Cago_Note

ole가 개발한 DBI 프레임워크 다양한 플랫폼에서 프로셋스에 대한 인젝션이 가능해 큰 확장성을 가짐 윈도우, 맥OS, GNU/Linux,ios, Android 및 QNX에서 자바스크립트를 네이티브 앱에 삽입 가능 frida는 앱이 실행 중인 상태에서 코드명령어 삽입을 하여 프로세스 추적, 분석, 모니터링, 분석, 디버깅하는 도구이다. 공식 홈페이지 https://frida.re/ Frida • A world-class dynamic instrumentation toolkit Observe and reprogram running programs on Windows, macOS, GNU/Linux, iOS, watchOS, tvOS, Android, FreeBSD, and QNX frida.re 스크립팅 ..

국민 건강보험 공단 사칭은 대부분 sms 메세지로 건강보험에서 검사 통지서, 통보서등을 확인 하라며 문자가 오는 형태로, 내용 확인 이라하며 피싱 사이트 접속 유도 합니다. 개인정보 입력을 요구하고 최종적으로 사칭 앱 다운로드되는 형태입니다. ex) [web발신] - 국민건강보험공단 - 신체검사 {통 보 서} 정상 발송, 내용확인 hxxp://by09.w3km[.]black [**질병관리청**] 건강검사 보고서 전송완료. 내용확인 URL [Web발신][국민건강검사]건강검사 안내문 전달완료.내용확인 URL [Web발신]--국민보험공단--건강검사 통보문 전달완료.내용확인 URL 아래는 해당 URL 접속 화면이다. 해당 사이트는 건강보험 공단 사칭하는 피싱 사이트 이며 번호입력, 이름, 생년월일을 입력 하면 ..

교통민원24(이파인) 사칭 악성 앱 분석 교통민원 사칭은 아래 사진과 같이 sms 형태로 교통법규를 위반 했다고 메세지가 오고 범칙금, 벌금, 벌점이 부과 되었다며 통지서 확인 하라는 형태가 대부분 이다. ex) 교통법규위반 단속이 통지서 발송 완료 아래는 해당 URL 접속 화면이다. 해당 사이트는 교통민원24(이파인)을 사칭 하는 피싱 사이트 이며 번호입력, 이름, 생년월일을 입력 하면 다음 페이지로 넘어가고 최종적으로 하이퍼 링크를 이용하여 악성앱이 다운로드되는 형태이다. ※ 정상 배포방식은 원스토어, 구글플래이 해당 사이트(어플)를 통해서만 배포한다 유포지 htrc[.]oiwx.hair 최종 유포지 hxxp://htrc.oiwx[.]hair/7003734d095abfee769eeafec9f57337..

보호되어 있는 글입니다.

manifast.xml 의 application 태그 밑에 추가하게 되는 안드로이드 permission 정리 입니다. //위치정보 확인함 //인터넷 사용가능하게 함. 위와 같은 형식으로 추가됩니다. xml 안보일경우 애뮬래이터키고 해당 명령어 치면 보임 adb shell dumpsys package com.yuiopro.boct16z | grep versionName ACCESS_CHECKIN_PROPERTIES 체크인데이터베이스의_속성테이블로_액세스 ACCESS_COARSE_LOCATION 코스_로케이션_액세스_(Cell-ID/WiFi) ACCESS_FINE_LOCATION 파인로케이션_액세스(GPS) ACCESS_LOCATION_EXTRA_COMMANDS 로케이션_옵션_커맨드_액세스 ACCESS_MO..

안드로이드 폴더 구조 /data 폴더 이 폴더는 애플리케이션 데이터와 캐시, 기타 데이터를 저장하는 데 사용됩니다. 일반적으로 이 폴더는 root 권한이 필요합니다. /data/data: 각 애플리케이션의 데이터가 저장되는 폴더입니다. 패키지 이름으로 구분됩니다. /data/app: APK 파일이 설치되는 폴더입니다. /data/cache: 캐시 파일이 저장되는 폴더입니다. /data/dalvik-cache: Dalvik 가상 머신이 사용하는 캐시 파일이 저장되는 폴더입니다. /system 폴더 안드로이드 운영체제와 관련된 파일이 저장되는 폴더입니다. 이 폴더의 파일은 루팅 된 기기에서 수정할 수 있지만, 그렇게 하면 안정성 문제가 발생할 수 있습니다. /system/app: 기본적으로 설치된 애플리케이..

안드로이드 구조 설명 https://cago-young.tistory.com/118 안드로이드 명령줄 https://developer.android.com/studio/command-line?hl=ko 분석 참조 블로그 https://story.malwares.com/36 https://hummingbird.tistory.com/search/android 스팸 전화번호 검색 사이트 http://www.missed-call.com 분석 툴 더보기 Tool - apkanalyer https://developer.android.com/studio/command-line/apkanalyzer?hl=ko - appt2 https://developer.android.com/studio/command-line/aap..

준비 사항 더보기 expo 회원가입 링크 nod.js 설치 링크 공식 문서 링크 node.js 설치 npm install -g yarn npm install -g expo-cli expo login username "Expo 사이트 가입당시 입력한 name" expo 패스워드 입력란이 차례로 나오고, 차례대로 입력하면 로그인 성공! init 으로 포로젝트 만들기 해당 폴더 들어가서 expo start 나한테 나왔던 오류 1. expo start 2. shell 보안상 문제? 더보기 방법1. start 오류는 expo로 만든 폴더(프로젝트)로 들어가서 실행 해야한다. 방법 1 • 1) VSCode를 실행하고 Ctrl + Shift + P 조합키를 입력합니다. (아마 모든 설정 검색 창) • 2) "shel..

간편한 암호화/ 복호화를 할 수 있는 사이트 CyberChef는 분석할 때 자주 사용하는 암호화 복호화 사이트를 소계 합니다. Text 나 파일 등을 암호화 및 복호화가 가능 한 사이트입니다. https://gchq.github.io/CyberChef/ CyberChef gchq.github.io 사용 방법을 간단 하게 알아보겠습니다. 사용방법은 base64로 암호화된 파일을 풀어보면서 해보겠습니다. 1. INPUT에는 암호화된 값을 넣어줍니다. 2. Operations에서 복호화할 방식을 마우스로 드래그해서 Recipe에 넣습니다. 3. BAKE를 누르면 INPUT에 들어간 값을 레시피에 들어간 필터들을 걸쳐서 OUTPUT으로 나오게 됩니다. 자바스크립트를 이쁘게 만들어주는 사이트 가끔 분석하다 보면 ..

안드로이드 악성 앱 다운 사이트 악성코드를 분석하고 싶은데 샘플이 없어 분석을 못하는 경우가 있는데. 분석 목적을 위해 악성코드 배포에 활용되는 URL을 공유해 악성코드 정보를 확인 가능 하다. https://bazaar.abuse.ch/browse/tag/apk/ MalwareBazaar | Browse Checking your browser Please confirm that you are not a robot by clicking on the checkbox below bazaar.abuse.ch https://urlhaus.abuse.ch/ URLhaus | Malware URL exchange URLhaus database Get insights, browse the URLhaus databas..