악성코드 분석시 실제 패킷을 분석해야한다.
여러 방법이 있지만 그중 tcpdump를 이용해 안드로이드 기기의 패킷을 덤프하는 방법을 소개하려고 한다.
우선 이 방법을 하기 위해선 디바이스가 루트 권한이 있어야 한다.
1. 우선 안드로이드 디바이스가 정상적으로 adb에 연결되어있는지 확인한다.
adb devices |
2. tcpdump 바이너리를 안드로이드 디바이스에 넣는다.
busybox를 안 넣은 사람은 이번 기회에 같이 넣자.(추가적인 리눅스 명령어 제공)
adb push tcpdump /data/local/tmp/tcpdump adb push busybox /data/local/tmp/busybox adb shell cd /data/local/tmp/ busybox cp /data/local/tmp/tcpdump /system/xbin/tcpdump |
3. tcpdump 사용권한을 변경한다.
chmod 6755 tcpdump |
4. netcfg명령어를 이용해 네트워크 인터페이스 정보를 확인한다.
5. 와이파이 환경에서 아래 명령어를 이용해 패킷을 수집한다.
tcpdump -i wlan0 -w /sdcard/packet.pcap -s 0 |
6. 컨트롤+C를 통해 수집을 중단한다.
7. wireshark를 이용해 패킷을 분석한다.
tcpdump.zip'보안 > 안드로이드' 카테고리의 다른 글
| [안드로이드 앱 APK 분석] 도청 의심 앱 4개 (0) | 2016.04.27 |
|---|---|
| 안드로이드 카카오톡 백업하기(사진, 대화내용) (1) | 2016.01.15 |
| 덱스파일 파싱하기 (0) | 2014.12.09 |
| AndroidManifest.xml 바이너리 파일 파싱 (1) | 2014.12.09 |
| 안드로이드 악성앱 사용 API (0) | 2014.12.06 |
