'모바일'에 해당되는 글 67건

IOS에서 Application에서 탈옥을 탐지하기 위해서 사용하는 코드의 예시들을 살펴보겠다.

크게 2가지로 나눌 수 있다.

1. 탈옥시 생기는 경로가 존재하는지 확인해 탐지하는 방법.
2. 탈옥시 생기는 Root 권한으로만 접근할 수 있는 곳에 접근해 탐지하는 방법.

이외에 추가적인 방법이 존재하긴한다. 밑에서 소개하도록 한다.

1. 탈옥시 생기는 경로의 존재여부 검사.

(여러 앱을 분석하면서 검사하는 경로를 추가할 예정이다.)

(fileExistsAtPath: 함수를 통해서 경로의 존재여부를 판단한다.)

(NSArray에 경로들을 쭈욱 넣고 아래와 같은 루틴으로 일치하는게 존재하는지확인한다.)

이와 같이 fopen 함수를 통해서도 판단할 수 있다.

(최신) - ＊표시한게 현재 내 환경에서 탐지된 경로이다.

/usr/sbin/frida-server ＊

/etc/apt/sources.list.d/cydia.list  ＊

/etc/apt/sources.list.d/electra.list

/etc/apt/sources.list.d/sileo.sources

/.bootstrapped_electra

/usr/lib/libjailbreak.dylib

/jb/lzma

/.cydia_no_stash ＊

/.installed_unc0ver ＊

/jb/offsets.plists

/usr/share/jailbreak/injectme.plist

/etc/apt/undecimus/undecimus.list

/var/lib/dpkg/info/mobilesubstrate.dylib

/Library/MobileSubstrate/MobileSubstrate.dylib

/Library/MobileSubstrate/DynamicLibraries/* ＊

/jb/jailbreakd.plist

/jb/amfid_payload.dylib

/jb/libjailbreak.dylib

/usr/libexec/cydia/firmware.sh ＊

/var/lib/cydia/ ＊

/etc/apt/ ＊

/private/var/lib/apt/ ＊

/private/var/Users/

/var/log/apt/ ＊

/Applications/Cydia.app ＊

/private/var/stash

/private/var/lib/cydia ＊

/private/var/cache/apt/ ＊

/private/var/log/syslog/

/private/var/tmp/cydia.log

/private/var/tmp/frida-*.dylib ＊

/Applications/Icy.app/

/Applications/MxTube.app/

/Applications/RockApp.app/

/Applications/blackra1n.app/

/Applications/SBSettings.app/

/Applications/FakeCarrier.app/

/Applications/WinterBoard.app/

/Applications/IntelliScreen.app/

/Applications/crackerxi.app/ ＊

/private/var/mobile/Library/SBSettings/Themes

/Library/MobileSubstrate/CydiaSubstrate.dylib

/System/Library/LaunchDaemons/com.ikey.bbot.plist

/System/Library/LaunchDaemons/com.saurik.Cydia.Startup.plist

/var/mobile/Library/Caches/com.saurik.Cydia/sources.list ＊

/usr/sbin/sshd ＊

/usr/bin/sshd

/bin/bash ＊

/usr/libexec/ssh-keysign ＊

/usr/libexec/sshd-keygen-wrapper ＊

/bin/sh ＊

/etc/alternatives/sh ＊

/etc/ssh/sshd_confing ＊

/usr/libexec/sftp-server ＊

/usr/bin/ssh ＊

Root 권한으로만 읽기/쓰기를 할 수 있는 곳

(여러 앱을 분석하면서 검사하는 경로를 추가할 예정이다.)

/private/

/root/

/

기타 방법

1. URL을 접속해 에러가 발생하는지 여부를 확인해 탐지하는 방법.

   ( cydia:// 로 시작하는 URL은 탈옥된 디바이스에서만 접속이 된다. )

2. /etc/fstab 의 Size를 통해 탐지하는 방법.

