View
1.860
Download
34
Category
Preview:
DESCRIPTION
Details on http://drakonoid.ru/android-glazami-xakera.html
Citation preview
Android глазами хакера
Рютин Борис @dukebarman
Esage Lab {neúron}
Checkpoint’ы семинара
Esage Lab {neúron}
1. ОС Android2. Инструменты для исследования3. Инструменты для разработки4. Анализ уязвимости CVE-2011-1823
Архитектура ОС Android
Esage Lab {neúron}
Структура файлов формата .apk
Esage Lab {neúron}
• Директория META-INF: – MANIFEST.MF– CERT.RSA– CERT.SF
• Директория res• Директория assets• AndroidManifest.xml• classes.dex• resources.arsc
Цели malware-программ
Esage Lab {neúron}
• GPS• Доступ к веб-сайтам• Работа с SMS• Детализация звонков• И т.д.
Типы угроз для android
Esage Lab {neúron}
• На уровне приложений(spyware, malware, …)• Веб-угрозы (фишинг, браузеры)• Сетевые (Wi-Fi-сниффинг, network-эксплойты)
Отличия от linux-программ
Esage Lab {neúron}
• Content Providers — обмен данными между приложениями
• Resource Manager — доступ к таким ресурсам, как файлы xml, png
• Notification Manager — доступ к строке состояния
• Activity Manager — управление активными приложениями
Checkpoint’ы семинара
Esage Lab {neúron}
1. ОС Android2. Инструменты для исследования3. Инструменты для разработки4. Анализ уязвимости CVE-2011-1823
Пути исследования
Esage Lab {neúron}
• Статистический анализ
• Динамический анализ
ApkTool
Esage Lab {neúron}
Сайт:http://code.google.com/p/android-apktool/
Особенности:• Дизассемблирование приложения практически до
оригинальных исходников с возможностью пересобрать• Дебаг smali-кода.• Тулза будет полезна переводчикам и тем, кто занимается
переносом приложения на другие платформы.
APK Inspector
Esage Lab {neúron}
Сайт: http://code.google.com/p/apkinspector/
Особенности:• GUI-интерфейс• Написан на python• Объединяет в себе работу различных программ
для реверсинга: dex2jar, apktool, androguard
dex2jar
Esage Lab {neúron}
Сайт: http://code.google.com/p/dex2jar
Особенности:• Простое преобразование файлов формата *.dex в
*.jar
Jar-декомпиляторы
Esage Lab {neúron}
JadСайт: http://www.kpdus.com/jad.html
JD-GUI Сайт: http://java.decompiler.free.fr
ScanDroid
Esage Lab {neúron}
Сайт: http://blueinfy.com/ScanDroid.zip
Особенности:• Написан на Ruby• Проверяет именно приложения на уязвимости
Пример использования:http://forum.reverse4you.org/showthread.php?t=1175
AREvm
Esage Lab {neúron}
Сайт: https://redmine.honeynet.org/projects/are
Включает в себя:• androguard • android sdk/ndk • apkinspector • apktool • axmlprinter
• ded • dex2jar • droidbox • ded • smali/baksmali
Android SDK
Esage Lab {neúron}
Сайт: http://developer.android.com/sdk/
Особенности:• Дебаггер• Туториалы по разработке• Эмулятор• Нужные библиотеки• Примеры программ• Документация по Android API
Android SDK
Esage Lab {neúron}
Приложения Android SDK:• Dalvik Debug Monitor Service (ddms)• Android Debug Bridge (adb)• Android Asset Packaging Tool (aapt)
• Android Interface Description Language (aidl)
• Sqlite3
• Traceview
• mksdcard
• dx
• activityCreator
IDA PRO 6.1
Esage Lab {neúron}
Сайт: http://developer.android.com/sdk/
В IDA 6.1 появилась возможность дизассемблировать байткод Android (Dalvik) (Один из пользователей IDA любезно предоставил процессорный модуль и загрузчик )
Особенности:• Дизассемблер Dalvik теперь доступен в Расширенной Версии (Advanced Edition)• Нативный код ARM доступен для отладки• Поддерживает смешанный код ARM/Thumb и может работать с
многопоточными приложениями
Checkpoint’ы семинара
Esage Lab {neúron}
1. ОС Android2. Инструменты для исследования3. Инструменты для разработки4. Анализ уязвимости CVE-2011-1823
Среды для разработоки
Esage Lab {neúron}
Eclipse ADT-pluginСайт: http://developer.android.com/sdk/eclipse-adt.html
NetBeans pluginСайт: http://www.nbandroid.org/
IntelliJ IDEA pluginСайт: http://code.google.com/p/idea-android/
Android NDK
Esage Lab {neúron}
Сайт: http://developer.android.com/sdk/ndk/index.html
Пакет инструментариев и библиотек позволяющий вести разработку приложений на языке С/С++. NDK рекомендуется использовать для разработки участков кода критичных к скорости.
Эмуляторы
Esage Lab {neúron}
• Входящие в состав Android SDK• Собранные из исходников:
– http://source.android.com/source/index.html – http://www.android-x86.org/
Checkpoint’ы семинара
Esage Lab {neúron}
1. ОС Android2. Инструменты для исследования3. Инструменты для разработки4. Анализ уязвимости CVE-2011-1823
CVE-2011-1823
Esage Lab {neúron}
• Описание:http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1823
• Уязвимая функция: DirectVolume::handlePartitionAdded• Тип уязвимости: LPE (вектор повышения привелегий)• Уязвимые системы:
– Android 2.x – 2.3.3– Android 3.0
• Требования:– Установленная карта памяти– Вкл. Usb debugging
CVE-2011-1823
Esage Lab {neúron}
Полезные ссылки по теме анализа Gingerbreak:• http://c-skills.blogspot.com/2011/04/yummy-yummy-gingerbreak.html• http://android-dls.com/wiki/index.php?title=Compiling_for_Android• http://plausible.org/andy/agcc• http://source.android.com/source/download.html
Материалы
Esage Lab {neúron}
ENG: 1. "Reverse Engineering Of Malware On Android", автор Vibha Manjunath
http://www.sans.org/reading_room/whitepapers/pda/reverse-engineering-malware-android_337692. "Android Reverse Engineering - A Kick Start", автор Dhanesh - разбор crackme "Deurus Android crackme
03" 3. http://mylifewithandroid.blogspot.com/2009/01/disassembling-dex-files.html 4. ".dex format to .jar format" http://androidorigin.blogspot.com/2011/02/dex-format-to-jar-format.html5. http://thomascannon.net/projects/android-reversing/ 6. http://androidcracking.blogspot.com/2011/02/smali-syntax-highlighting-for-notepad.html
RU: 1. http://habrahabr.ru2. Журнал "Хакер" выпуски:
Сентябрь 2011 (152) "Android-убийца«Ноябрь 2011 (154) "Больные роботы“
Спасибо!
Esage Lab {neúron}
Esagelab.ru Neuronspace.ru Drakonoid.ru
Recommended