securityfirst_jo

사이트 : https://github.com/appium-boneyard/sign

1. 위에 사이트에 가서 프로그램을 받은 후 압축을 해제한다

2. ./\sign-master\sign-master\src\s 폴더에 들어가면 Sign.java가 존재하는 것이 확인된다

3. 원본 악성파일과 디컴파일된 악성파일을 복사해온다

예) 원본 악성파일은 myfile.apk , 디컴파일된 악성파일은 unsignedmyfile.apk로 파일명은 변경함

4. java -classpath sign.jar orig.SignApk testkey.x509.pem testkey.pk8 myfile.apk unsignedmyfile.apk

했떠니 서명파일 복사됨

그냥 추가적으로 서명값을 넣는 방법도 있긴한데 잘안되서 우선은 원본 apk 파일의 서명 데이터를 디컴파일된 악성파일 서명값에 복사하는 형태로 진행함.

---------------------------------------------------------------------------------------------

이 방법이 서명데이터를 추가하는 방법임

빌드된 apk에 서명해주기

Android는 서명된 apk에 한하여 설치할 수 있으므로 signapk를 통하여 빌드된 app에 서명을 해줘야 합니다.

> java -jar signapk.jar testkey.x509.pem testkey.pk8 where_debug.apk where_debug_signed.apk

참고 사이트 

https://ndb796.tistory.com/448

https://chp747.tistory.com/302

sign.apk 파일이 없어서 인터넷 찾아보고 해보니 설치까지는 잘됐는데 apk 파일이 죽어버리네요...ㅠ

sign.apk 파일은 공유합니다

출처 : http://i5on9i.blogspot.com/2012/10/zip-apk-sign.html

전체 적으로 apk 디버깅하면서 참조하기 좋았던 사이트

https://chp747.tistory.com/302

\

출처 : https://ndb796.tistory.com/448

------------------------------------------------------------------------------------------

apk 분석을 위해 apktool 설치 방법

  Apktool은 대표적인 안드로이드 애플리케이션(Android Application) 대상의 리버스 엔지니어링 도구입니다. APK 파일을 분석하여 리소스를 뽑아낼 수 있고(디코딩), 코드를 수정하여 다시 재빌드(Rebuild)할 수도 있습니다. 실제로 XML, 이미지 파일, .dex 파일을 포함하여 안드로이드 앱의 주요 소스를 뽑기 위해 가장 많이 사용되고 있습니다.

  ▶ Apktool 다운로드: ibotpeaches.github.io/Apktool/

  설치를 위해서 [Install] 페이지로 이동하고, 자신의 운영체제에 맞는 프로그램을 다운로드 받습니다.

  ▶ Apktool.jar 다운로드: bitbucket.org/iBotPeaches/apktool/downloads/

  설명에 나와 있는대로 차근차근 다운로드 및 세팅을 진행하시면 됩니다. 가장 먼저 Apktool은 아래와 같이 다운로드 가능합니다.

  이때 파일의 버전명을 지우고 이름을 apktool.jar로  바꾸어서 C:\windows 경로에 두면 됩니다. 그리고 apktool.bat 파일 또한 만들어서 C:\windows 위치에 둡니다. apktool.bat 파일의 내용은 다음의 경로에서 확인할 수 있습니다.

  ▶ apktool.bat 내용: https://raw.githubusercontent.com/iBotPeaches/Apktool/master/scripts/windows/apktool.bat

  최종적으로 다음과 같은 형태가 됩니다.

  이후에 명령 프롬프트를 실행하여 apktool 이라고 입력하시면, 정상적으로 툴이 실행됩니다.

※ 참고사항 ※

  참고로 Apktool은 버전에 따라서 APK 파일을 처리하는 방법이 다를 수 있기 때문에, 가능하면 최신 버전과 가장 많이 사용되는 버전 두 가지를 모두 이용하는 것이 좋습니다. 필자의 경우 최신 버전인 Apktool v2.4.1과 더불어 Apktool v.2.3.4를 같이 사용합니다. 저는 그래서 다음과 같이 apktool_2.3.4.jar 또한 다운로드 받아서 윈도우 폴더에 위치시킵니다.

