handsets —— 用 Rust 写的 Android 高性能自动化 CLI 。 设计 客户端 Rust 单二进制 daemon 是一个 ~几百 KB 的 jar ,通过 adb forward 跑在设备 shell UID 下,无需 root 也无需装 APK 通信走长度前缀的二进制帧 性能 handsets adb shell uiautomator2 Appium 单次调用延迟 2-7ms 40-700ms 30-100ms 100-500ms adb shell input tap 之所以慢且不稳定,是因为它走 injectInputEvent(ev, sync=true) ,sync 模式会阻塞到 InputDispatcher 处理完事件 —— 当 UI 线程在做动画或 layout 的时候,sync 排在队尾等。实测最长 tap 尖峰 2.3 秒。 handsets 默认走 AccessibilityNodeInfo.ACTION_CLICK ,绕开 InputDispatcher ,直接触发 widget 的 OnClickListener ,p99 ~50ms 。OnTouchListener-only 的自定义 View 会 fallback 到 gesture path 。 hs ui 的输出格式 不是 XML accessibility dump ,而是 verb-led 表格: tap ImageButton "返回" #back_btn 98,243 fill EditText "邮箱" #email_et 540,540 fill EditText "密码" #pwd_et 540,640 [password] tap Button "登录" #login_btn 540,860 每行给出建议动词、selector 、坐标、flag 。LLM agent 直接读这张表就能下一步,token 占用比 XML 少一个数量级。 登录流程示例 hs use # 连设备、起 daemon hs ui # 看一眼当前屏幕 hs fill 邮箱 [email protected] # 自动匹配邮箱 EditText hs fill 密码 hunter2 hs tap 登录 # 走 ACTION_CLICK hs wait 欢迎 # 阻塞至目标文本出现 Python 绑定( pip install handsets ): from handsets import Session with Session.use() as s: s.fill("邮箱", "[email protected]") s.fill("密码", "hunter2") s.tap("登录") s.wait("欢迎") selector 兼容 CSS + Playwright 风格: hs find 'Button:has-text("Sign in")' hs find 'EditText:below(TextView[text=Email])' hs find 'Button:near(ImageView, 200)' 链接 GitHub: https://github.com/elliotgao2/handsets 文档: https://elliotgao2.github.io/handsets/
安全研究人员近日披露,广泛使用的虚拟光驱软件 DAEMON Tools 遭遇严重供应链攻击,其官方安装程序自 2026 年 4 月初起被植入后门并通过正规渠道分发,波及全球数千台设备。 根据卡巴斯基发布的调查结果,攻击者入侵了合法安装包,在经官方数字签名的二进制文件中注入恶意代码,使得恶意程序伪装成可信的软件更新进行投递。 调查显示,这轮攻击行动始于 2026 年 4 月 8 日,多个版本的 DAEMON Tools(12.5.0.2421 至 12.5.0.2434)被“投毒”,遭篡改后的安装程序直接托管在软件官方网站上,并使用开发商 AVB Disc Soft 的有效数字证书进行签名,大幅提高了用户误信和中招的概率。 研究人员指出,截至 5 月上旬,该攻击活动仍在持续,对应的恶意基础设施依然处于活跃状态。 在此次事件中,DTHelper.exe、DiscSoftBusServiceLite.exe、DTShellHlp.exe 等多个核心可执行文件被修改,加入隐藏后门逻辑。 一旦软件被安装,这些组件会在系统启动时自动运行,并与外部的命令与控制(C2)服务器建立通信。 