个视频: UnSHc - decrypt shc *.sh.x bash script

然后在作者的博客和github找到了:Unshc脚本.一键破解,很方便,在此记录一下:

首先未破解时是二进制打开是这样:

然后克隆Unshc脚本到本地:

然后赋予脚本的执行权限后就可以看到相应使用方法:

直接破解:

破解后的:

Unshc 作者github和博客:

https://github.com/yanncam/UnSHc

https://www.asafety.fr/unshc-the-shc-decrypter/

利用好搜索.事半功倍! 下回见!

其实这个样本是我在论坛上别人的求助帖子里看到的，就下载下来看一下：

• 首先这个软件大小就不对，45KB！其次是看在安装界面，注意右下角的不是【安装】而是【激活】，正常的软件安装都是显示安装。再看安装时系统的提醒，此软件需要的权限：
• 清除所有数据，恢复出厂设置；
• 更改屏幕解锁密码；
• 设置密码规则；
• 监视屏幕解锁次数；
• 锁定屏幕；这几条看着怎么都不想常见的APP安装时获取的权限吧

我们是测试嘛！真正在安装遇见这种APP时，请一定慎重！点击激活后，就是锁屏画面咯：

当然，图中的密码，计算方式是逆向此APP后得出的算法而已，接下来我就分析一下；

首先是打开我们的Android逆向工具：Android killer，载入程序：

然后我们是 java的开发工具查看java源码，图中的小红圈图标就是，打开后可以看到程序的结构和其中的密码设置算法（非常简单，就是取随机数加上设定的值）：

其中关键的密码算法就是这段：

super.onCreate();
    this.pass = (()(Math.random() * 100000000));
    long l = this.pass + 100;
    Long localLong = new Long(l);
    this.passw = localLong;
    DU localDU1 = new DU("flower");
    this.des = localDU1;

其中的passw就是锁屏上的所谓序列号，解锁密码就是这个序列号加上 100，到这还没完，因为输入这个后，重启开机还得输入程序改变设置的pin码，在程序里面可以很清除的看到：

public class MyAdmin extends DeviceAdminReceiver
{
  @Override
  public CharSequence onDisableRequested(Context paramContext, Intent paramIntent)
  {
    String str = Integer.toString(2580);
    getManager(paramContext).lockNow();
    getManager(paramContext).resetPassword(str, 0);
    return super.onDisableRequested(paramContext, paramIntent);
  }

DeviceAdminReceiver就是安卓的设备管理器，通过这个设置的pin码，刚刚前面讲了，程序在安装时就获取了这个权限，所以在后面的卸载中也需要用到设备管理器才可以卸载的。接下来说一下怎么卸载：

首先我们在重启后需要输入刚刚从源码里分析得到儿pin码：2580，输入后就解锁进入桌面了：

注意：卸载的时候需要取消激活设备管理器，这时候还要在输入一次pin值，完了以后再确认一下是否卸载，去设置-应用，看看有没有该应用，有可能隐藏为系统应用。

最后，就是这个程序的传播者，他说他是这个程序的开发者，简直可笑。。。曝光他：

曝光他的QQ，手机号就行了，至于名字，地址等等就不暴露了，毕竟还是个中学生。。。希望他能够走向正途吧！

我们下回见！ Mrxn 04/1/2017

故事背景：我一个亲戚捡到了一个红米手机，然后就找到我了，让帮忙解锁。一开始我是想试下解锁，挑战一下自己 -_- :)，没想到，解锁后我让他把手机还回去，他死活不还。。。具体怎么处理的请看文末=_=||

---

PS：解锁的方法其实至少有四五种，我这里只是根据实际情况采用这种最快也最有效的方法，通过关机重启双清的方法，现在的小米不行了。。。你根本进不去recover，可以进fasboot。还有adb shell 也需要你开启了USB调试，或者开发者模式，或是通过输入溢出崩溃锁屏UI界面进入手机等等不一一详说（感觉我可以在街边开个解锁小铺子了 /笑喷 hha ）

---

解锁第一步：充电啊，手机一看快没电了，我怕我折腾到一般关机了就GG了！

充了半个小时后开始---他的锁屏是数字密码，试了一些比较常见的密码，都不对。。。然后再次解锁就需要4分钟后。

---

第二步：既然手机没法搞，那就从其他方面下手

他的手机登录了小米帐号，那就从小米帐号入手，我是想利用小米的找回密码功能重置他的密码，之后就可以在解锁界面选择忘记密码，然后输入他这个小米云账号的密码就可以了，事后证明是可以的！下面说一下详细的步骤，

关键在于他登陆的这个账号是否是这个手机号注册的，为了检测这一步，我们需要拿到他的电话号码，锁屏下没法打电话（紧急电话不算！），那就把卡拔下来，放在我的备用米4手机上，此时我的心情是忐忑的，万一卡设置了pin码就GG了。。。。不过把卡插进去后，等了几秒钟，并没有出现输入pin码的提示框，oh,耶耶耶。。。曙光在照耀 哈哈。。。那么用他卡打我小号就可以看到号码了！

