보안 (106) 썸네일형 리스트형 tcpdump 바이너리를 이용한 정보 수집 악성코드 분석시 실제 패킷을 분석해야한다.여러 방법이 있지만 그중 tcpdump를 이용해 안드로이드 기기의 패킷을 덤프하는 방법을 소개하려고 한다.우선 이 방법을 하기 위해선 디바이스가 루트 권한이 있어야 한다. 1. 우선 안드로이드 디바이스가 정상적으로 adb에 연결되어있는지 확인한다. adb devices 2. tcpdump 바이너리를 안드로이드 디바이스에 넣는다.busybox를 안 넣은 사람은 이번 기회에 같이 넣자.(추가적인 리눅스 명령어 제공) adb push tcpdump /data/local/tmp/tcpdump adb push busybox /data/local/tmp/busybox adb shell cd /data/local/tmp/ busybox cp /data/local/tmp/tcp.. TCP 플러딩 공격 1. 소개SYN 플러딩 공격은 TCP의 취약점을 이용한 DoS 공격 중 하나이다. 서버와 클라이언트는 신뢰성 있는 연결을 위해 Three-way Handshake의 선행과정을 이루어야 한다. 이 과정 중 악의적인 공격자는 허위의 Half-Connection을 이용하여 서버가 더 이상 정상적인 연결을 허용할 리소스가 남아 있지 않도록 만든다. 이러한 SYN 플러딩 공격이 어떻게 이루어지는지 이해하고 방어 기법에 대해 알아보고자 한다. 2. 공격 방법2.1 역사최초 SYN 플러딩의 취약점은 1994년 Bill Cheswick와 Steve Bellovin에 의해 발견 되었다. 1996년 9월에 SYN 플러딩 공격이 최초 발생했고 다양한 커뮤니티는 해당 공격의 영향을 감소시키기 위해 서로 다른 기술들을 개발하였.. 덱스파일 파싱하기 안드로이드의 classes.dex 파일에는 정말 많은 정보가 담겨있다.그중에서 각 소스마다 사용하는 API, 함수, 필드 값을 뽑아내고전체 스트링을 뽑아낸다면 어플리케이션 분석시 도움을 줄 수 있을 것이다. dexlib2 라이브러리를 이용하고 파싱하여 지금의 프로그램을 만들었다. 기능은 위와 같다. 옵션을 입력하기 귀찮으므로 배치파일을 함께 넣었다.해당 폴더에 classes.dex 파일을 넣고 원하는 배치파일을 실행하면 된다.만약 API를 파싱하면 다음과 같은 결과가 출력될 것이다. AndroidManifest.xml 바이너리 파일 파싱 APK 압축을 풀고 막상 AndroidManifest.xml 을 실행하면 이해를 할 수 텍스트 파일을 볼 수 있다.바이너리 파일이기 때문에 파싱이 필요하다. AndroidManifest.xml 을 폴더 에넣고 AXMLPrinter.bat 을 실행하면 된다. 안드로이드 악성앱 사용 API 각각의 악성앱은 특정 API를 사용해 악성행위를 한다. 그러기 위해선 퍼미션이 선언되어 있어야하고 해당 퍼미션엔느 관련된 API가 존재한다. 퍼미션 INTERNET API java.net.URLConnection org.apache.http.client.methods.HttpClient 사용 함수 java.net.URLConnection.set() java.net.URLConnection.getOutputStream() org.apache.http.client.methods.HttpClient.setEntity() 퍼미션 ACCESS_NETWORK_STATE ACCESS_WIFI_STATE API android.net.ConnectivityManager 사용 함수 android.net.Connectivi.. Volume Snapshot Service 조사하기 윈도우의 시스템 복원 기능으로 XP의 시스템 복원 지점이 Vista 이후 VSS로 변화되었다. 하지만 정작 C드라이브를 열거나 마운팅된 이미지를 보아도 확인할 수가 없다. 따라서 다른 도구를 이용해야 하는데...도구 없이도 분석이 가능하다. 우선 이미지를 마운팅 시킨다. 커맨드 창을 실행한다. vssadmin list shadows /for=k: 여기서 k는 마운트 된 경로이다. 이후 C드라이브에 바로가기 파일을 만들어주어 분석을 할 수 있는 환경을 만들어준다. mklink /d c:\show7 \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy7\ 여기서 중요한 점은 마지막에 꼭 \를 붙여주어야 한다는 것이다. 폴더를 보면 show7폴더가 생겼다. 링크를 끊는 방법은 바.. com.devuni.flashlight v4.9.4 안드로이드 어플리케이션 분석 아쉽게도 안드로이드 5.1.5 버전에서는 개인정보를 가져가는 부분을 확인할 수 없었다.하지만 앱이 업데이트 되면서 수정되었을 수 있으므로 이전 버전을 분석하기로 결정했다. 1. 어플리케이션 정보 이름 : 플래쉬라이트 버전 : 4.9.4 패키지 이름 : com.devuni.flashlight 설치SDK 버전 : 17 2. 시그니처 정보 CN : Nikolay Ananiev timeFrom : 090525191210 (Tue Nov 14 02:53:11 KST 1972) timeTo : 20590513191210 (Fri Jun 28 11:59:51 KST 2622) 3. 해쉬값 SHA256 : 469fa3f1102ecbcae99b6166c7bb8cbe7fc29a48a5656380d16c1302ae36c9c.. com.devuni.flashlight v5.1.5 안드로이드 어플리케이션 분석 얼마 전에 flash light가 개인정보를 수집한다는 기사가 나왔다. 분석을 한번 해볼까 하는 생각에 지금과 같은 포스팅을 하게 되었다.소스 분석 전 앱의 정보는 다음과 같다. 1. 어플리케이션 기본 정보 이름 : 플래시라이트 버전 : 5.1.5 패키지 이름 : com.devuni.flashlight 설치 SDK 버전 : 21 2. 시그니처 정보 CN : Nikolay Ananiev timeFrom : 090525191210 (Tue Nov 14 02:53:11 KST 1972) timeTo : 20590513191210 (Fri Jun 28 11:59:51 KST 2622) 3. 해쉬 값 SHA256 : 60f323cbe7d1f9d75a372759f99bea39b48ab323dd6ec8bf14ea38.. 이전 1 ··· 9 10 11 12 13 14 다음
