* 틀린 내용이 있을 시 지적 부탁드립니다. 1. 산토쿠이번에는 ARE와 다른 라이브 CD인 산토쿠를 보겠습니다.라이브 CD는 https://santoku-linux.com/download에서 다운 받을 수 있으며 가상 머신은 vmware를 쓰겠습니다. 실행/설치iso를 vmware로 부팅하고 바탕화면에 있는 install 파일을 실행합니다.설치 중 업데이트 다운로드에 체크하고 계속을 누릅니다. 별다른 선택 없이 계속만 눌러서 설치를 완료하면 다시 부팅하라는 안내가 나오고 재부팅 후 설치를 마칩니다. 리버싱산토쿠에서 apk 파일을 디컴파일해보겠습니다.우선 시작메뉴 - Santoku - Reverse Engineering - dex2jar를 실행시킵니다.dex2jar는 apk파일을 jar파일로 변환시켜주는..

* 틀린 내용이 있을 시 지적 부탁드립니다. 1. APKinspector/home/android/tools/에 apkinspector를 살펴보겠습니다.실행하기위해 pytohn startQT.py 를 입력합니다.그리고 apk파일을 불러오면 바이트코드, Dalvik opcode 등을 확인 할 수 있습니다.먼저 CFG 탭에서는 androlyze.py을 사용했을 때와 같이 메소드 구조를 볼 수 있습니다.오른쪽 Methods 탭에서 확인하려는 메소드를 더블클릭하면 잠시 후에 CFG탭에서 andolyze.py를 사용했을 때와 같은 결과를 볼 수 있습니다. 위 이미지는 메소드가 try catch문으로 이루어져 있을 때의 모습입니다. 이렇게 메소드 내에 분기가 있을 경우 이를 직관적으로 확인할 수 있습니다. Call ..

* 틀린 내용이 있을 시 지적 부탁드립니다.개인 사정으로 한동안 포스팅을 못 했습니다. 앞으로도 당분간은 이럴 것 같습니다. 1. androidsimandroidsim은 두 apk의 유사도를 간략하게 살펴볼 때 사용합니다. 악성코드가 원본 apk 파일에 삽입되었는지를 확인할 때 유용합니다.먼저 제 apk 파일 2개(동일)를 비교해보겠습니다.다르거나 새로운, 삭제된 메소드 없이 일치하는 메소드만 252개가 있다는 것을 보여줍니다. 다음으로 제 apk 파일과 테스트 용으로 아무 apk 파일을 비교해 보겠습니다. 일치하는 메소드도 있지만 새로운 메소드가 504개 다르거나 없어진 메소드도 있다는 것을 확인 할 수 있습니다.

* 틀린 내용이 있을 시 지적 부탁드립니다. 계속해서 androlyze를 살펴보겠습니다.a, d, dx=AnalyzeAPK("~")를 통해 apk 파일을 불러오고 a.get_files()를 합니다.그럼 다음과 같이 해당 apk에 포함되어 있는 파일들을 확인할 수 있습니다. a.get_permissions()를 하면 apk의 권한을 확인할 수 있습니다. 이 외에도 a. 하고 탭키를 누르면 사용할 수 있는 명령어들을 볼 수 있습니다. -s 옵션에서 나와서 apk의 메소드를 살펴보겠습니다. In []에서 나올때는 exit()를 써주면 됩니다../androlyze.py -i apkname.apk -m methodname -p를 입력해줍니다. -i 에는 apk이름을, -m 옵션에는 살펴볼 메소드 이름을 넣어주면 ..

* 틀린 내용이 있을 시 지적 부탁드립니다.미약하나마 ARE(android reverse engineering)을 이용한 안드로이드 앱 분석을 해보겠습니다. 우선 ARE는 https://redmine.honeynet.org/projects/are/wiki 에서 다운받아줍니다. 꽤 시간이 많이 걸립니다. 다운받는 중 계속 끊겨서 안되나 싶었는데 계속 하다보면 됩니다... 또한 버추얼 박스를 설치합니다.설치 후 키보드 설정이 안 되신분들은 해주시고 터미널을 켜서 /home/android/tools 디렉토리로 가서 뭐가 있는지 살펴봅니다. 1. androguard에 있는 기능들부터 하나씩 살펴보겠습니다.우선 androxml은 apk를 인풋으로 받아 XML(androidmanifest.xml)을 기존 xml 파..

미약하나마 모바일 apk를 분석하는데 잘 쓰이는 도구들을 사용해보는 것을 목적으로 포스트합니다. 1. 바이러스 토탈우선 바이러스 토탈 사이트에가서 업로더를 설치합니다. 설치 후 분석하고 싶은 apk 파일을 우클릭 후 보내기 -> VirusTotal을 클릭하면 자동으로 브라우저와 연결되며 분석 결과를 보여줍니다. 저는 개인적으로 만들어본 앱을 올려봤습니다. 결과, 악성코드로 의심되는 부분은 없는것으로 나타났습니다. 2. 바이러스 토탈 모바일 버전 모바일에서 바로 어플들에 사용해 볼 수 있는 버전입니다. virustotla이라고 검색하여 설치해줍니다. 설치하고 실행하면 자동으로 폰에 있는 어플들을 분석하기 시작합니다. 분석이 끝나면 유저어플과 시스템어플로 나뉘게 되는데 제가 설치한 어플 중에는 플래시라이트가..