就在这时候，尼玛，我说这么 打不通，开启免提一听，尼玛，欠费。。。。

---

到这里，关键就是如何找到电话号码，下面我说一下我知道的几种途径，欢迎各位补充！

1. 没欠费情况下，自己互拨电话，就知道了（前提是开启了来电显示），这种运气最好，但是一般都是成立的；
2. 欠费情况下，拨打客服电话查询，但是一般情况是打不通的，你欠费了没有人工服务了！我这个就是这样，不过我通过兑换积分这个选项，让移动成功的把他的完整的号码发给我了，/斜眼笑、/得意。haha；
3. 每张卡后面都有一串数字和字母组合的字符串，类似于人的身份证，不过分移动（中国人）、联通（美国人）、电信（英国人）。不同的身份证罢了。我们只需要去营业厅让他查询一下，你就说我这卡欠费了，我忘记了号码了没法充值，一般的营业厅都会帮你查，甚至是pin和puk（可以解锁pin的），但是有的营业厅是需要出示身份证的，所以越偏远的地方越好查。注：不要干坏事！
4. 万能的某宝有卖相关的破解套装，不然你看哪些到处贴广告说办理复制卡，监听卡是说着玩的？小心上当，有很多骗子也打着这幌子！自己斟酌！

上图，图一是通过兑换积分获取到的手机号码，图二是通过手机验证码重置小米云帐号密码。至此，手机就是由你掌握了。

当然，我最后用他的手机登上他的QQ给他朋友说明了原因，不是我不还，是捡他手机的不还，我有什么办法。。。。为了弥补我的过失，我给他发了个最大的QQ红包，他这手机是个合约机，外观也破损差不多，二手手机就这价钱，我能做的就只能这么多了，想喷的随便，你要为了一个捡到的手机和你亲戚闹翻？而且不是我捡到的，我只能从道德的方面尽量，但是我不能也不可能用我的道德标准去要求别人。圣母婊们随便。

最后我总结一下：

现在的生活，我们的手机卡比手机更重要，请务必要做好一下几点，尽可能的降低自己的损失（丢手机了）。

1. 手机卡一定要设置pin码，牢记你自己的puk
2. 手机锁屏密码要设置，总好过无。
3. 手机丢了/手机卡丢了，第一时间去就近的营业厅挂失，挂失，挂失！然后补卡。
4. 对于重要的手机卡，比如绑定了银行卡，支付宝这类的最好专门用一张卡，不用时放在家。

如果拿到了你的手机卡，以下的事情都是可以而且很轻松的完成的：

重置你与手机卡相关联账号密码，然后登录你得这些账号，洗劫里面有价值的all。。。QQ，邮箱，Q币，支付宝，财付通，微信，各种诈骗、骚扰等。

最好提示：保护好你的手机卡。本文未对受害人做任何违法事。各位看官如遇见这种事，还是尽量把手机还给他人吧，提醒还的方式一定要注意，免得有的人不但对你拾金不昧表示感激，也有可能怒发冲冠。。。这不是没有可能的。

全文总结，这次事件其实也可以看着是有社工的成分或者是可以当作渗透中的一种突破，特别是一些机构的重要人员。

我们下回见！----Mrxn 28/12/2016

前言

---

腾讯云学生机老早就有了，那时候学生认证下，代金卷发下来了。哪知道腾讯的学生机策略变了，每天12:00 200台机子限量抢购，恶心！

现在手中的阿里云和腾讯云对我来说不够用，找个以前同学借个号认证就行了。表示就差腾讯云没抢到。

一开始我听群里的基佬们说好抢啊，12点到了不用刷新网页就可以抢了。然而当天中午抢购的时候事实上不是他们说得那样...特么需要刷新一次网页才能抢，而且1S之内特么全没了？？这尼玛怎么抢啊？各种暴走。

看我如何XXOO翻腾讯云的辣鸡抢购

---

可以看到鼠标放在[red]今日已抢完[/red]那里是一个禁用标志，那么ctrl+shift+I 在dev-tool里面可以很清楚看到如下代码：

<button type="button" hotrep="qcact.campus.getVoucherBtn" class="button J-gotoAuth" data-title="今日已抢完" disabled="disabled">今日已抢完</button>

我们只需要去除掉这段 ：disabled="disabled" ，现在可以点击领取了，but ,

有弹窗，无非就是没到时间，没发抢购(抛出异常)。然后在Network窗口看见，有参数接收反馈，这意味并不需要手动刷新网页。只要写个定时函数就行了。

那么上面所说到的抛出异常，也就是那个弹窗，给隐藏，这样可以狂点那个按钮了，审查元素后，得知id="dialog-event-xxxxxxx"。右键hide即可。

控制台写如下代码：

var c=0;
function iiong() {
    $(document).ready(function(){
        $(".J-gotoAuth").trigger("click");
    });
}
setInterval("iiong()","500");

