A small notebook for slow moments slipping by.
https://domdom.tistory.com/619 [문자 피싱 악성 URL 분석 일지] http://qkyho.aptmh.com 3편 1편에서는 간단하게 URL 링크에 접속하게 되면 어떤 일이 일어났는지 확인해보았구요 https://domdom.tistory.com/615 [문자 피싱 악성 URL 분석 일지] http://qkyho.aptmh.com 1편 어느 날 지인 중에서 악성 URL을 domdom.tistory.com 3편에서는 안드로이드 앱 시작 점인 아래 클래스를 분석해보았습니다. gz4j4q4.ImApplication 그리고 위 클래스에서 동적 dex 파일을 로드했었는데, 그 dex 안에 있는 com.Loader 클래스를 불러오게 되면서 com.Loader 클래스의 생성자가 호출되었습니다..
1편에서는 간단하게 URL 링크에 접속하게 되면 어떤 일이 일어났는지 확인해보았구요 https://domdom.tistory.com/615 [문자 피싱 악성 URL 분석 일지] http://qkyho.aptmh.com 1편 어느 날 지인 중에서 악성 URL을 받았다고 아래와 같이 연락이 왔어요! 덜덜.. "[Web발신] 운송장번호(5919*********19): 물품지연 확인하시기바랍니다. http://qkyho[.]aptmh[.]com" 대체 저 URL에 접속하게 되면 domdom.tistory.com 2편에서는 앱을 실제로 실행하게 되었을 때 어떤 공격을 당하게 되는지 대략적으로 알아보았습니다. https://domdom.tistory.com/617 [문자 피싱 악성 URL 분석 일지] http://..
이번 편에서는 1편에서 다운받았던 chrome.apk 파일의 내용에 대해서 분석해볼거에요! https://domdom.tistory.com/615 [문자 피싱 악성 URL 분석 일지] http://qkyho.aptmh.com 1편 어느 날 지인 중에서 악성 URL을 받았다고 아래와 같이 연락이 왔어요! 덜덜.. 대체 저 URL에 접속하게 되면 무슨 일이 일어나는지 보겠습니다~ 일단 저는 모바일로 접속하기 무서워서(?) 인터넷 웹 domdom.tistory.com 기본적으로 앱을 설치 또는 실행할 때 요구하는 권한부터 살펴봤어요~ 와이파이 연결 상태, 네트워크 상태 변경, 전화연결, 외부 저장소 파일 작성 및 읽기, 오디오/음성 조절, 휴대폰 막 켜졌는지 확인, 화면 잠금 상태 조작, 인터넷 연결, SMS..
어느 날 지인 중에서 악성 URL을 받았다고 아래와 같이 연락이 왔어요! 덜덜.. "[Web발신] 운송장번호(5919*********19): 물품지연 확인하시기바랍니다. http://qkyho[.]aptmh[.]com" 대체 저 URL에 접속하게 되면 무슨 일이 일어나는지 보겠습니다~ 일단 저는 모바일로 접속하기 무서워서(?) 인터넷 웹브라우저로 접속해보았어요! 그런데 왠걸 404 Not Found 웹페이지가 나오면서 위와 같이 페이지를 찾을 수 없다고 하네요??? 또잉 뭐죠?! 분명 URL에 오타는 없는데 벌써 지워진 걸까요? 그래서 혹시나 싶어서 Mobile 로 접속했을 때만 되는 건가 싶어서, Mobile 로 접속한 것처럼 보이게 해보았어요! 위에 보이는 User-Agent 는 접속한 기기를 나타내..
지난 글에서는 리패키징을 통한 SSL/TLS 피닝 우회 방법에 대해서 언급했었는데요. 아래 링크에서 참고해보실 수 있습니다. https://domdom.tistory.com/377 [apk-mitm] APK 파일 SSL/TLS pinning 우회 및 기능 없애는 방법 아마 SSL/TLS(인증서) Pinning 방식은 Android 7 부터 안드로이드 개발자들이 MITM(Man-in-the-middle) 공격을 막기 위해서 만들었을 겁니다. 그리고 보통 SSL/TLS Pinning 우회를 하는 이유는 모바일 앱에서 Network domdom.tistory.com 다만 위 방식은 리패키징이 가능하다는 전제하에 실행 가능한데, 이번에는 frida 를 사용해서 SSL/TLS 피닝 관련 코드를 동적으로 후킹해서 ..
