IDAによるモバイルアプリケーションハッカー攻撃


IDA VS JEB

  • IDA
    :モジュールのインポートとエクスポート(JAVAベース)を明確にする
    :import内のopenat APIを検索すると、すべての文字列
  • が見つかります.
  • JEB
    :より良い地域分け機能(Androidベース).でもSub 000はこのような区別がつかない(IDAのほうがいい)
    =>もうすぐIDAとJEBを一緒に見ます!
  • 文字列ベースのトレースBy IDA


    1 IDAでファイルを開く


    2 importラベルを押す


    3 stroul、strncpyのような(文字列を抽出できる関数を見て)fridaでブラシします!(すべての呼び出しのパス値を表示)


    4.呼び出しパスに対してStacktraceを実行し、どのモジュールから呼び出すかを決定する


    =>でもそうするとき、モジュール名がなければ…異なる方法で行わなければならない(以下に示す)
    OPENAT - --------------AT file name [ /sys/module/cfbimgblt ]
    Backtrace:0x77f3d7bfbc
            0x77f3d89dfc
            0x77f3d96bdc
            0x77f3d973b0  // 이렇게 안뜨는 경우
            0x781992025c libc.so!_ZL15__pthread_startPv+0xc8
            0x78198d5c04 libc.so!__start_thread+0x14