음........ stat로 불러온 객체 +0x60 지점에 뭐가있나..? 80이랑 비교하는데.. 확인해봐야겠다.

3. system(0)을 호출한 결과를 통해 탐지하는 방법.

   ( root권한이 있어야 호출이 가능한 것 같다. )

   이외에도 fork(), vm_protect(), _dyld_image_count() 함수들을 호출함으로써 탐지할 수 있다.

  가 아니라 탈옥기기와 순정기기와의 실행결과가 서로 다르다는 점을 이용해 탈옥여불르 탐지한다.

4. "/Applications"를 lstat의 인자로 전달해 반환 값을 확인한다.

    ( 심볼릭 링크인지 아닌지 확인하는 과정을 거친다.. 무슨...? )

   이외에 확인할 수 있는 경로 목록

    - /Library/Ringtones

    - /Library/Wallpaper

    - /user/arm-apple-darwin9

    - /usr/include

    - /usr/libexec

    - /usr/share

    - /var/lib/undecimus/aat ＊

기존의 시스템 파티션에 위치하는 몇 개의 디렉토리는 탈옥 과정 파이션이 Overwrite 됨에 따라서 데이터를 더 큰 데이터 파티션에 이전해야 한다. 이전 파일 위치는 유효해야 하므로 심볼 링크를 통해 이를 해결하게된다.

5. 동작중인 프로세스를 점검해 탈옥을 탐지한다.

6. OpenSSH 서비스에 접근함으로써 탐지하는 방법.

https://blog.naver.com/gigs8041/222101950710

Android Anti Debugging Bypass with FRIDA

이전 포스팅에서 안티 디버깅을 코드 패치를 톻해 우회해보았다.https://blog.naver.com/gigs8041/22200200...

blog.naver.com

sysctl

ptrace

sysctl 안티 디버깅 로직

https://opensource.apple.com/source/xnu/xnu-201/bsd/sys/proc.h.auto.html

ptrace 안티 디버깅 로직

https://opensource.apple.com/source/xnu/xnu-344.49/bsd/sys/ptrace.h.auto.html

https://www.theiphonewiki.com/wiki/Kernel_Syscalls

https://yalujailbreak.net/chimera-jailbreak/

https://ipa-apps.me/

https://domdom.tistory.com/entry/apk-mitm-APK-%ED%8C%8C%EC%9D%BC-SSLTLS-pinning-%EC%9A%B0%ED%9A%8C-%EB%B0%8F-%EA%B8%B0%EB%8A%A5-%EC%97%86%EC%95%A0%EB%8A%94-%EB%B0%A9%EB%B2%95?category=977716

https://github.com/T5ive/libil2cpp-Patcher 

https://dev-huhu.tistory.com/27

https://github.com/skylot/jadx/releases/tag/v1.3.0

https://blog.daum.net/gomahaera/23

proguard가 잘 적용이 되었는지 확인해보기 위해 디컴파일을 하려는데 dex파일을 jar 파일로 변환조차 안된다..ㅋ

dex2jar 파일이 매년 업데이트가 되는게 아닌듯.. sourceforge에서 최신 업데이트가 16년에 이뤄졌...

암튼 이런 에러가 나면 classes.dex 파일을 열어서 한곳만 수정해주면 바로 jar 파일을 만들 수 있다!

hex editor를 먼저 다운로드 받아서 classes.dex 파일을 연다. (참고로 hex editor neo를 사용함)

www.hhdsoftware.com/free-hex-editor

열때, View-Offset-Decimal로 하고 보면 편하다... 한참 헤맴 ㅋ

파일을 열면 아래와 같이 나온다.

사진에서 초록색 칸으로 색칠되어 있는 이 부분! 여기 값이 35보다 크면 not support version 에러가 난다.. 싸발적..

그러니 이 값이 37 혹은 38인 경우 35로 고쳐서 저장해주자!

