4.7 KiB
네이티브 라이브러리 역공학
htARTE (HackTricks AWS Red Team Expert)를 통해 **제로**부터 **히어로**로 AWS 해킹을 배우세요!
HackTricks를 지원하는 다른 방법:
- 회사가 HackTricks에 광고되길 원하거나 PDF 형식의 HackTricks를 다운로드하려면 SUBSCRIPTION PLANS를 확인하세요!
- 공식 PEASS & HackTricks 스왜그를 구매하세요
- The PEASS Family를 발견하세요, 독점 NFTs 컬렉션
- Discord 그룹에 가입하세요 💬(https://discord.gg/hRep4RUj7f) 또는 텔레그램 그룹에 가입하거나 트위터 🐦에서 팔로우하세요 @carlospolopm.
- HackTricks 및 HackTricks Cloud 깃허브 저장소로 PR을 제출하여 해킹 트릭을 공유하세요.
WhiteIntel
WhiteIntel은 다크 웹을 활용한 검색 엔진으로, 회사나 고객이 스틸러 악성 코드에 의해 침해당했는지 무료로 확인할 수 있는 기능을 제공합니다.
WhiteIntel의 주요 목표는 정보를 도난하는 악성 코드로 인한 계정 탈취 및 랜섬웨어 공격을 막는 것입니다.
그들의 웹사이트를 방문하여 엔진을 무료로 사용해 볼 수 있습니다:
{% embed url="https://whiteintel.io" %}
더 많은 정보는 확인하세요: https://maddiestone.github.io/AndroidAppRE/reversing_native_libs.html
안드로이드 앱은 성능에 중점을 둔 작업을 위해 일반적으로 C 또는 C++로 작성된 네이티브 라이브러리를 사용할 수 있습니다. 악성코드 제작자들도 이러한 라이브러리를 사용하며, DEX 바이트 코드보다 역공학이 어려운 특성을 가지고 있습니다. 이 섹션은 안드로이드에 특화된 역공학 기술을 강조하며 어셈블리 언어를 가르치는 것보다 중요합니다. 호환성을 위해 ARM 및 x86 버전의 라이브러리가 제공됩니다.
주요 포인트:
-
안드로이드 앱의 네이티브 라이브러리:
-
성능 집중적인 작업에 사용됨.
-
C 또는 C++로 작성되어 역공학이 어려움.
-
Linux 이진 파일과 유사한
.so(공유 객체) 형식으로 발견됨. -
악성코드 제작자들은 분석을 어렵게 하기 위해 네이티브 코드를 선호함.
-
Java Native Interface (JNI) 및 Android NDK:
-
JNI는 자바 메서드를 네이티브 코드로 구현할 수 있게 함.
-
NDK는 안드로이드에 특화된 네이티브 코드 작성을 위한 도구 모음.
-
JNI 및 NDK는 자바(또는 코틀린) 코드를 네이티브 라이브러리와 연결함.
-
라이브러리 로딩 및 실행:
-
라이브러리는
System.loadLibrary또는System.load를 사용하여 메모리에 로드됨. -
라이브러리 로딩 시
JNI_OnLoad가 실행됨. -
자바로 선언된 네이티브 메서드는 네이티브 함수에 링크되어 실행됨.
-
자바 메서드를 네이티브 함수에 링크하는 방법:
-
동적 링킹: 네이티브 라이브러리의 함수 이름이 특정 패턴과 일치하여 자동 링킹됨.
-
정적 링킹: 링킹을 위해
RegisterNatives를 사용하여 함수 이름과 구조에 유연성을 제공함. -
역공학 도구 및 기술:
-
Ghidra 및 IDA Pro와 같은 도구는 네이티브 라이브러리를 분석하는 데 도움을 줌.
-
JNIEnv은 JNI 함수 및 상호 작용을 이해하는 데 중요함. -
라이브러리 로딩, 메서드 링킹 및 네이티브 함수 식별을 연습할 수 있는 예제가 제공됨.
자료:
-
ARM 어셈블리 학습:
-
기본 아키텍처에 대한 깊은 이해를 위해 권장됨.
-
Azeria Labs의 ARM 어셈블리 기초를 추천함.
-
JNI 및 NDK 문서:
-
네이티브 라이브러리 디버깅: