Codetronik

본 포스팅에서는 dalvik 바이트코드를 메모리에서 변조하는 방법을 다룹니다.

필자의 테스트 환경

- galaxy S5

- Android 4.4.2

- Snapdragon 805 (32bit)

"안드로이드 후킹, 메모리 변조 : frida framework를 활용한 dex 함수 후킹" 포스트에서 사용한 apk를 그대로 사용합니다.

우선, ida로 classes.dex를 연 다음 check_file 함수를 찾습니다. su 파일 경로를 인자로 전달받아, 파일이 존재하면 true를 리턴하는 함수입니다.

이 함수를 무조건 false를 리턴하게 하면 되겠지요.

CODE:00132C60                   private boolean codetronik.rootchecker.RootChecker.check_file(
CODE:00132C60                         java.lang.String su_path)
CODE:00132C60                   this = v3                               # CODE XREF: RootChecker_check_su_files@L+5A↓p
CODE:00132C60                   su_path = v4
CODE:00132C60                                   .line 40
CODE:00132C60 0012                              const/4                         v0, 0
CODE:00132C62                   .local name:'result' type:'Z'
CODE:00132C62                   result = v0
CODE:00132C62                                   .line 41
CODE:00132C62 0122 0856                         new-instance                    v1, <t: File>
CODE:00132C66 2070 42D9 0041                    invoke-direct                   {v1, su_path}, <void File.<init>(ref) imp. @ _def_File__init_@VL>
CODE:00132C6C                   .local name:'su' type:'Ljava/io/File;'
CODE:00132C6C                   su = v1
CODE:00132C6C                                   .line 42
CODE:00132C6C 0138 0014                         if-eqz                          su, locret
CODE:00132C70 106E 42DF 0001                    invoke-virtual                  {su}, <boolean File.exists() imp. @ _def_File_exists@Z>
CODE:00132C76 020A                              move-result                     v2
CODE:00132C78 0238 000E                         if-eqz                          v2, locret
CODE:00132C7C 106E 42E6 0001                    invoke-virtual                  {su}, <boolean File.isFile() imp. @ _def_File_isFile@Z>
CODE:00132C82 020A                              move-result                     v2
CODE:00132C84 0238 0008                         if-eqz                          v2, locret
CODE:00132C88                                   .line 44
CODE:00132C88 1012                              const/4                         result, 1
CODE:00132C8A                                   .line 45
CODE:00132C8A 021A 2779                         const-string                    v2, aCodetroniklog # "codetronikLog"
CODE:00132C8E 2071 3CCC 0042                    invoke-static                   {v2, su_path}, <int Log.d(ref, ref) imp. @ _def_Log_d@ILL>
CODE:00132C94
CODE:00132C94                   locret:                                 # CODE XREF: RootChecker_check_file@ZL+C↑j
CODE:00132C94                                                           # RootChecker_check_file@ZL+18↑j ...
CODE:00132C94                                   .line 47
CODE:00132C94 000F                              return                          v0

현재 바이트 파싱이 big endian으로 되어있기 때문에 바이트를 뒤집어서 보셔야 합니다.

각 바이트들이 무엇을 의미하는지는 http://pallergabor.uw.hu/androidblog/dalvik_opcodes.html 에 자세하게 설명되어 있습니다.

함수의 마지막 줄을 보면 v0을 리턴하게 됩니다. 참고로 0이 true이고 1이 false입니다.

v0이 0또는 1로 설정되어 리턴하는 것을 보실 수 있습니다.

첫 줄을 보면, hex 0x12는 4비트를 변수에 설정하는 opcode입니다.

보통 0x12 0xXY 형태로 사용합니다.

X는 설정할 값이고, Y는 변수입니다.

Y=0이면 v0, Y=1이면 v1, Y=2이면 v2 이런 식입니다.

우리는 v0 값을 false로 설정할 것이므로, 0x12 0x10 으로 메모리를 변조하면 됩니다.

0x12 0x10 수행 후, 0x00 0x0F 를 통해 리턴을 하게 하면 무조건 false를 리턴하게 되겠지요.

이제, classes.dex 메모리를 ptrace를 통해 변조하면 됩니다.

classes.dex 파일에서는 check_file 함수의 offset이 0x132C60이었는데, 메모리에 매핑될 때는 앞에 부가적인 데이터들이 삽입됩니다. (0x28 바이트 고정)

이 데이터들을 건너뛰면, 해당 함수의 offset은 "dex" signature offset으로부터 0x132C60에 위치하게 됩니다.