  이 경우 직접 java를 이용하여 Apktool을 실행하실 수 있습니다.

java -jar C:\Windows\apktool_2.3.4.jar

※ 디컴파일 하는 방법 ※

  디컴파일(Decompile)을 위해 하나의 APK 파일을 준비한 뒤에 다음과 같이 명령어를 입력합니다. 여기에서 d는 특정한 파일을 디코딩(Decoding)하라는 의미입니다. 공식 문서에서는 Decoding이라는 표현을 쓰고 있네요. 참고로 -o 옵션을 넣어서 만들어질 소스 폴더의 경로를 설정할 수 있습니다. -o 옵션을 넣지 않으면 자동으로 앱 이름과 동일한 이름의 폴더가 만들어집니다.

apktool d {앱 파일} -o {소스 폴더 경로}

※ 재빌드 하는 방법 ※

  소스코드를 수정한 뒤에 다시 재빌드(Rebuild)할 때는 다음과 같은 명령어를 입력합니다. 여기에서 b는 특정한 폴더를 기준으로 다시 빌드(Build)를 진행한다는 의미입니다. 참고로 -o 옵션을 넣어서 빌드 결과로 만들어질 APK 파일의 경로를 설정할 수 있습니다.

apktool b {소스 폴더 경로} -o {앱 파일}

  재빌드가 성공적으로 이루어진다면 다음과 같이 APK 파일이 만들어지는 것을 확인할 수 있습니다.

※ 참고사항 ※

  추가적인 Apktool에 대한 사용 방법은 공식 문서를 참고하세요.

  ▶ 공식 문서: ibotpeaches.github.io/Apktool/documentation/

출처: https://ndb796.tistory.com/448 [안경잡이개발자]

.so 파일 관련 분석 중 좋은 자료 백업함

내용으로는 스마트폰 안티리버싱 관련 자료로 잘 정리되어있음

-------------------------

안녕하세요? 이스트시큐리티입니다.

스미싱과 보이스피싱 등을 결합한 형태로 악성 앱들이 유포되고 있습니다. 해당 앱들은 주로 1 금융 관련 앱을 사칭하였으나 최근에는 국가기관, 2 금융 사칭 등으로 다양한 형태로 나타나고 있습니다. 기기 및 개인정보를 탈취하고 금융 정보 탈취를 목적으로 기기의 통화 상태를 감시합니다.

특히, 해당 앱은 분석을 어렵게 하기 위해서 중국 Qihoo 360사의 패킹 기술을 적용하였습니다.

본 분석 보고서에서는 “Trojan.Android.KRBanker”를 상세 분석하고자 합니다.

1. 패킹 특징

중국 Qihoo 360사의 패킹 된 앱은 일반 앱과는 다른 부분이 존재합니다. 앱의 권한과 컴포넌트 관련 정보를 볼 수 있는 매니페스트를 보면 일반 안드로이드 앱에서는 볼 수 없는 항목인 “android:qihoo”부분이 추가되어 있는데 이는 디컴파일을 방해합니다. “assets” 폴더에는 파일의 무결성과 동적 패킹에 관여하는 “.appkey”, “libjiagu.so” 파일이 포함되어 있습니다. 또한, 아래 [그림 2]를 보면 패키지명이 “com.android.hellod3”이지만, 패킹 된 덱스 코드에서는 해당 부분을 찾을 수 없어 정적 분석으로는 실제 악성 행위와 관련된 코드를 볼 수 없습니다.

[그림 1] 패킹 된 앱의 구조

[그림 2] 패킹 전 후 덱스코드 비교

2. 안티 디컴파일러

앱 디컴파일에 흔히 쓰이는 “apktool” 최신 버전을 통해서 컴파일을 시도하면 매니페스트의 “qihoo”와 관련된 요소를 찾을 수 없다고 하여 에러를 일으킨다. 앱의 동적 분석을 위해서는 매니페스트에 android:debuggable="true" 항목이 필요한데 이를 방지한다.