색칠되어 있는 칸이 안드로이드 버전을 나타냄

고치고 나면 저장해주고!

cmd 창 열어서 dex->jar 로 파일을 변환해주고! (cmd 명령어: d2j-dex2jar classes.dex)

jd-gui로 확인해보자~! 끝!

[참고 사이트]

www.programmersought.com/article/6193889467/

 보안설정방법
해당 프로세스가 디버거에 의해 제어 받고 있는지 확인하고 탐지, 종료하는 루틴을 삽입하여 해당 프로세스를 강제 종료시켜야 함(한가지 방식 적용이 아닌 아래의 방식을 모두 적용하여 프로세스 실행 중 주기적인 검증 수행 필요)
 
<Android>
소스 구현 영역에 따라 SDK(Java)와 NDK(C, Natice)로 구현 가능함.

<참고. SDK Java 소스 구현 방안>
[구현 방안 1 : 디버그 프로세스 탐지]
static int detect_isDebuggerPresent(){
     if(Debug.isDebuggerConnected())
          return 1;
     else return 0;
}


[구현 방안 2 : 디버깅 시 브레이크 포인트가 걸리는 시간 측정]
static boolean detect_threadCpuTimeNanos () {
long start = Debug.threadCpuTimeNanos ();
for(int i = 0; i <1000000; ++i )
continue;
long stop = Debug.threadCpuTimeNanos();
if(stop - start < 10000000)
return false ;
else
return true ;
}


<참고. NDK C 소스 구현 방안>
구현 방안 1 : 디버그 프로세스 탐지]
JNIEXPORT jboolean JNICALL Java_poc_c_detectdebuggerConnected (JNIEnv* env,jobject dontuse)
if(gDvm.debuggerConnected || gDvm.debuggerActive){
           return JNI_TRUE ;
     return JNI_FALSE ;
 }

[구현 방안 2 : process status 파일 확인]
#ifndef JNI_ANDROID_ANTI_DEBUG_H_
#define JNI_ANDROID_ANTI_DEBUG_H_

#include <jni.h>
#ifdef __cplusplus
extern "C" {
#endif
#ifdef __cplusplus
}
#endif

#endif /* JNI_ANDROID_ANTI_DEBUG_H_ */
#include <android/log.h>
#include <jni.h>
#include <string>
#include <sys/ptrace.h>
#include <unistd.h>
#include <stdlib.h>
#include <chrono>
#include <thread>

void be_attached_check()
{
    try
    {
        const int bufsize = 1024;
        char filename[bufsize];
        char line[bufsize];
        int pid = getpid();
        sprintf(filename, "/proc/%d/status", pid);
        FILE* fd = fopen(filename, "r");
        if (fd != nullptr)
        {
            while (fgets(line, bufsize, fd))
            {
                if (strncmp(line, "TracerPid", 9) == 0)
                {
                    int statue = atoi(&line[10]);
                    LOGD("%s", line);
                    if (statue != 0)
                    {
                        LOGD("be attached !! kill %d", pid);
                        fclose(fd);
                        int ret = kill(pid, SIGKILL);
                    }
                    break;
                }
            }
            fclose(fd);
        } else
        {
            LOGD("open %s fail...", filename);
        }
    } catch (...)
    {

    }

}
void thread_task(int n)
{
    while (true)
    {
        LOGD("start be_attached_check...");
        be_attached_check();
        std::this_thread::sleep_for(std::chrono::seconds(n));
    }
}
void anti_debug()
{
    LOGD("call anti_debug ......");
    auto checkThread = std::thread(thread_task, 1);
    checkThread.detach();
}

jint JNI_OnLoad(JavaVM* vm, void* reserved)
{
    anti_debug();
    JNIEnv* env;
    if (vm->GetEnv(reinterpret_cast<void**>(&env), JNI_VERSION_1_6) != JNI_OK)
    {
        return -1;
    }
    return JNI_VERSION_1_6;
}