adb help // List all comands # Adb Server adb kill-server adb start-server # Adb Reboot adb reboot adb reboot recovery adb reboot-bootloader adb root //restarts adb with root permissions # Shell adb shell // Open or run commands in a terminal on the host Android device. # Devices adb usb adb devices //show devices attached adb devices -l //devices (product/model) adb connect ip_address_of_device..
adb logcat --pid 사용법 이번에는 제가 또 가끔 사용하는 명령어인 adb logcat 으로 로그를 볼 때 특정 패키지만 필터링해서 보는 방법에 대해 작성해보려고 합니다! adb logcat에는 아래와 같이 특정 프로세스 ID, 즉 PID의 log를 출력시킬 수 있는 옵션이 존재합니다. adb logcat --pid=프로세스ID 실행된 앱의 PID가 뭔지 확인하기 위해서는 adb shell ps 명령어를 사용해서 볼 수 있습니다. adb shell "ps | grep com.example" USER PID PPID VSIZE RSS WCHAN PC NAME u0_a49 4437 1875 1181808 220920 d7729cc0 S com.example.domdom 위 명령어 실행 예제에서는 ..
서론 오류 내용을 자세히 다뤄보기에 앞서 해당 오류는 환경에 따라 오류의 원인이 다를 수 있음을 말씀드립니다. 제가 겪었던 오류의 원인은 제 PC 환경에서 지원하지 않는 CPU 의 AVD 를 생성하였기 때문이었습니다. 오류 내용 위 화면은 Android Studio 특정 버전에서 AVD를 생성할 때 CPU Type을 arm64 종류로 생성하고 실행시켰을 때 나오는 오류입니다. 오류내용 : The emulator process for AVD Pixel_2_XL_API_30 has terminated. 정확히 어떤 이유에서 위와 같은 오류가 나왔는지 상세 로그를 보고 분석해볼 필요가 있었습니다. 그러기 위해서 Android Studio Log를 조회해봅시다. Help 메뉴 하위에 Show Log in Exp..
오류 원인과 해결방법 혹시 adb shell 접속 후 frida server를 실행했을 때 위 스크린샷과 같은 오류가 나셨나요? Unable to start: Could not listen on address 127.0.0.1, port 27042: Error binding to address 127.0.0.1:27042: Address already in use 해당 오류가 나는 이유는 이미 frida server가 실행되어있을 경우 나는 오류입니다. 이미 frida server 에서 사용하고 있는 포트번호인 27042 가 이미 사용되고 있다는 뜻인데, adb 환경에서 왠만하면 다른 프로그램이 해당 포트를 점유하고 있을 가능성은 적기 때문에 아마 이미 frida server 가 실행되고 있을 가능성이 ..
오류 발생 원인 x86:/data/local/tmp # ./frida-server-15.2.2-android-x86.xz /system/bin/sh: ./frida-server-15.2.2-android-x86.xz: not executable: magic FD37 위와 같이 frida-server 를 실행했을 때 not executable: magic FD37 이라고 또는 경우가 있다면, 말 그대로 실행 파일이 아니라서 생기는 오류입니다. xz 파일은 아래 파일 확인 명령어를 실행해보면 XZ compressed data인 압축파일의 일종으로 압축 해제를 해야지만 비로소 실행파일을 발견할 수 있습니다. $ file frida-server-15.2.2-android-x86.xz frida-server-15..
어느날 저는 AndroidStudio 에서 가상 머신 이른바 AVD 를 실행시키고 개발한 APP 을 디버깅하려고 했어요. 근데 갑자기 디버깅이 안되던 거에요. 그래서 어째서 안되는 거지? 하고 살펴봤는데, > adb devices List of devices attached emulator-5554 unauthorized 위와 같이 adb devices 명령을 쳤을 때 에뮬레이터가 unauthorized 되었다고 나오는 겁니다. 보통 실제 모바일 단말기에서 unauthorized 가 되었을 때 처리하는 방법으로는 USB Debugging 옵션이 켜져있는 확인하고 adb kill-server 명령으로 adb 서버를 재시작하게 만듭니다. 다만 문제는 저는 실제 단말기가 아닌 AndroidStudio 에서 실..