[그림 3] 컴파일 실패

3. 안티 디버깅

패킹 앱의 초기에는 안티 디버깅이 포함되어 있지 않아서 메모리에 로드된 덱스 파일을 실시간 덤프를 함으로써 간단히 패킹앱의 분석이 가능했습니다. 그러나 최근 패킹 앱에는 다양한 안티 디버깅 기법이 추가되었기 때문에 동적 분석을 통해서 안티 디버깅을 우회한 다음에서야 메모리에 로드된 덱스 파일 덤프가 가능합니다.

3.1 dlactivity 확인

“/system/linker” 모듈 내부에 존재하는 “dl_rtld_db_dlactivity”의 값은 디버깅 되고 있는지 없는지를 나타냅니다.

[그림 4] dlactivity 활용 안티 디버깅

3.2 TracerPid 확인

“/proc/self/status” 파일을 확인해보면 앱과 관련된 정보들이 나타나있습니다. 그 중에서 “TracerPid”의 값을 통해서 디버깅 여부를 확인할 수 있습니다.

[그림 5] TracerPid 활용 안티 디버깅

3.3 주소 활성화 여부 확인

주소와 포트를 확인하여 디버깅 여부를 확인합니다. IDA를 통해서 안드로이드 원격 디버깅이 가능한데, IDA의 기본 디버깅 주소와 포트의 활성화 여부를 확인하여 디버깅 여부를 확인합니다.

[그림 6] 주소 확인을 통한 안티 디버깅

3.4 특정 문자 확인

“gdb”, “android_server” 등의 동적 디버깅에 사용되는 도구들의 명령어 및 메모리상의 관련 문자열 확인을 통해서 디버깅 여부를 확인합니다.

[그림 7] 명령어 및 메모리 확인을 통한 안티 디버깅

3.5 시간 확인

코드 실행 중간중간에 시간 관련 함수를 추가하여 해당 코드의 실행 시간을 계산하여 디버깅 여부를 확인합니다.

[그림 8] 시간 확인을 통한 안티 디버깅

3.6 덱스 파일 덤프

안티 디버깅을 모두 우회하면 복호화된 덱스 파일은 “libart.so” 모듈에 의해서 메모리로 로드되는데, 이때 덱스 파일이 로드된 메모리 주소와 덱스 파일 구조에 기록되어 있는 덱스 파일의 크기를 계산하여 해당 부분을 덤프합니다. 다음 실제 코드가 담긴 덱스코드를 분석합니다.

[그림 9] 덱스 파일 덤프

4. 덱스 파일 분석

“assets” 폴더에는 “image.zip” 파일이 있는데 내부에는 악성 행위에 사용되는 가짜 통화 관련 사진과 악성 앱을 구성하는 여러 개의 사진 등이 있습니다.

[그림 10] 악성 앱에 사용되는 파일

기기의 아이디와 전화번호를 탈취하여 식별 정보로 사용합니다.

[그림 11] 기기 정보 탈취

기기 부팅 시 서비스를 실행시켜 지속적인 악성 행위를 가능토록 합니다.

[그림 12] 기기 부팅 시 재실행

안드로이드 정책에서는 일정 시간 동안 와이파이를 사용하지 않으면 꺼지게 되는데 이를 방지하여 C&C와의 지속적인 통신을 가능토록 합니다.

[그림 13] 지속적인 와이파이 연결

메시지를 주기적으로 감시하고 탈취하여 C&C 서버로 전송합니다.

[그림 14] 메시지 탈취

주소록을 주기적으로 감시하고 탈취하여 C&C 서버로 전송합니다.

[그림 15] 주소록 탈취

통화 상태를 확인하고 특정 번호를 감시하여 해커에게 연결되도록 하고 사용자를 속이기 위해서 가짜 통화 사진을 팝업합니다.

