728x90
반응형
Inspeckage를 활용한 앱 분석
- Inspeckage는 디바이스에 설치되며 앱 API 함수를 후킹하여 동적 분석한 내용을 웹 서비스 기반으로 보여주는 앱이다.
- 서버에 요청하는 값, 앱 권한, 공유 라이브러리, 노출된 앱 취약점 등을 확인할 수 있다.
- 특히 중요 설정 파일들과 파일 접근, 데이터베이스 접근 정보들을 실시간으로 파악할 수 있기 때문에 액티비티 동작 과정에서 어떤 행위를 하는지 정확하게 파악할 수 있다.
- ⇒ 악성코드 앱 분석 시 유용함
- Inspeckage 실행 전 Xposed Framework 앱을 설치해야 한다.
- https://repo.xposed.info/module/de.robv.android.xposed.installer
- 위 사이트로 이동하여 apk 파일을 다운받는다.
> 설치과정
더보기
- 설치 후 Modules를 클릭하고 Inspeckage 모듈을 설치한다.
- 설치 후 재부팅하면 항목이 체크되어 있다.
- https://github.com/ac-pm/Inspeckage
- 위 링크에서 mobi.acpm.inspeckage 앱을 다운받는다.
- 아래와 같이 Module disabled 라고 출력되어야 정상 작동한다.
위 화면에 적혀있는 IP로 접속한다.
- Inspeckage 로 이동하여 choose target에서 분석할 앱 프로세스를 선택한다.
- 프로세스가 선택되면 웹 페이지에서 바로 결과를 확인할 수 있고, 서비스가 동작하는 과정이 모두 업데이트된다.
- 출력된 결과문은 앱 실행 과정에서 저장 장소에 어떤 파일들이 생성되는지도 보여준다. (File System 항목)
- 진단자는 내/외부 저장소에 생성되는 파일 내에 중요한 정보가 포함되어 있는지, 중요한 정보는 암호화되어 있는지 반드시 확인해야 한다.
- 수동 진단 시 파일을 모두 확인하지 못하는 경우가 있고, 임시 파일 생성까지 모니터링하는 것은 어렵기 때문에 이런 후킹방식을 이용한 실시간 모니터링이 필요하다.
- 해당 항목은 앱에 포함된 URL 정보와 앱이 접근하는 사이트 정보를 보여주고 있다.
- 악성코드 앱 분석 혹은 악의적인 사이트로 정보가 전달되는지를 확인할 때 유용하다.
- HTTP 항목
- 앱 분석 시 내부적으로 동작하는 함수를 상세하게 살펴보는 것은 중요하다.
- 저장소에 저장되는 정보들, 서버 간의 통신 과정에서 중요 정보들이 어떻게 전달되는지 모든 로그들을 모아 효율적으로 진단하는 것이 필요하다.
728x90
반응형