攻击者还注册并启用了一个与 DAEMON Tools 官方站点名称极为相似的域名,以此将恶意流量伪装成正常访问行为;该域名在攻击开始前数日才注册,显示出攻击行动经过精心预谋和策划。 从攻击链路来看,此次行动呈现明显的分阶段结构。 在大多数受害设备上,系统首先会接收到一个信息窃取类的初始载荷,用于收集包括 MAC 地址、主机名、已安装软件列表、正在运行的进程、网络配置以及系统语言/区域设置等在内的多种环境数据。 这些数据会被上传至攻击者控制的服务器,推测用于对受感染系统进行画像与价值评估,从而决定后续是否投放更高级别的工具。 研究人员还在该载荷中发现了部分中文字符串,暗示攻击方可能为中文使用者,但目前尚未有正式、明确的溯源结论。 虽然监测到的感染尝试已遍布全球、数量达数千例,但真正被投放第二阶段恶意程序的仅是少数目标主机。 这些“优先目标”多隶属于政府、制造业、科学研究以及零售等行业组织。 这种有限投放、定向加码的方式显示,这并非单纯的机会型攻击,而更接近具有情报收集或战略渗透意图的定向行动。 在已确认的二阶段工具中,研究人员发现一种极简后门,可在受害系统上执行命令、下载文件,并将恶意代码直接加载至内存中运行,以降低落地痕迹。 在至少一例成功入侵的案例中,攻击者还部署了名为 QUIC RAT 的高级植入程序。 该恶意程序支持 HTTP、TCP、DNS、QUIC 等多种通信协议,并可将自身恶意代码注入到诸如 notepad.exe 等合法进程中,从而进一步隐蔽其活动轨迹。 遥测数据显示,目前已在 100 多个国家观测到相关感染尝试。 受影响系统数居前的地区包括俄罗斯、巴西、土耳其、西班牙、德国、法国、意大利和中国等。 其中约一成受影响设备属于各类组织机构,其余大多仅停留在初始的数据收集阶段,并未进一步接收第二阶段载荷。 卡巴斯基表示,其安全产品可以在多个环节对本次攻击进行检测与拦截,包括识别可疑的基于 PowerShell 的下载行为、从临时目录执行的恶意程序、向合法进程注入代码的活动,以及异常的对外网络通信模式等。 研究人员建议,凡是在 2026 年 4 月 8 日之后安装过 DAEMON Tools 的组织,应对相关系统开展全面审计,重点检查是否存在异常的 PowerShell 命令行活动以及从临时目录触发的可疑执行。 同时,机构应优先落实零信任安全架构,限制临时目录的可执行权限,并通过分层防御策略提升整体安全韧性。 此次 DAEMON Tools 供应链事件再次表明,攻击者正在不断精进针对软件供应链的攻击手法,将大范围分发与精准打击相结合,以合法、可信的软件为跳板渗透各类环境。 在这种趋势下,即便是被长期视为“安全”的常用工具软件,也必须被视作潜在风险源,组织需要以更为审慎和主动的安全策略来应对日益复杂的供应链威胁。 查看评论
IT之家 5 月 6 日消息,卡巴斯基昨晚发布安全通报,警告虚拟光驱软件 DAEMON Tools 官网遭黑客投毒,黑客在官网提供的 DAEMON Tools Lite 软件中植入木马,受影响版本包括 4 月 8 日发布的 12.5.0.2421 至最新的 12.5.0.2434 版本。 卡巴斯基表示,其安全部门在检测回传数据中发现异常,多台设备在运行 DAEMON Tools Lite 后,会连接到一个伪装成官方下载安装站点的恶意服务器,并尝试下载额外文件。进一步分析确认,这些安装程序虽然来自官方网站、且带有 AVB Disc Soft 的数字签名,但内部组件已被篡改, 因此被认定为是一起“供应链攻击事件”,也就是黑客入侵了产品官网,将正牌软件调包为了木马版本 。 研究显示,目前受影响设备分布在全球 100 多个国家和地区,主要集中在俄罗斯、巴西、土耳其、西班牙、德国、法国、中国、意大利。其中约 10% 的受影响系统来自企业或组织环境。 不过,黑客并未对所有受感染设备采取行动,事实上被感染的大多数设备仅会向黑客发送系统信息,只有为数不多的设备被黑客进一步投放后门程序, 而设备基本都是来自各国政府、科研、制造及零售机构,显示出黑客可能采取“广泛传播 + 精准筛选”的策略,锁定高价值目标 。
DAEMON Tools 是一款有20多年历史的著名虚拟光盘工具,它可以把镜像文件虚拟成一张真实的光盘,广泛应用在上世纪的 Windows 电脑中。是的,它还活着。 感谢肯尼同学的提醒。 卡巴斯基近日披露:我们的专家发现了通过 DAEMON Tools 进行的大规模供应链攻击。攻击者设法将恶意代码注
Failed to create session.Is the daemon running? 3 个帖子 - 2 位参与者 阅读完整话题