76958000-769fe000 r--p 00000000 b3:1b 1179871    /data/dalvik-cache/data@app@codetronik.rootchecker-17.apk@classes.dex
769fe000-769ff000 r--p 000a6000 b3:1b 1179871    /data/dalvik-cache/data@app@codetronik.rootchecker-17.apk@classes.dex
769ff000-76a5e000 r--p 000a7000 b3:1b 1179871    /data/dalvik-cache/data@app@codetronik.rootchecker-17.apk@classes.dex
76a5e000-76a5f000 r--p 00106000 b3:1b 1179871    /data/dalvik-cache/data@app@codetronik.rootchecker-17.apk@classes.dex
76a5f000-76a60000 r--p 00107000 b3:1b 1179871    /data/dalvik-cache/data@app@codetronik.rootchecker-17.apk@classes.dex
76a60000-76a62000 r--p 00108000 b3:1b 1179871    /data/dalvik-cache/data@app@codetronik.rootchecker-17.apk@classes.dex
76a62000-76a69000 r--p 0010a000 b3:1b 1179871    /data/dalvik-cache/data@app@codetronik.rootchecker-17.apk@classes.dex
76a69000-76a6a000 r--p 00111000 b3:1b 1179871    /data/dalvik-cache/data@app@codetronik.rootchecker-17.apk@classes.dex
76a6a000-76a71000 r--p 00112000 b3:1b 1179871    /data/dalvik-cache/data@app@codetronik.rootchecker-17.apk@classes.dex
76a71000-76a72000 r--p 00119000 b3:1b 1179871    /data/dalvik-cache/data@app@codetronik.rootchecker-17.apk@classes.dex
76a72000-76a73000 r--p 0011a000 b3:1b 1179871    /data/dalvik-cache/data@app@codetronik.rootchecker-17.apk@classes.dex
76a73000-76a74000 r--p 0011b000 b3:1b 1179871    /data/dalvik-cache/data@app@codetronik.rootchecker-17.apk@classes.dex
76a74000-76a75000 r--p 0011c000 b3:1b 1179871    /data/dalvik-cache/data@app@codetronik.rootchecker-17.apk@classes.dex
76a75000-76a78000 r--p 0011d000 b3:1b 1179871    /data/dalvik-cache/data@app@codetronik.rootchecker-17.apk@classes.dex
76a78000-76a7d000 r--p 00120000 b3:1b 1179871    /data/dalvik-cache/data@app@codetronik.rootchecker-17.apk@classes.dex
76a7d000-76a7e000 r--p 00125000 b3:1b 1179871    /data/dalvik-cache/data@app@codetronik.rootchecker-17.apk@classes.dex
76a7e000-76a84000 r--p 00126000 b3:1b 1179871    /data/dalvik-cache/data@app@codetronik.rootchecker-17.apk@classes.dex
76a84000-76a85000 r--p 0012c000 b3:1b 1179871    /data/dalvik-cache/data@app@codetronik.rootchecker-17.apk@classes.dex
76a85000-76b90000 r--p 0012d000 b3:1b 1179871    /data/dalvik-cache/data@app@codetronik.rootchecker-17.apk@classes.dex

아래 그림은 0x76958000 를 덤프한 그림입니다. (메모리 덤프 방법은 http://codetronik.tistory.com/118 참조하세요.

아래 코드와 같이 dex 메모리를 변조할 수 있습니다.

ptrace에서 메모리를 read/write할 때, 사이즈 단위가 long이므로 (테스트한 단말기 환경에서는 4바이트), 아래의 PtraceWrite와 같은 패치 코드를 나눠서 write할 수 있는 함수를 작성해야 합니다.

정상적으로 패치가 되면 아래 화면처럼 null이 나타납니다.

'Android Linux' 카테고리의 다른 글

안드로이드 후킹, 메모리 변조 : 코드 후킹과 재배치(relocation) (0)	2018.07.23
classes.dex memory dump (0)	2018.07.19
안드로이드 후킹, 메모리 변조 : frida framework를 활용한 dex 함수 후킹 (0)	2018.07.01
[KERNEL MODULE] linux kernel 4.6 이상에서 file hash 구하기 (0)	2017.11.27
시스템 콜(syscall) 함수 직접 호출하기 (0)	2017.11.01

본 포스팅에서는 FRIDA 프레임워크를 통한 후킹 방법을 설명합니다.

