보안/안드로이드 (12) 썸네일형 리스트형 [안드로이드 앱 APK 분석] 도청 의심 앱 4개 보호되어 있는 글입니다. 안드로이드 카카오톡 백업하기(사진, 대화내용) 1. 대화내용 백업 기존의 스마트폰에서 카카오톡을 실행시킨다. 설정 -> 실험실 -> 대화내용백업 2. 사진 백업 Android/data/com.kakao.talk/contents 위의 경로 내에 있는 파일들을 복사해 온다. 또는 아래와 같은 방식으로 파일들을 가져온다. http://moaimoai.tistory.com/16 위 링크에서 adb 프로그램을 다운받는다. 해당 폴더에서 알트 D -> cmd -> 다음과 같이 입력한다. (마지막에 마침표가 잘 안보이지만 점까지 찍어준다. 1) sdcard 폴더에 저장되는 경우(삼성 갤럭시)adb pull /sdcard/Android/data/com.kakao.talk/contents . 2) 루트 폴더에 저장되는 경우adb pull /Android/data/c.. tcpdump 바이너리를 이용한 정보 수집 악성코드 분석시 실제 패킷을 분석해야한다.여러 방법이 있지만 그중 tcpdump를 이용해 안드로이드 기기의 패킷을 덤프하는 방법을 소개하려고 한다.우선 이 방법을 하기 위해선 디바이스가 루트 권한이 있어야 한다. 1. 우선 안드로이드 디바이스가 정상적으로 adb에 연결되어있는지 확인한다. adb devices 2. tcpdump 바이너리를 안드로이드 디바이스에 넣는다.busybox를 안 넣은 사람은 이번 기회에 같이 넣자.(추가적인 리눅스 명령어 제공) adb push tcpdump /data/local/tmp/tcpdump adb push busybox /data/local/tmp/busybox adb shell cd /data/local/tmp/ busybox cp /data/local/tmp/tcp.. 덱스파일 파싱하기 안드로이드의 classes.dex 파일에는 정말 많은 정보가 담겨있다.그중에서 각 소스마다 사용하는 API, 함수, 필드 값을 뽑아내고전체 스트링을 뽑아낸다면 어플리케이션 분석시 도움을 줄 수 있을 것이다. dexlib2 라이브러리를 이용하고 파싱하여 지금의 프로그램을 만들었다. 기능은 위와 같다. 옵션을 입력하기 귀찮으므로 배치파일을 함께 넣었다.해당 폴더에 classes.dex 파일을 넣고 원하는 배치파일을 실행하면 된다.만약 API를 파싱하면 다음과 같은 결과가 출력될 것이다. AndroidManifest.xml 바이너리 파일 파싱 APK 압축을 풀고 막상 AndroidManifest.xml 을 실행하면 이해를 할 수 텍스트 파일을 볼 수 있다.바이너리 파일이기 때문에 파싱이 필요하다. AndroidManifest.xml 을 폴더 에넣고 AXMLPrinter.bat 을 실행하면 된다. 안드로이드 악성앱 사용 API 각각의 악성앱은 특정 API를 사용해 악성행위를 한다. 그러기 위해선 퍼미션이 선언되어 있어야하고 해당 퍼미션엔느 관련된 API가 존재한다. 퍼미션 INTERNET API java.net.URLConnection org.apache.http.client.methods.HttpClient 사용 함수 java.net.URLConnection.set() java.net.URLConnection.getOutputStream() org.apache.http.client.methods.HttpClient.setEntity() 퍼미션 ACCESS_NETWORK_STATE ACCESS_WIFI_STATE API android.net.ConnectivityManager 사용 함수 android.net.Connectivi.. com.devuni.flashlight v4.9.4 안드로이드 어플리케이션 분석 아쉽게도 안드로이드 5.1.5 버전에서는 개인정보를 가져가는 부분을 확인할 수 없었다.하지만 앱이 업데이트 되면서 수정되었을 수 있으므로 이전 버전을 분석하기로 결정했다. 1. 어플리케이션 정보 이름 : 플래쉬라이트 버전 : 4.9.4 패키지 이름 : com.devuni.flashlight 설치SDK 버전 : 17 2. 시그니처 정보 CN : Nikolay Ananiev timeFrom : 090525191210 (Tue Nov 14 02:53:11 KST 1972) timeTo : 20590513191210 (Fri Jun 28 11:59:51 KST 2622) 3. 해쉬값 SHA256 : 469fa3f1102ecbcae99b6166c7bb8cbe7fc29a48a5656380d16c1302ae36c9c.. com.devuni.flashlight v5.1.5 안드로이드 어플리케이션 분석 얼마 전에 flash light가 개인정보를 수집한다는 기사가 나왔다. 분석을 한번 해볼까 하는 생각에 지금과 같은 포스팅을 하게 되었다.소스 분석 전 앱의 정보는 다음과 같다. 1. 어플리케이션 기본 정보 이름 : 플래시라이트 버전 : 5.1.5 패키지 이름 : com.devuni.flashlight 설치 SDK 버전 : 21 2. 시그니처 정보 CN : Nikolay Ananiev timeFrom : 090525191210 (Tue Nov 14 02:53:11 KST 1972) timeTo : 20590513191210 (Fri Jun 28 11:59:51 KST 2622) 3. 해쉬 값 SHA256 : 60f323cbe7d1f9d75a372759f99bea39b48ab323dd6ec8bf14ea38.. 이전 1 2 다음