[그림 16] 통화 탈취

C&C 서버는 “lib” 폴더의 “libmasker.so” 파일 내부의 함수 호출을 통해서 불러옵니다.

[그림 17] C&C 서버

해당 악성 앱은 금융권 앱의 아이콘과 이름을 사칭합니다. 사용자의 기기 및 개인정보를 탈취하고 전화 상태를 확인하여 특정번호를 감시합니다. 통화를 종료하고 해커에게 전화를 자동으로 걸도록 하여 금융 정보를 탈취합니다. 특히, 앱의 분석을 어렵게 하기 위해서 중국의 Qihoo 360의 패킹을 적용했습니다.

따라서, 악성 앱으로부터 피해를 최소화하기 위해서는 백신 앱을 통한 주기적인 검사가 중요합니다. 출처가 불명확한 URL과 파일은 실행하지 않는 것이 기본이고 공식 마켓인 구글 플레이스토어를 통해서 확보한 앱이라도 백신 앱을 추가 설치하여 주기적으로 업데이트하고 검사해야 합니다.

현재 알약 M에서는 해당 앱을 ‘Trojan.Android.KRBanker’ 탐지 명으로 진단하고 있습니다.

출처: https://blog.alyac.co.kr/1994 [이스트시큐리티 알약 블로그]

출처 : https://colalove5562.tistory.com/m/31

목표

안드로이드 어플의 패키지명을 확인할 수 있다.

패키지명(Package Name) 이란?

안드로이드 앱 각각의 고유한 이름이라고 할 수 있습니다. 사용자에게 직접적으로 보이지는 않지만, 이 이름은

중복될 수 없으며 나중에 구글 플레이에 어플을 출시할 때에도 이 이름이 중복이 된다면 패키지명을 변경하는 과정이 필요합니다.

Intent를 사용해서 특정 어플을 실행시키거나 참조하는 과정이 필요할 때 주로 이 패키지명을 찾게 됩니다.

방법 1 : Google Play 접속 후 검색

play.google.com/

1단계 : Google Play 접속(PC 버전) -> 패키지명을 알고자 하는 어플 검색

2단계 : 상단 주소창 부분에서 패키지 이름 확인 -> '?id=' 뒷부분이 어플의 패키지명

번외 : 인스타그램 패키지명 검색

아주 간단합니다.

이제 Intent를 통해 Google-Gmail App의 패키지명인 com.google.android.gm 을 입력하면,

해당 어플이 바로 실행되는 것을 확인할 수 있습니다.(해당 어플이 존재할 경우)

Android Intent로 Gmail 보내는 방법 : colalove5562.tistory.com/29

방법 2 : Google Play에서 앱 패키지명을 알려주는 어플 사용하기

Google Play에 '패키지명' 이라고 검색하면, 자신의 휴대폰에 깔린 앱들의 패키지명을 확인 할 수있는

어플들이 많이 존재합니다. 딱히 기능이라고 할 것도 없기에... 그냥 원하시는걸 골라 설치하시고 사용하면 될 것 같습니다. 

(저도 처음엔 아무것도 모르고 앱 설치하고 패키지명을 찾았는데, 구글 플레이에서 검색하는게 더 빠르고 간편한 것 같더라구요 ㅎㅎ..)

번외 1 : Android에서 현재 작업중인 프로젝트의 패키지명을 알고 싶다면?

1.우측 java 폴더명 확인    2.클래스 파일의 최상단 부분 'package 이름' 확인

일부러 프로그램 설치할 필요없이 코딩해볼 수 있는 사이트

유투브 보면서 기초부터 배우는데 유용한것같다. 물론 다른 언어도 지원되는거 보면 좋은것같음

replit.com

아이가 19개월이 넘어가면서 기존 물려받은 카시트에서 자꾸 잠들 때 앞으로 숙여서 자는걸 보겠됐다..