[구현 방안 3 : ptrace 선점을 통한 디버거process attach 방지]

#include <jni.h>
#include <unistd.h>
#include <sys/ptrace.h>
#include <sys/wait.h>
#include <pthread.h>

static int child_pid;
void * monitor_pid(void *pVoid) {
    int status;
    waitpid(child_pid, &status, 0);
    /* Child status should never change. */
    _exit(0); // Commit seppuku
}

void anti_debug() {
    child_pid = fork();
    if (child_pid == 0)
    {
        int ppid = getppid();
        int status;
        if (ptrace(PTRACE_ATTACH, ppid, NULL, NULL) == 0)
        {
            waitpid(ppid, &status, 0);
            ptrace(PTRACE_CONT, ppid, NULL, NULL);
            while (waitpid(ppid, &status, 0)) {
                if (WIFSTOPPED(status)) {
                    ptrace(PTRACE_CONT, ppid, NULL, NULL);
                } else {
                    // Process has exited
                    _exit(0);
                }
            }
        }

    } else {
        pthread_t t;
        /* Start the monitoring thread */
        pthread_create(&t, NULL, monitor_pid, (void *)NULL);
    }
}

JNIEXPORT void JNICALL
Java_sg_vantagepoint_antidebug_MainActivity_antidebug(JNIEnv *env, jobject instance) {
    anti_debug();
}

<iOS>
아래는 프로그램이 디버거로 제어를 받고 있는지 탐지, 종료하는 예제코드임.

<참고. 구현 방안>
[구현 방안 1]
//  main.m
//  ProtectionSample
#import <Cocoa/Cocoa.h>
#include <sys/ptrace.h>

int main(int argc, char *argv[])
{
    //Build settings -> Other C Flags: -DDEBUG
#ifdef DEBUG
    //do nothing
#else
    ptrace(PT_DENY_ATTACH, 0, 0, 0);
#endif
    return NSApplicationMain(argc,  (const char **) argv);

[구현 방안 2]
#import <dlfcn.h>
#import <sys/types.h>

typedef int (*ptrace_ptr_t)(int _request, pid_t _pid, caddr_t _addr, int _data);
#if !defined(PT_DENY_ATTACH)
#define PT_DENY_ATTACH 31
#endif  // !defined(PT_DENY_ATTACH)
void disable_gdb() {
void* handle = dlopen(0, RTLD_GLOBAL | RTLD_NOW);
ptrace_ptr_t ptrace_ptr = dlsym(handle, "ptrace");
ptrace_ptr(PT_DENY_ATTACH, 0, 0, 0);
dlclose(handle);
}

[방안 3 : 파일 변경 확인 또는 디버거에 의한 실행 확인 방법]
NSString* bundlePath = [[NSBundle mainBundle] bundlePath];
NSString* path = [NSString stringWithFormat:@"%@/Info.plist", bundlePath];
NSString* path2 = [NSString stringWithFormat:@"%@/AppName", bundlePath];
NSDate* infoModifiedDate = [[[NSFileManager defaultManager] fileAttributesAtPath:path traverseLink:YES] fileModificationDate];
NSDate* infoModifiedDate2 = [[[NSFileManager defaultManager] fileAttributesAtPath:path2 traverseLink:YES] fileModificationDate];
NSDate* pkgInfoModifiedDate = [[[NSFileManager defaultManager] fileAttributesAtPath:[[[NSBundle mainBundle] resourcePath] 
stringByAppendingPathComponent:@"PkgInfo"] traverseLink:YES] fileModificationDate];
if([infoModifiedDate timeIntervalSinceReferenceDate] > [pkgInfoModifiedDate timeIntervalSinceReferenceDate]) {  
//파일 변경
}
if([infoModifiedDate2 timeIntervalSinceReferenceDate] > [pkgInfoModifiedDate timeIntervalSinceReferenceDate]) { 
//파일변경
}