'분류 전체보기'에 해당되는 글 544건

https://taesun1114.tistory.com/entry/rodebuggable-%EB%B3%80%EA%B2%BD%EC%9D%84-%ED%86%B5%ED%95%9C-%EB%8F%99%EC%A0%81-%EB%94%94%EB%B2%84%EA%B9%85

예전에 mprop 을 들어본 기억이 나서 해당 경로를 참고

https://www.bodkin.ren/index.php/archives/533/

위 포스팅을 통해 해답을 찾았는데

default.prop의 값을 변경해도 메모리에 올라와있는 속성 값은 그대로 0 이기 때문에 동적 디버깅이 되지 않는다.

위 블로그에서 mprop라는 파일을 다운받아, 실행하면 ro.debuggable값이 1로 패치 된다.

Usage

./mprop ro.debuggable 1

어떤 원리인지 궁금해서 살펴본 결과, /proc/1/maps의 /dev/__properties__안의 값을 변경하고 있다.

실제 단말기에서 확인한 결과, /init 프로세스의 /dev/__properties__의 메모리 주소를 확인한 후 인자로 받은 변경하고자 하는 속성값을 검색 후 값을 변경하는 것으로 보인다.

해당 메모리 주소의 값을 살펴보니 인자로 넣어 준 debuggable의 값이 들어있고 정상적으로 0x31(1)로 값이 변경된 것을 확인할 수 있었다.

이 후, manifest.xml 파일에 android:debuggable="true"값이 없어도 정상적으로 동적 디버깅이 가능함.

----------------------------------

아래 글은 린포럼에서 긁어옴

위의 내용에서 mprop 깃헙에 보게되면

https://github.com/wpvsyou/mprop?files=1

두개의 폴더가 있어요.

v7a
v8a

v7a는 32bit을
v8a는 64bit을 이야기해요.

그래서 IDA로 동적 디버깅 하실분들은 위의 내용 참고하시면 좋을 것 같아요.
좀더 v7a와 v8a의 내용은 아래에 링크 남겨드릴테니 봐주세요 :)

https://developer.android.com/ndk/guides/abis?hl=ko

https://digitalis.postype.com/post/2290617

블로그 내용 중 아래 내용을 참고

Extract

폴더 내부의 모든 파일들에 대해서 추출하기 위해서는 "cp" 명령어에 "r" 옵션을 주어 재귀적으로 탐색 뒤, 모든 파일과 디렉터리에 대해 복사를 시도한다.

아래의 예제에서는 "com.naver.nozzle"이라는 네이버 관련 Application의 복사를 시도 하였고, 추후 PC로 옮겨오기 용이하게 External Storage인 "/sdcard"로 복사를 하였다.

1. zeroltektt:/ # cp -r /data/data/com.naver.nozzle /sdcard/test_folder

복사를 하다보면 lib 폴더에 대해서 복사가 정상적으로 진행되지 않을 수 있는데, lib 폴더는 보통 Application을 실행하기 위해 필요한 공용 라이브러리를 Symbolic Link로 이어 놓은 형태이다.

Link와 연결 되어있는 라이브러리 파일들에 대해서는 권한이 미치지 않으므로 복사가 정상적으로 진행되지 않는 것은 당연하다. 또한 lib 폴더의 내용들은 조사에 영향을 주는 사용자 데이터가 포함되지 않으므로 무시하고 진행하여도 무방할 것이다.

1. C:\Users\Donghyun Kim

2. adb pull /sdcard/test_folder

복사를 완료했다면 adb shell을 종료하고 adb pull이라는 명령어를 이용해서 PC로 폴더들을 복사한다.

Altserver 에서 현재 12.2 버전 이상

윈도우 10 환경을 요구하는 상황에서 다시 3utools로 탈옥이 현재 가능하다.

vm ware에 mac을 설치해야 하나 고민했는데 다행이구만

환경 : win7

iOS version : 10.1.1 ~ 10.3.x

아래 경로를 알게되었는데 일단 해봐야 겠다.

https://hackcatml.tistory.com/14

아래 경로 참고

https://www.lazenca.net/display/TEC/Anti-cheating+Engine+for+Android

Check debug

• 아래와 같이 두가지 방식으로 디버깅 여부를 확인할 수 있습니다.
  • 첫번째는 해당 프로세스의 "/proc/pid/cmdline" 파일의 내용을 확인하는 것 입니다.
  • 프로그램이 GDB에 의해 실행 될 경우 PPID의 프로세스는 gdb이기 때문에 "cmdline" 파일을 이용해 gdb를 탐지 할 수 있습니다.

bool isCheckCmdline()

• • 두번째는 해당 프로세스의 "/proc/pid/status" 파일의 내용을 확인하는 것 입니다.
  • status 파일에는 해당 프로세스의 상태, 스레드 정보, 메모리 정보, 등 많은 정보들이 저장되어 있습니다.

  • 여기에서 Debug 여부를 확인하기 위해 "TracerPid"의 값을 이용 할 수 있습니다.

    • 해당 프로세스가 다른 프로세스에 의해 추적 되고 있다면 추적하고 있는 프로세스의 PID가 저장됩니다.
    • 추적이 되고 있지 않으면 '0' 이 저장됩니다.

bool isCheckTracerPid()

javascript(js) response를 잡아서 변경하는 일이 생겼다.

지인 찬스가 필요하다.

Burp Suite 옵션 설정 시

intercept Server Response(추가)

Operator    Match type       Relationship       Condition

OR            File extension    Does not match  js

Match and Replace(체크)

Request header  ^If-None-Match.*$

Request header  ^If-Modified-Since.*$

환경 : 윈10

iOS : 10.3.3

아래 경로 참고

https://blog.do9.kr/269

gdb 이용 시 

"Illegal Instruction: 4" 에러를 뱉는다..