FRIDA를 설치하기 위해선 반드시 ROOT 권한이 필요합니다. 각자 환경에 맞는 루팅을 진행해주시면 됩니다.

필자의 테스트 환경

- galaxy S5

- Android 4.4.2

- Snapdragon 805 (32bit)

설치 준비물은 아래와 같습니다.

- Python 3.7

- frida-server-xx.y.zz-android-arm.xz (https://github.com/frida/frida/releases 에서 각자 환경에 맞는 최신 자료를 다운로드)

(갤럭시탭A 2017은 14.2.13버전 적합)

1. 단말기에 설치

adb shell 접속 후, /system의 read-only 권한을 쓰기 권한으로 변경하여야 합니다.

모든 권한은 항상 ROOT입니다.

mount -o rw,remount /system

(에러 발생 시 mount -o rw,remount / )

/system/priv-app 에 xz파일 압축 해제

mount -o ro,remount /system

단말기를 재부팅한 후에 서버를 구동합니다.

/system/priv-app/frida-server &

(remote 시 /frida-server -l(엘) 아이피 &

2. 윈도우에 설치

파이선 설치는 가능하면 d:\python와 같은 짧은 경로로 설치합니다.

설치가 끝나면 아래 명령어를 실행합니다.

c:\>pip install frida

c:\> pip install frida-tools // frida.exe를 설치해주며(필수), 최신버전 frida도 함께 설치해줌

(특징 버전 설치: pip install frida==14.2.13)

설치가 정상적으로 되었다면 frida-ps -U 로 안드로이드 내의 프로세스가 보이는지 확인합니다.

(remote 시 frida-ps -H 아이피)

이제 모든 준비가 끝났습니다. 이제부터 실전 예제를 통해 후킹 방법을 설명합니다.

제가 준비한 예제는 다음과 같습니다. apk를 단말기에 설치합니다.

- 루팅 감지

소스 : https://github.com/codetronik/RootChecker

codetronik.rootchecker.apk

다운로드

후킹에 앞서, dex 디컴파일러로 dex의 구조를 파악해봅니다.

무료 디컴파일러 중에선 jadx가 유용합니다.

jadx로 열어보면 위와 같은 소스코드가 보입니다. frida로 하나씩 후킹해보도록 하겠습니다.

후킹 소스의 기본 틀은 아래와 같습니다.

import frida, sys jscode= """ Java.perform(function() { }); """ try: process = frida.get_usb_device().attach("codetronik.rootchecker") script = process.create_script(jscode) script.load() sys.stdin.read() except Exception as e: print(e)

후킹 코드들은 Java.perform(function(){ 후킹 코드 }); 와 같은 형태로 작성하면 됩니다.

execute_su() 함수는 su가 실행이 되면 true를 리턴합니다. 아래 코드로 우회할 수 있습니다.

단말기에서 앱을 실행 후, 후킹 소스를 실행하여 실행결과를 비교해보면 화면의 check execute su : YES에서 NO로 바뀐 것을 확인해볼 수 있습니다.

check_su_files() 함수는 su 파일이 존재하면 해당 경로를 리턴하고, 없으면 null을 리턴합니다. 마찬가지로 return null을 하면 간단히 우회할 수 있으나 임의의 경로를 인자로 넘기는 방법도 있습니다.

후킹할 함수에 인자가 있는 경우, 적절하게 overload를 해주시면 됩니다.

Byte[]	[B
String	java.lang.String
int	int

팁: 소스에서 Java.perform(function( ~~ ){}); 이외는 삭제하고, 아래와 같이 실행하면 frida가 앱을 실행하면서 후킹을 합니다.

앱 띄우면서 중단없이 후킹

frida -H 아이피 -f 앱이름 -l 소스파일명 --no-paus (원격)

frida -U -f 앱이름 -l 소스파일명 --no-paus (usb)

있던 프로세스에 attach

frida -H 아이피 앱이름 -l 소스파일명 --no-paus

android 11에서 spawn시 Error: VM::AttachCurrentThread failed: -1가 발생할 경우 쉘에서 아래 커맨드를 입력

setprop persist.device_config.runtime_native.usap_pool_enabled false

'Android Linux' 카테고리의 다른 글

classes.dex memory dump (0)	2018.07.19
안드로이드 후킹, 메모리 변조 : dalvik 바이트코드 변조 (0)	2018.07.04
[KERNEL MODULE] linux kernel 4.6 이상에서 file hash 구하기 (0)	2017.11.27
시스템 콜(syscall) 함수 직접 호출하기 (0)	2017.11.01
kdress x86 빌드 (0)	2017.10.17

커널 4.6에서 커널 4.5까지 존재했던 crypto_hash 관련 함수가 사라졌습니다.