这样，在11点58分钟开始运行这段代码，就等待抢到吧。。。。也不知道为毛要搞个抢购，要想真正的福利学生，直接让需要的学生在学校里面通过学校向你们申请，这不是更能验证身份么。。。真的是很蛋疼的抢购，大部分抢到的都是些‘假学生’，运营脑袋是不是有gain！

---

好了，今天就比比到这里，改日再来；

声明：禁止用此方法抢到的机器干违法乱纪的勾当，出事儿别找我。。。我不负责，我也负不起责，一天天都快烦死了。

众所周知，Burp Suite是响当当的web应用程序渗透测试集成平台。从应用程序攻击表面的最初映射和分析，到寻找和利用安全漏洞等过程，所有工具为支持整体测试程序而无缝地在一起工作。

平台中所有工具共享同一robust框架，以便统一处理HTTP请求、持久性、认证、上游代理、日志记录、报警和可扩展性。Burp Suite允许攻击者结合手工和自动技术去枚举、分析、攻击Web应用程序。

下载地址：链接: https://pan.baidu.com/s/1pKP49aN                            密码: 8v23

burpsuite是什么我就不讲了，这些文档是别人写的，原文在：https://www.gitbook.com/book/t0data/burpsuite/details

文档包括完整PDF和分卷的word文档，更具自己的需求下载阅读，希望对你的渗透测试有所帮助。

burpsuite_pro_v1.7.08 下载：链接: http://pan.baidu.com/s/1bp7RVQJ 密码: 2t6n

文档下载：http://pan.baidu.com/s/1slTJXHb

---

最后，还有视频版的burpsuite教程，如果看不懂上面的文字版，那就看这个视频版的，哈哈。

链接: http://pan.baidu.com/s/1kU8HsCf 密码: 5thn

美国联邦调查局（FBI）已经成功寻求到破解iPhone手机的方法，因此本周早些时候就破解一事召开的法院听证会被无限期延迟。

FBI已经成功接触了以色列一家名为Cellebrite的安全公司，该公司表示已经找到破解美国加州枪案嫌犯使用的iPhone 5c手机的方法。

Cellebrite曾成功破解iPhone 5

据《福布斯》网站报道：在意大利法院聆讯的一桩毁容攻击案中，犯案嫌犯声称忘记了自己iPhone 5手机的开机密码。法院找到了Cellebrite公司进行破解这部装有iOS 8系统的手机，而Cellebrite破解这部iPhone只收取了1500美元的费用。

意大利案件中的iPhone 5与美国加州枪案嫌犯使用的iPhone 5c手机使用类似的32位芯片，但是前者的系统为iOS 8，后者系统为iOS 9。而目前为止，Cellebrite公司能破解的最高系统版本为iOS 8.4。

如果Cellebrite果真在帮助美国联调局破解加州枪案手机，成本可能只需1500美元。

没有你，我一样可以！

苹果公司一直拒绝履行政府指令，为FBI提供破解服务，其CEO Tim Cook 更是公开表达反对言论，苹果工程师表示宁愿辞职也不愿帮助政府破解手机。

由此，双方决定在法庭上讨论该问题，广泛听取各方意见解决此事。但是，近日联邦调查局表示：如果该第三方有方法可以破解iPhone手机的话，将不再需要苹果的帮助。但需要时间来证明他们是否能够在不损坏手机上保存的任何数据的前提下绕过密码。

法院文件中，FBI这样论述道：

“上周日。2016年3月20日，一家第三方公司向FBI演示了一种方法，可能能解锁 San Bernardino枪击案枪手Syed Rizwan Farook的手机，司法部表示需要测试来判断它是否是一种能在不危及Farook手机数据的情况下解锁手机的可行方法。如果方法可行，那么FBI将不再需要苹果的帮助。”

联邦调查局补充道：

“面对苹果公司坚决抵制解锁苹果手机的情况下，FBI正在积极的进行可行性方法的研究。随着FBI继续进行可行性方法研究，以及国际范围内对该案件的广泛关注，美国政府以外的第三方也在联系美国政府，提供可行性的方法，共同研究。”

斯诺登表示：一切都是Bullshit!

上周，NSA举报人爱德华•斯诺登（Edward Snowden）谈到FBI要求苹果解锁iPhone事件时表示：FBI表示苹果具备‘独家技术手段’来解锁手机，而这完全是扯淡。FBI要求苹果协助解锁iPhone，是另有所图。

在斯诺登的推文曾引用了美国公民自由联盟丹尼尔•卡恩吉尔（Daniel Kahn Gillmor）的链接，来揭穿了FBI所谓的要求苹果提供帮助来绕过射击者Syed Rizwan Farook的iPhone 5c上“自动擦除”功能的真正企图。

FBI是否已经找到破解方式，还是这一切只是苹果和FBI联袂出演的一场“双簧”闹剧，我们大家就保持怀疑，一起拭目以待吧。

*原文链接：trustedreviews、tuicool