아이 목배게를 사서 껴줘도 자다가 싫다고 울고..안끼면 목이 아플것같기도 하고 사고나면 크게 다칠것같아 걱정되기 시작했다.

그리하여 우리는 새로운 카시트를 구매하기로 하였다. 외국에서 안전성을 인정받아 쪼금 비싸지만 브라이텍스로 하기로 결정했다...(와이프가 이걸로 하자고 날 설득해서 설득당했다...)

처음에는 굳이 제일 비싼거 살필요가 있나 했는데 가서 직접 만져보고 아이를 앉혀 보고 하니...음 인정..하면서 고개를 끄덕이게 되었다. 

이유는 다음과 같다. 

1. 국내 안정성 기준이 아닌 EU 안정성 기준으로 유럽안정성 기준은 엄청 까다로운걸로 알고 있기 때문

2. 아이가 커서도 사용할 수 있는 카시트로 하기

3. 앉는게 편해보이기

4. 잘때도 목을 잘 고정해줄수 있는거 하기(내의견)

그리고 우리 부부가 눈여겨 보고 있던 모델인 브라이텍스 어드밴픽스 I-SIZE를 근처 매장에서 한번 보고 구매하게 되었다. 

우리는 가장 인기 있는 블랙 사이즈로 하였다. 블랙 깔끔하니 좋은것 같다. 

처음에 받아서 조립 후 거실에 놓고 아이를 앉혀 보니 아이가 너무나 좋아해주었다. 이렇게 미리 앉혀 놓으면 아이의 거부감을 많이 줄일 수 있다. 혹시 싫어하면 앉혀서 간식등을 주면서 친숙하게 해주면 된다

이후 내가 장착하게 되었는데...확실히 기존 제품보다 좋았다!!!고정도 잘되고...관리도 편하고 ㅠㅠ 이건 남편분들이 잘알거다....특히 실내세차 후에..

그리고 제일좋은점은 아이의 목과 머리를 안정적으로 받혀 주고 있다는 것이다. 

내가 이제품에 대해 가격을 듣고 반대하였지만 사용해보면서 추전해주고 싶은 모델이 되었다.

아이가 커 가면서 쓰게될 모델이기에 이왕이면 그래 비싸더라도 좋은거 안전한걸로 하자..생각으로 사게 되었고 잘 산것같다고 생각된다. 

------------------------------------------------

사용후기

우선 아이가 목을 좀 더 안전하게 기댈 수 있다는 점이 좋다.  그리고 역시나 탈착 장착이 너무나 쉽다. (세상 편한)

세탁도 했는데 어렵지 않았다

다만 개인적인 단점도 존재한다.

- 아이가 더워한다. 이건 우리아이가 열이 많아서 그런것일수도 있는데 통풍시트가 기존께 맞질않는다....ㅠㅠ 그래서 그냥 벗겼다.

위에 이거 외에는 아직까지 단점은 못봤다.....아이가 편하고 안전하면 되는거라 아이도 편하다고 하니 단점없이 잘 쓰고 있는것 같다~~~안전제일이지

처음이라 정보를 찾아보는중...가장 보편적으로 이묶음을 많이 사용하는것같다

차량은 16년식 올뉴 소렌토이다.

- 지크 top 5w30 : 7 리터
- 보쉬 오일필터 : 0986af0096(품번 : O0096)
- 보쉬 에어 필터 : 0986af2659(품번 : a2659)

연료 필터 : 31970C5901(제품명)

네이버에서 검색해서 사가기 

참고자료 엔진오일은 10만원정도, 연료필터도 10만원 정도....그래도 공임나라가 가성비가 좋네요

엄청 싼 엔진오일이 아니라..그래도 좋은 엔진오일로 교체하고, 비용도 조금더 저렴하네요

연료필터는 확실히 싸구요...

