프리다(Frida) Memory Dump

🌧:
Guluem

« 2024/05 »
일	월	화	수	목	금	토
			1	2	3	4
5	6	7	8	9	10	11
12	13	14	15	16	17	18
19	20	21	22	23	24	25
26	27	28	29	30	31

Tags more

티스토리 뷰

MOBILE

프리다(Frida) Memory Dump

🌧: 2020. 12. 22.

개요

프리다 프레임워크를 통해 사용하는 덤프도구로 Windows 또는 Linux 환경에서 모두 진행이 가능합니다. 만약 단말 내부의 앱에 사용자의 민감한 정보(ID,PWD) 같은게 입력되어 있을경우 Memory 안에 저장이되는데 암호화 처리가 되어 있지 않아 민감정보가 그대로 유출될 수 있는 경우가 존재합니다.

Memory를 Dump 시킬수 있는 코드를 실행시키기 위해선 Python 버전에 맞게끔 사용해야 에러처리가 나타나지 않고 성공적으로 수행할 수 있게 됩니다.

하단의 링크에서 fridump3 코드를 다운로드합니다.

https://github.com/rootbsd/fridump3

rootbsd/fridump3

A universal memory dumper using Frida for Python 3 - rootbsd/fridump3

github.com

설치된 python 파일들 입니다. 여기서 사용해볼것은 "fridump3.py" 입니다. 우선 사용하기 전에 사용가능한 명령어들을 확인해 보도록 하겠습니다.

Frida 명령어

usage: fridump [-h] [-o dir] [-u] [-H HOST] [-v] [-r] [-s] [--max-size bytes]
optional arguments:
-h: 도움말 표시
-o dir / --out dir: 전체경로 제공
-u / --usb: USB를 통해 연결
-H HOST / --host HOST: IP를 통해 연결
-v / --verbose: 자세한 정보 출력
-r / --read-only: 메모리의 읽기 전용 부분을 덤프
-s / --strings: 모든 덤프 파일에서 문자열을 실행, 출력 디렉토리에 저장
--max-size bytes: 덤프시 파일 최대크기 지정

앱의 메모리를 dump 하기 앞서 PID명령을 확인해야 됩니다. frida-ps -U 를 입력후 자신의 디바이스에 설치된 모든 앱의PID 넘버가 나옵니다. 윈도우에 Frida 설치 방법은 하단의 링크 참고하시면됩니다.

https://guleum-zone.tistory.com/137

python fridump3.py -u -r [PID] -s
python fridump3.py -u -s [packagename]

사용될 명령어들은 -u / -r / -s 명령어들 입니다. 분석하고자 하는 앱의 디바이스는 USB로 연결되어 있기에 -u를 사용하고 -r [pid] 명령을 통해 dump 하려는 앱 숫자를 입력해주시면 됩니다. -s 명령은 암호화 되지 않은 문자열을 .txt 파일로 추가 생성해줍니다.

*안드로이드환경에서 Frida 사용시 분명 명령어는 정확한데 "device not found" 라는 문구가 나타나면 fridump3.py 파일의 79번째 행의 usb_device() -> usb_device(1) 로 변경하고 다시 해주시면 됩니다.

일정 시간 기다려주시면 cmd의 프롬프트가 끝난시점이 생깁니다. dump 된 메모리 데이터는 "dump" 라는 디렉토리에 생성되어 있습니다. 보통 몇백개 단위의 DATA 파일이 생성되기에 하나씩 분석하는것은 너무나 많은 시간이 소요됩니다.

findstr /ismn "찾고자하는 문자열" *
-i : 찾을 때 대/소문자 구분X
-s : 현재의 위치부터 하위의 디렉토리까지 일치하는 파일을 찾음
-m : 문자열을 찾으면 파일이름만 보여줌
-n : 일치하는 각 줄 앞에 줄 번호 보여줌

"dump" 디렉토리에 String.txt 텍스트 파일이 추가적으로 생성되어 평문의 문자열들이 집합되어 있어 찾을수 있지만 값만 노출되기 때문에 변수명은 나타나지 않습니다. 변수명까지 모두 확인하고 싶다면 cmd 명령을 통해 암호화 되지않은 문자열을 검색하여 쉽게 찾으실수 있습니다.

파일을 열람하기위해선 HEX 에디터가 필요합니다. notepad ++ 32비트의 확장 플러그인을 사용하는 방법도 존재하지만 개인적으로 HxD 프로그램을 쓰는게 더욱 편하고 수정도 용이합니다.

https://mh-nexus.de/en/hxd/

HxD - Freeware Hex Editor and Disk Editor | mh-nexus

HxD - Freeware Hex Editor and Disk Editor HxD is a carefully designed and fast hex editor which, additionally to raw disk editing and modifying of main memory (RAM), handles files of any size. The easy to use interface offers features such as searching and

mh-nexus.de

한글 앱 덤프 시

앱 이름이 한글로 되어있는 앱의 경우 메모리 덤프 시 제대로 되지 않는 경우가 발생합니다. 그럴때는 fridump3.py 의 79번쨰 라인의 코드를 수정해주시면 됩니다.

# 수정 전
session = frida.get_usb_device(1).attach(APP_NAME)

# 수정 후
session = frida.get_usb_device(1).attach(int(APP_NAME)

저작자표시 비영리 변경금지

'MOBILE' 카테고리의 다른 글

[iOS]Jailbreak 탐지 우회(Frida) (0)	2021.01.24
[iOS] Keychain Dumper (0)	2021.01.20
[iOS] 탈옥 환경에서 iPA 설치 (0)	2020.12.23
프리다(Frida) 환경 구축 (1)	2020.12.21
IOS 14.x 탈옥(Jailbreak) (0)	2020.12.19

공유하기 링크

트위터

Comment

☁️ Guleum LAB

티스토리 뷰

프리다(Frida) Memory Dump

개요

Frida 명령어

한글 앱 덤프 시

'MOBILE' 카테고리의 다른 글

티스토리툴바