어느 날 제가 만든 안드로이드 모듈(라이브러리)를 사용하던 사람이 오류가 났다고 하는 겁니다!! 아니 어째서 저는 잘 만들었고 문제 없다고 생각해서 배포한 건데 왜째서 오류가 났다고 하는 것이지?!?! 라고 생각했던 기억이 있는데요. 일단 오류 내용은 이렇습니다. java.lang.RuntimeException: Can't toast on a thread that has not called Looper.prepare() 위 오류의 발생원인은 사실 제가 만든 앱이 Thread 에서 동작하는데 Thread handler 에서 Toast 와 같은 UI 기능을 수행하려던 것이 문제였죠. 안드로이드 뿐만 아니라 다른 프로그래밍 언어로 작성된 프로그램들에서도 기본적으로 UI Thread 즉 Main Thread 가..
keep wandering · keep listening
![[문자 피싱 악성 URL 분석 일지] http://qkyho.aptmh.com 4편](http://i1.daumcdn.net/thumb/R480x270/?fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdna%2FcK7fSX%2Fbtseh835pbM%2FAAAAAAAAAAAAAAAAAAAAAC7ZDxkyzjX1OR9fkXBfnL1HxY6euWAOW70fBJQNrSz7%2Fimg.png%3Fcredential%3DyqXZFxpELC7KVnFOS48ylbz2pIh7yKj8%26expires%3D1780239599%26allow_ip%3D%26allow_referer%3D%26signature%3D8p0R7bouE%252BbUOgNV7yNPUV4rdcI%253D)
![[문자 피싱 악성 URL 분석 일지] http://qkyho.aptmh.com 3편](http://i1.daumcdn.net/thumb/R480x270/?fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdna%2F8rAC6%2FbtsdO2SrAn0%2FAAAAAAAAAAAAAAAAAAAAAPmc7Q78Pczy-MxQYUB6TGfSZaRGe539SskqLzFcZzdO%2Fimg.png%3Fcredential%3DyqXZFxpELC7KVnFOS48ylbz2pIh7yKj8%26expires%3D1780239599%26allow_ip%3D%26allow_referer%3D%26signature%3Dk58aAQi3abWBV7V1rCfhlBJAmhQ%253D)
![[문자 피싱 악성 URL 분석 일지] http://qkyho.aptmh.com 2편](http://i1.daumcdn.net/thumb/R480x270/?fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdna%2FbzIcGj%2FbtsdzCmCIEH%2FAAAAAAAAAAAAAAAAAAAAAAorzr4kGOZWyzdfZ8A_ChnRg6TQZloxxttjYCYrdhCX%2Fimg.png%3Fcredential%3DyqXZFxpELC7KVnFOS48ylbz2pIh7yKj8%26expires%3D1780239599%26allow_ip%3D%26allow_referer%3D%26signature%3DEMy%252BLv954ryaywdOsRS%252FRoKIOIo%253D)
![[문자 피싱 악성 URL 분석 일지] http://qkyho.aptmh.com 1편](http://i1.daumcdn.net/thumb/R480x270/?fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdna%2FbAL15Z%2FbtsdG9J9Elt%2FAAAAAAAAAAAAAAAAAAAAALuqX_HYAx1pESOpUgzXLYLe5ATQTp0VDuk-Snan3UUT%2Fimg.png%3Fcredential%3DyqXZFxpELC7KVnFOS48ylbz2pIh7yKj8%26expires%3D1780239599%26allow_ip%3D%26allow_referer%3D%26signature%3DRuOd98RzatTDMXQL%252FyZHie0Er5A%253D)
![[frida] 프리다 안드로이드 SSL/TLS 피닝 우회 스크립트](http://i1.daumcdn.net/thumb/R480x270/?fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdna%2FbOY1Fr%2Fbtr2GtedfLF%2FAAAAAAAAAAAAAAAAAAAAANwdq_6p5vSYCw3xovOw_tCkE6Kb8JNWVaPdkcNXGzQu%2Fimg.png%3Fcredential%3DyqXZFxpELC7KVnFOS48ylbz2pIh7yKj8%26expires%3D1780239599%26allow_ip%3D%26allow_referer%3D%26signature%3DLDero260lco5Ov2p4%252B2XJYcCNl4%253D)
