Android 메모리 덤프(fridump)
본문 바로가기

Mobile

Android 메모리 덤프(fridump)

반응형

Android의 메모리 덤프를 하기 위한 기본 환경으로 우선 frida가 설치되어 있어야 합니다.

 

간략하게 frida 설치 및 실행과정까지 설명드리겠습니다. 

 

1. 우선 Python3.7.5 버전과 frida-server-12.6.23 버전을 다운받습니다.

Python 다운로드 후  frida를 설치하기 전에

환경설정 -> path 경로에서 C:\Python3\Scripts / C:\Python3를 추가합니다.

 

여기서 주의할 점은 python 2 버전대가 설치되어 있다면 환경변수에서 아래로 이동시켜주시고

C:\Python3\Scripts  / C:\Python3  설정이 제일 위에 오도록 셋팅해야 합니다.

환경 변수 설정

 

2. frida-server-12.6.23 버전을 다 다운받고 상황에 따라(에뮬레이터or단말기) 바꿔가며 사용하시면 됩니다.

* nox_adb shell getprop ro.product.cpu.abi  명령어를 통해 에뮬레이터 버전(32/64bit)을 확인해야합니다. *

다운로드 경로 : https://github.com/frida/frida/releases/tag/12.6.23

frida-server 다운로드

 

3.  frida-server를 Python3 폴더의 경로로 다운받습니다.

frida 서버 경로

 

 

 

4. 로컬에서 다운받은 frida-server를 push 명령어를 통해 디바이스 내의 /data/local/tmp 경로로 전송시켜줍니다.

frida server 전송

 

5. 새로운 cmd창을 띄워서 nox_adb에 shell로 연결한 후 /data/local/tmp 경로로 접근합니다.

그리고 이동시킨 frida-server를 chmod 명령을 통해 755 권한을 준 후 실행시킵니다.

frida-server 755 권한 설정 및 실행

 

6. 755 권한을 줬다면 ./frida-server &명령을 통해 frida를 실행시킵니다. 

 

7. adb와 연결된 cmd창 외에 새롭게 cmd 창을 새로 열고 Frida-ps –U 명령어를 통해

덤프할 앱의 프로세스 이름을 확인합니다.

8. Fridump3 파일을 로컬디스크 C의 최상위 경로에 다운로드 받고 그 후, 그 경로로 이동하여 파일을

실행시켜주어야 합니다.  (명령어: Fridump –U –s “앱 이름”)

Python fridump3.py -u -s 앱 이름

10. dump 폴더가 생성된 것을 통해 정상적으로 dump 된 것을 확인할 수 있습니다.

dump 파일 확인

11. AstroGrep 프로그램을 통해 덤프 된 메모리에서 저장된 패스워드 값(admin$#1510)을 검색했을 때

중요정보가 암호화되지 않고 텍스트로 저장되어 있는 것을 확인할 수 있습니다.

AstroGrep 을 통한 텍스트 검색

 

12. 검색해서 나온 파일을 통해 아래와 같이 “admin$#1510”의 값을 저장한 파일을 찾을 수 있으며

우클릭/ 디렉터리 오픈을 통해 파일을 열어볼 수 있습니다.

 

13. 노트패드로 열면 글자가 암호화되어 있지만 패스워드를 가지고 있는 파일을 HxD 툴을 통해 실행시키면 파일의 내용을 볼 수 있습니다.

HxD 을 통한 텍스트확인

반응형

'Mobile' 카테고리의 다른 글

ADB Logcat에서 특정 app 로그 확인  (0) 2021.06.21
Android 메모리 덤프(fridump)  (0) 2021.06.15
SSL Pinning 우회도구  (0) 2021.06.15
Android 백업 취약점  (0) 2020.04.16
Android 모바일 Burpsuite 연동  (1) 2019.12.09