https://blog.naver.com/sim5339/222402577507

https://jujuland.tistory.com/427

--------------------------------------------------------

이렇게 물건사서 공임나라 예약하고 후기 남길게요

---------------------------------------------------------

엔진오일은 제일싼게 매진이라 그다음 싼거 11번가에서 사고

https://www.11st.co.kr/products/2031408734?NaPm=ct=kzgawyzs|ci=ecbe4395d810f01878c8ca2d5610638735f80b6d|tr=sls|sn=17703|hk=4dbf28626686ca7fe898fac23a3c1615f8fe8aa9&utm_term=&utm_campaign=%B3%D7%C0%CC%B9%F6pc_%B0%A1%B0%DD%BA%F1%B1%B3%B1%E2%BA%BB&utm_source=%B3%D7%C0%CC%B9%F6_PC_PCS&utm_medium=%B0%A1%B0%DD%BA%F1%B1%B3 

보쉬 필터는 여기서삼

https://www.11st.co.kr/products/3745683293?service_id=elecdn&utm_term=&utm_campaign=%B4%D9%B3%AA%BF%CDpc_%B0%A1%B0%DD%BA%F1%B1%B3%B1%E2%BA%BB&utm_source=%B4%D9%B3%AA%BF%CD_PC_PCS&utm_medium=%B0%A1%B0%DD%BA%F1%B1%B3 

보니까 2개다 11번가에서 샀네 ㅋㅋㅋㅋ

두개 배송비까지해서 대략 71000원대이다. 이제 연료필터 사야지...ㅠㅠ

-------------------------------------------------------------------

연료필터는 여기서 삼.  네이버 플러스 회원이면 여기가 좋음. 그리고 차대번호 알려주면 가능한 모델인지 확인해주심. 끝

https://smartstore.naver.com/regencar/products/4742931907?NaPm=ct%3Dkzma99us%7Cci%3Dcheckout%7Ctr%3Dppc%7Ctrx%3D%7Chk%3D9d66102d6eaf586272805fca6adf4b97b8a90cb1 

-----------------------------------------------------

예약하였으여 수원원천점으로 전화해서 예약함...친절히 전화로 예약을 받아주심

------------------------------------------------------------------------------------------------------------

드디어 점검 완료

엔진오일 : 21,000원

연료필터 앗세이 40,000원

총 61,000원

여기서 경기지역화폐 사용해서 약 5,000원 할인

그럼 총 결제 금액은 56,000원이다

공임나라 수원원천점 직원분들이 너무 친절해서 좋았다. 

가서 1시간 정도 걸린다고 하여서 맡기고 근처 홈플러스에서 장보면서 시간때우니 금방가더라..

다되면 연락달라고 연락처 남기고 쇼핑하다보니 30분정도 늦었는데 느긋하게 천천히 오시라고 ㅋㅋㅋ

(이렇게 이쁘게 말하는데 기분이 너무 좋았다.) 

다음에는 뭐 교체해야하냐고 물어보니 이것도 친절하게 설명해주심.~~크. 원따봉

다음 교체는 브레이크 오일, 미션오일이라고 설명해주셨다. 미리 고장을 방지하기 위해 교체하는 것이며, 브레이크 오일은 3~4만정도에 교체하는데 교체시기는 지났지만 운행에 큰 무리는 없어서 다음 엔진오일 교환 떄 하면 되고, 미션오일은 10만전에 한번 해주면 된다고 하시더라...

남은 오일은 새지말라고 밀봉 봉지에 넣어주시고(와 센스 굿, 새지말고 냄새도 안나게 넣어주심)

공임나라 처음 이용해 봤는데 너무 좋았고 엔진룸 청소도 해주시고, 친절하고 가격도 이쁘네요. 무엇보다 직원이 친절한게 너무 좋습니다(어디든 직원 불친절하면 절대 안감...내돈내고 짜증나게 하면 갈 이유가 없음)

좋은 경험이였고 자주 이용하려고 합니다~

---------------------------------

2023. 5. 10. 구매

에어필터 여기가 제일 싸네

https://smartstore.naver.com/boschparts/products/4881114673