![[Android] adb 명령어 모음(cheatsheet/치트시트)](http://i1.daumcdn.net/thumb/R480x270/?fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdna%2FcLDLOq%2FbtrV5BRLkEq%2FAAAAAAAAAAAAAAAAAAAAALjneLoht74ebkALyrXovQnCoq7wr3xHC_OLlGLIYtK9%2Fimg.png%3Fcredential%3DyqXZFxpELC7KVnFOS48ylbz2pIh7yKj8%26expires%3D1780239599%26allow_ip%3D%26allow_referer%3D%26signature%3DR7ZBorD4YQ19UQscd2UpareQa7U%253D)
![[오류해결] The emulator process for AVD Pixel_2_XL_API_30 has terminated.](http://i1.daumcdn.net/thumb/R480x270/?fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdna%2Fdh7mIS%2FbtrTgmKCzVg%2FAAAAAAAAAAAAAAAAAAAAALd9o90XOKklTO16T7XzRmIVeyO4jmIFRb2Hhd8UV8GV%2Fimg.png%3Fcredential%3DyqXZFxpELC7KVnFOS48ylbz2pIh7yKj8%26expires%3D1780239599%26allow_ip%3D%26allow_referer%3D%26signature%3DkJySjUsniKQ3rFiCyKQKiudEo5g%253D)
![[오류해결] Unable to start: Could not listen on address 127.0.0.1, port 27042: Error binding to address 127.0.0.1:27042: Address already in use](http://i1.daumcdn.net/thumb/R480x270/?fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdna%2FcX1D54%2FbtrJRY4T3qI%2FAAAAAAAAAAAAAAAAAAAAAG-QJ8ipOwZxuLaGsJLy3Yzy32apQtG0PNSVC9EOR4Kv%2Fimg.png%3Fcredential%3DyqXZFxpELC7KVnFOS48ylbz2pIh7yKj8%26expires%3D1780239599%26allow_ip%3D%26allow_referer%3D%26signature%3D2CJsTEnnMiqVl5pi7C3k0fdaADM%253D)
![[오류해결] adb에서 frida-server 실행 시 not executable: magic FD37](http://i1.daumcdn.net/thumb/R480x270/?fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdna%2FozAoX%2FbtrJfqO2k1v%2FAAAAAAAAAAAAAAAAAAAAALroEVrvScS5JxErJ8ZOQn0Y7buxVjMDYznCkuBCggOG%2Fimg.png%3Fcredential%3DyqXZFxpELC7KVnFOS48ylbz2pIh7yKj8%26expires%3D1780239599%26allow_ip%3D%26allow_referer%3D%26signature%3Dq757d3z5gq%252Bno6MNSMjhmjWLILg%253D)
![[오류해결] AndroidStudio - unauthorized for adb devices](http://i1.daumcdn.net/thumb/R480x270/?fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdna%2FVrU2P%2FbtrzZ4AozGP%2FAAAAAAAAAAAAAAAAAAAAAL0DeNCU4CNIx9_8ov1ilzaAazMfdFSKm08m-_ywu4RK%2Fimg.png%3Fcredential%3DyqXZFxpELC7KVnFOS48ylbz2pIh7yKj8%26expires%3D1780239599%26allow_ip%3D%26allow_referer%3D%26signature%3DV9wBEM%252F3WfMfHkdf3Mo7Cqd%252B2xg%253D)
![[오류해결] java.lang.RuntimeException: Can't toast on a thread that has not called Looper.prepare()](http://i1.daumcdn.net/thumb/R480x270/?fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdna%2FdtmSQo%2FbtrzNCrv9gT%2FAAAAAAAAAAAAAAAAAAAAAByh4RBgBlAE4G_FqpldzuTIUqwUoCHasMtBI8P9V8Vy%2Fimg.jpg%3Fcredential%3DyqXZFxpELC7KVnFOS48ylbz2pIh7yKj8%26expires%3D1780239599%26allow_ip%3D%26allow_referer%3D%26signature%3DR8cR7A8S0jExwX19ObRDtvV8KjE%253D)