안드로이드 솔루션 분석중 질문드립니다. (살짝 장문?)

홈 > 커뮤니티 > 질문 게시판
질문 게시판

안드로이드 솔루션 분석중 질문드립니다. (살짝 장문?)

1 100acker 3 3885
전 일단 초보고, IT를 제대로 배운적이 없는... 마음가는 대로 공부하고 크랙하는 1인입니다. 그래서 질문이 이해가 안가실 수도 있습니다.(IT 전문용어를 잘 모릅니다 ㅠㅠ)
답변 주시면 감사하겠습니다.

제가 질문할 내용은, 일단 제가 분석 중인 앱은 상용 솔루션을 이용합니다.(티오리 분석 솔루션 중 Hard)

먼저 이 솔루션은 앱을 실행시키면 .SO 파일을 떨어트리는데

1. .SO 파일 이름부터가 ...더럽습니다. 이걸 어떻게 프리다에서 사용해야할 지 난감합니다. 리눅스 초보라서 뭔가 이 파일명 헥스값을 보고 싶은데, 구글링이 부족한가 아무리해도 잘 안나오더라고요.(키워드를 잘모르겠습니다.)

2. .SO 파일 내부에서 IDA로 까보면, bad_offset이 나옵니다. 제 예상으로는 Header 값 섹션이나? 이런것들에 이상한 값을 씌워 분석이 어렵게 만들어 놓은 것 같은데요... 그래서 ELF HEADER 공부중인데, ELF shared object file type 일 때 필요없는 섹션이 정리되어 있거나 아시는 분 계시는지 궁금합니다 ㅠ 어떻게 구글링을 해야할지를 모르겠드라고요. 저는 참고로 책도 없습니다. 오로지 구글링입니다....

3.. 혹은 위와 같은 솔루션 분석 시 방향이나 팁 주시면 감사하겠습니다. ㅠ-ㅠ, 참고로 이 앱은 제일 처음 불러오는 액티비티 디컴파일이 하나도 안되더라고요... 근데 이 부분보다 SO 파일 분석이 우선인 것 같아 위와 같이 하고 있습니다.

답변 주시면 감사하겠습니다.
3 Comments
8 리피트싯 2020.03.31 13:45  
bad_offset이 나올경우 패킹이 되있을 확률이 높습니다.(물론 라이브러리 분할일수도있습니다.)
lin엔진이 있으시면 메모리에 로드된상태에서 해당 so부분만 덤프시킨후 IDA로 확인해보세요~
1 100acker 2020.04.01 11:04  
답변 고맙습니다.
패킹은 검색많이 해봤고, 라이브러리 분할은 처음 듣네요. ㅠㅠ
lin엔진을 써보진 않았지만 해당 앱은 솔루션 앱으로 탈옥 기기에서는 .so 파일 로드 후 바로 꺼집니다.

so부분 덤프를 위해 작업 중인데, 코딩이 어렵네요.ㅠㅠ
2 HACKk 2020.04.04 01:41  
음.. 저도 원리나 so에 대한 지식이 많은건 아니지만 상용 솔루션이라면 저도 한번쯤은 분석(우회)해본 솔루션이 아닐까 싶은데요 말그대로 '분석'을 하고 싶으신거면 개인적으로는 솔루션 기능(os변조 탐지, 무결성 등)들이 어떤식으로 앱을 보호하고 있는지 라는 방향으로 접근했었고 우회해보는게 목표면 중요 함수(탐지 로직)부터 찾기 위해 (함수명, 스트링 등 키워드 검색 또는 스택 트레이싱 등등..) 특정 함수를 트레이싱하면서 점점 범위를 좁혀가는 방식으로 진행하고 있어요 그냥 so파일부터 분석해도 물론 도움이 되겠지만 호출되는 native 함수를 보면서 혹은 로드되는 so파일을 위주로 분석하시면 좋을거같네요~!
Category