# sed -i 's/\x00\x30\x93\xe4/\x00\x30\x93\xe5/g;s/\x00\x30\xd3\xe4/\x00\x30\xd3\xe5/g;' /usr/bin/gdb

# ldid -s /usr/bin/gdb

수정 시 이용 가능

환경 : 윈10

iOS : 10.3.X (탈옥)

AltServer를 이용해 탈옥완료

아래 경로 참고

https://hackcatml.tistory.com/15

https://github.com/ChiChou/bagbak

1. frida 설치 

Cydia source  

http://build.frida.re/ 추가 후 frida 설치

선행 작업 frida가 PC에도 설치되어 있어야함

https://nodejs.org/en/

node js 설치 후

> node -v

> npm version 

> npm install -g bagbak --unsafe

윈10의 경우 (스크립트 실행)

Set-ExecutionPolicy RemoteSigned

> bagbak --list

> bagbak --zip com.xxx.xxx.store

환경 : 윈도 10

IDA 7.2 version

IDA dbgsrv 폴더 내 android_server, android_server64 

루팅된 기기로 adb push

아래 경로 참고

https://kinggod-daddong.tistory.com/3

/data/local/tmp 경로에

> adb push android_server /data/local/tmp

chmod 777 권한 변경

./android_server64 실행

파워쉘 창 하나더 열어서

adb forward tcp:23946 tcp:23946

모바일 디바이스 기기에서

ifconfig 후 wlan0 확인

IDA hostname : 192.168.X.X  Port : 디폴트

프로세스 확인 후 접근

- IDA64비트와 android_server64 로 원격디버깅 실행

참고

mobile-security.gitbook.io/mobile-security-testing-guide/android-testing-guide/0x05j-testing-resiliency-against-reverse-engineering

IDA 원격 디버깅이 가능하여 네이티브 단에서 대응방안이 필요함

1. ptrace 선점하는 자식프로세스 생성
2. 시간체크 함수 만들어서 일정시간 이상이면 디버깅 탐지
3. /proc/self/status 에서 tracerPid 값 확인해서 디버깅 탐지

- Using Fork and ptrace
- Timer Checks
- Checking TracerPid

Timer Checks

Debug.threadCpuTimeNanos indicates the amount of time that the current thread has been executing code. Because debugging slows down process execution, you can use the difference in execution time to guess whether a debugger is attached.

static boolean detect_threadCpuTimeNanos(){

long start = Debug.threadCpuTimeNanos();

for(int i=0; i<1000000; ++i)

continue;

long stop = Debug.threadCpuTimeNanos();

if(stop - start < 10000000) {

return false;

}

else {

return true;

}

}

Checking TracerPid

When you debug an app and set a breakpoint on native code, Android Studio will copy the needed files to the target device and start the lldb-server which will use ptrace to attach to the process. From this moment on, if you inspect the status file of the debugged process (/proc/<pid>/status or /proc/self/status), you will see that the "TracerPid" field has a value different from 0, which is a sign of debugging.

Remember that this only applies to native code. If you're debugging a Java/Kotlin-only app the value of the "TracerPid" field should be 0.

This technique is usually applied within the JNI native libraries in C, as shown in Google's gperftools (Google Performance Tools)) Heap Checker implementation of the IsDebuggerAttached method. However, if you prefer to include this check as part of your Java/Kotlin code you can refer to this Java implementation of the hasTracerPid method from Tim Strazzere's Anti-Emulator project.

When trying to implement such a method yourself, you can manually check the value of TracerPid with ADB. The following listing uses Google's NDK sample app hello-jni (com.example.hellojni) to perform the check after attaching Android Studio's debugger:

$ adb shell ps -A | grep com.example.hellojni

u0_a271 11657 573 4302108 50600 ptrace_stop 0 t com.example.hellojni

$ adb shell cat /proc/11657/status | grep -e "^TracerPid:" | sed "s/^TracerPid:\t//"

TracerPid: 11839

$ adb shell ps -A | grep 11839

u0_a271 11839 11837 14024 4548 poll_schedule_timeout 0 S lldb-server

You can see how the status file of com.example.hellojni (PID=11657) contains a TracerPID of 11839, which we can identify as the lldb-server process.

Using Fork and ptrace

You can prevent debugging of a process by forking a child process and attaching it to the parent as a debugger via code similar to the following simple example code:

void fork_and_attach()

{

int pid = fork();

if (pid == 0)

{

int ppid = getppid();

if (ptrace(PTRACE_ATTACH, ppid, NULL, NULL) == 0)

{

waitpid(ppid, NULL, 0);

/* Continue the parent process */

ptrace(PTRACE_CONT, NULL, NULL);

}

}

}

With the child attached, further attempts to attach to the parent will fail. We can verify this by compiling the code into a JNI function and packing it into an app we run on the device.

root@android:/ # ps | grep -i anti

u0_a151 18190 201 1535844 54908 ffffffff b6e0f124 S sg.vantagepoint.antidebug

u0_a151 18224 18190 1495180 35824 c019a3ac b6e0ee5c S sg.vantagepoint.antidebug

Attempting to attach to the parent process with gdbserver fails with an error:

root@android:/ # ./gdbserver --attach localhost:12345 18190

warning: process 18190 is already traced by process 18224

Cannot attach to lwp 18190: Operation not permitted (1)

Exiting

You can easily bypass this failure, however, by killing the child and "freeing" the parent from being traced. You'll therefore usually find more elaborate schemes, involving multiple processes and threads as well as some form of monitoring to impede tampering. Common methods include

이하 생략