반응형
Dex 파일은 APP 소스코드가 존재하므로 이를 숨기기 위해 소스가 로딩되고나서 Dex 파일을 삭제 하거나 위장된 파일을 보여주기도 한다. 원본 Dex 파일을 추출해야 정상적으로 앱 분석이 가능하다.
> adb shell
> ps -ef | grep appname
> cat /proc/앱pid/maps | grep appname
// frida dex 파일 경로 확인 예시코드
* dex 파일을 /data/local/tmp로 이동 후 권한부여하여 adbpull로 추출
* vdex인 경우 vdexExtractor를 통해 dex 파일로 변환
bin/vdexExtractor -i /tmp/BasicDreams.vdex -o /tmp --deps -f
앱 pid 확인
> ps -ef | grep appname
삭제되는 dex 파일 확인
dex 파일 추출
dex 파일을 삭제하는 함수에 후킹 코드를 작성하여 앱 추출
// frida dex 파일 경로 확인 예시코드
Interceptor.attach(Module.findExportByName(null, 'unlink'), {
onEnter(args) {
this.path = args[0].readCString();
if (/dex/i.test(this.path) ){
console.log('unlink : ',this.path);
args[0].writeUtf8String('replace_path');
console.log('unlink : ',args[0].readCString());
}
}
})* dex 파일을 /data/local/tmp로 이동 후 권한부여하여 adbpull로 추출
* vdex인 경우 vdexExtractor를 통해 dex 파일로 변환
bin/vdexExtractor -i /tmp/BasicDreams.vdex -o /tmp --deps -f
반응형
'해킹-보안' 카테고리의 다른 글
| fiddler 모바일 핫스팟 통신 (0) | 2022.01.17 |
|---|---|
| CryptoJS PHP 암복호화 통신 (0) | 2022.01.16 |
| IOS 앱 추출 및 바이너리 복호화 (0) | 2022.01.07 |
| 웹소켓 메시지 수정/전송 (burpsuite, chrome 확장 플러그인) (2) | 2021.12.14 |
| webgoat Authentication Bypasses (0) | 2021.12.14 |
