Raining_93

다음으로 추가한 기능은 Memory Dump 기능이다.

모바일 애플리케이션을 분석하다가 보면 내가 원하는 Native Library(.so) 파일이나

메모리에서 원하는 파일을 덤프를 해야할 때가 있다.

예를 들어 모바일 보안 솔루션에서는 애플리케이션을 실행한 후 맵핑 정보에서 delete하는 경우가 있다.

다음 그림을 보자.

해당 파일은 분석해봐야 정확히 deleted된 파일이 so 파일인지, Dex 파일인지는 알 수 있겠지만

위의 그림처럼 실행시 마다 매번 이름을 변경되는 파일이 있다.

많이들 사용하고 있는 frida를 이용할 시 해당 파일을 덤프하기 위해서는

먼저 루팅 우회, 프리다 우회, 변경되는 문자열를 표현하는 정규식 등을 우회 및 설정 해야지만

해당 파일을 덤프할 수 있다.

이런 과정을 조금 더 빠르게 수행하기 위해서 Memory Dump 기능를 추가하였다.

Memory Dump 화면 구성은 다음과 같다.

Home 탭에서 Memory Dump 버튼을 클릭하면 다음과 같이 현재 연결되어 있는 단말기에서

실행되는 모든 애플리케이션을 보여준다.

여기서 분석하고자 하는 애플리케이션을 클릭하면 아래와 같이

메모리 맵핑 정보를 보기 편하게 자동으로 파싱하여 볼 수 있다.

그 후 검색을 통해서 맵핑 정보를 빠르게 검색할 수 있고, 덤프할 맵핑 정보를 클릭 시

덤프할 offset도 자동으로 입력해준다.

그 후 Dump 버튼을 클릭하면 /data/local/tmp에 분석하는 애플리케이션의 이름으로 된 폴더가 생성되며

생성된 폴더안에 덤프된 파일이 존재한다.

방금 설명한 내용이 아래의 과정이다.

끝으로 개인 연구 및 개발 목적이지

포스팅 내용 중 보이는 애플리케이션에 대한 악의적인 목적은 전혀 없다.