만두만두

PE 헤더 공부 시, 각 헤더를 구현하기 위해 사용되는 구조체가 혹시 궁금하다면 두 가지 방법정도가 있다. 첫 번째로, MSDN사이트를 이용하는 방법.https://msdn.microsoft.com/ko-kr/library/windows/desktop/ms680336(v=vs.85).aspx두 번째로, 해당 구조체들이 모두 선언되어 있는 헤더파일인, winnt.h를 참조하는 방법. 예를 들어, visual studio에서 대충 아무 곳에 #include를 입력한 뒤, winnt.h에 마우스 우클릭을 시전한 후, 문서보기를 통해 다음과 같이 구조체를 확인할 수 있다.

보호되어 있는 글입니다.

어제는 frida 설치까지 다 했으니, 오늘은 fridump를 사용해서 메모리 덤프를 해보도록 합시다! adb 데몬이 꺼져있을 수 있으니 다시 켜주고! 어제 배운 frida-ps -U 명령어로 디바이스 내에 frida-server가 잘 돌아가고 있는지 확인합니다~! frida-server가 꺼져 있으면 다시 켜주어야 해요! 그럴 경우, adb shell을 이용해서 다시 백그라운드로 실행시켜 줍니다> (스마트 폰을 껏다키면 frida-server는 고대로 종료됩니당.) frida-server가 제대로 실행되고 있는 거를 확인하면 이제 본 라운드로 돌아갑시다! 일단 fridump를 설치해야 합니다! fridump 란?fridump는 frida framwork를 사용하는 오픈 소스 메모리 덤핑 도구입니다. W..

이번 글의 최종목표는 안드로이드 메모리를 덤프하는 겁니다. 물론 곁다리로 안드로이드의 깊숙히 숨겨져있는 면까지도 접근할 수 있겠습니다만, 주 목적은 fridump 라는 도구를 이용해서 안드로이드 어플 사용시 사용자가 입력한 데이터들이 메모리에서 잘 발견이 되는지를 판단하는 것이겠습니다. 한 번에 정리하기에는 글이 너무 길어질 것 같아, 적당히 두 번에 걸쳐 정리하도록 하겠습니다. 먼저, 1 장에서는 adb를 설치해서 안드로이드와 사용자의 PC 간의 연결을 돈독히 하도록 만들어주고, frida 를 설치해서 fridump라는 메모리 덤프 도구를 사용할 기반을 만들어주도록 하겠습니다. 주의 : 루팅이 되지 않은 단말은 fridump 로 덤프할 수 있는 메모리 영역이 극도로 줄어듬을 확인하실 수 있습니다. 시작..

윈도우 레지스트리란?쉽게 말해서 윈도우에서 시스템을 구성하는데 사용하는 데이터베이스라고 할 수 있습니다. 각 각의 사용자, 응용 프로그램 및 하드웨어에 대한 정보 등 Windows에서 지속적으로 참조하는 설정 정보들이 담겨있어, 사용자가 윈도우를 사용한다는 것은 사용자는 레지스트리와 상호작용을 한다고 볼 수 있습니다.사용자와의 지속적인 상호작용을 하는 만큼 레지스트리는 다양한 많은 정보들을 남기고 있습니다. 이를 통해 조사관들은 수집한 자료들로부터 결정적 증거를 확보할 수 있겠습니다. 먼저 레지스트리는 5개 혹은 6개의 루트 키들로부터 이루어지는 수 많은 서브키들로 이루어져있습니다. 제가 사용하고 있는 윈도우 10 환경 기준으로 설명한다면, 다음과 같습니다.HKEY_USERS(HKU) : 로컬 상에 존재..

https://apkpure.com/

보호되어 있는 글입니다.

보호되어 있는 글입니다.

안드로이드 앱 진단 과정에 대해 정리하기 위한 글이다. SUA 활동을 진행하면서 얻은 지식들을 토대로 작성할 것이다. 먼저, 안드로이드 앱 진단에 필요한 사전 준비를 할 필요가 있다. 필요한 프로그램들은 다음과 같다. adbfridafridumpapktoolsignapkjebwingrepwiresharkburp suite 각 도구들이 어떻게 이용되는지 간단하게 설명해보자. adb : Android debug bridge 라는 것의 약자인데, 이 도구를 이용하여 PC에서 안드로이드에 접속하여 원하는 작업을 수행하도록 할 수 있다. frida : frida는 DBI(Dynamic Binary Instrumentation)이라고도 하는 동적 바이너리 조사를 가능하게 해주는 도구이다. 기존 앱의 바이너리에 자바..

Pcapng 파일이란? pcapng( PCAP Next Generation ) 파일 형식은 기존의 pcap을 발전시킨 파일 형식이다. 기존 pcap과 비교하여 패킷 캡처를 한 인터페이스 정보, 주석, 이름 확인 정보 등 더 많은 메타데이터가 추가되었다. 파일의 시그니처도 기존 pcap과 다르다. 기존의 pcap 파일의 시그니처가 D4 C3 B2 A1 이라면, pcapng 파일의 시그니처는 0A 0D 0D 0A 이다. Pcapng 파일 -> Pcap 파일로 변환 기존의 pcap 파일과 조금 달라진 만큼, pcapng 파일을 분석하지 못하는 도구들이 가끔 있다. 그럴 경우에는 pcapng 파일을 pcap 파일로 변환을 해 주어야 하는데, 내가 자주 사용하는 방법은 두 가지 정도 있다. 편하게 pcapng 파..