참조(사라진 함수..) : http://elixir.free-electrons.com/linux/v4.6-rc1/ident/crypto_alloc_hash

계속 사용하고 싶다면 비동기(crypto_ahash), 동기(crypto_shash) 중에 선택하여 사용하여야 합니다.

본 예제에서는 동기를 다룹니다. (kernel 4.10.0-38 에서 테스트 되었습니다.)

int md5(void)
{
	int ret = 0;
	int success = 0;
	unsigned char hash_md5[16] = { 0, }; // md5 해시를 저장
	struct crypto_shash *handle = NULL;
	struct shash_desc* shash = NULL;
	unsigned char *buff = NULL; // 파일 버퍼
	size_t buff_size = 16 * 1024; // page_size	
	struct file *fp = NULL;	
	loff_t file_size = 0; 	
	
	fp = filp_open("/usr/bin/md5sum", O_LARGEFILE | O_RDONLY, 0);
	if (IS_ERR(fp))
	{
		// 파일 열기 실패
		goto EXIT_ERROR;

}	
	if (!S_ISREG(fp->f_path.dentry->d_inode->i_mode))
	{
		// regular 파일이 아님
		goto EXIT_ERROR;
	}		
	handle = crypto_alloc_shash("md5", 0, 0);
	if (IS_ERR(handle))
	{
		// 핸들 얻기 실패
		goto EXIT_ERROR;
	}
	shash = kmalloc(sizeof(struct shash_desc) + crypto_shash_descsize(handle), GFP_KERNEL);
	if (NULL == shash)
	{
		// 메모리 할당 실패
		goto EXIT_ERROR;
	}
	
	shash->flags = 0;
	shash->tfm = handle;
	
	buff = kmalloc(buff_size, GFP_KERNEL);
	if (NULL == buff)
	{
		// 메모리 할당 실패
		goto EXIT_ERROR;		
	}
	
	success = crypto_shash_init(shash);
	if (success < 0)
	{
		goto EXIT_ERROR;
	}	
	
	int retval = 0;

while (1)
	{
		// 페이지 단위로 읽어들임
		retval = kernel_read(fp, file_size, (char*)buff, buff_size);
		if (0 > retval)
		{
			goto EXIT_ERROR;
		}
		if (0 == retval)
		{			
			break;
		}
		printk("%d\n", retval);
		file_size += retval;
		success = crypto_shash_update(shash, buff, retval);
		if (success < 0)
		{
			goto EXIT_ERROR;			
		}		
	}
	
	success = crypto_shash_final(shash, hash_md5);
	if (success < 0)
	{
		goto EXIT_ERROR;
	}
	
	int i = 0;
	for (i = 0; i < 16; i++)
	{
		printk("%02x", hash_md5[i]);
	}
	ret = 0;
	goto EXIT;	
	
EXIT_ERROR:
	ret = -1;
EXIT:	
	if (buff)
	{
		kfree(buff);	
	}
	if (shash)
	{
		kfree(shash);
	}
	if (handle)
	{
		crypto_free_shash(handle);
	}
	return ret;	
}

'Android Linux' 카테고리의 다른 글

안드로이드 후킹, 메모리 변조 : dalvik 바이트코드 변조 (0)	2018.07.04
안드로이드 후킹, 메모리 변조 : frida framework를 활용한 dex 함수 후킹 (0)	2018.07.01
시스템 콜(syscall) 함수 직접 호출하기 (0)	2017.11.01
kdress x86 빌드 (0)	2017.10.17
Visual Studio에서 ARM-Android 라이브러리를 쉽게 빌드해보자 (0)	2014.10.17

Codetronik

안드로이드 후킹, 메모리 변조 : dalvik 바이트코드 변조

'Android Linux' 카테고리의 다른 글

안드로이드 후킹, 메모리 변조 : frida framework를 활용한 dex 함수 후킹

'Android Linux' 카테고리의 다른 글

[KERNEL MODULE] linux kernel 4.6 이상에서 file hash 구하기

'Android Linux' 카테고리의 다른 글

+ Recent posts

티스토리툴바