[iOS] Jailbreak 탐지 우회(Ghidra)

🌧:
Guluem

« 2024/04 »
일	월	화	수	목	금	토
	1	2	3	4	5	6
7	8	9	10	11	12	13
14	15	16	17	18	19	20
21	22	23	24	25	26	27
28	29	30

Tags more

티스토리 뷰

MOBILE

[iOS] Jailbreak 탐지 우회(Ghidra)

🌧: 2021. 1. 25.

Frida 코드를 통해 대상 앱의 클래스 -> 메소드 -> 반환 값을 확인하여 런타임 값을 조작하는 방식도 존재하지만 전반적인 로직 분석이 필요한 경우가 존재합니다. 이때 Ghidra를 통하면 좀 더 편하게 조작하고자 하는 정보를 확인 후 우회가 가능합니다.

Frida 코드를 통해 탈옥 탐지를 우회하는 방법은 하단의 게시글을 참고해주시면 됩니다.

guleum-zone.tistory.com/146

[iOS]Jailbreak 탐지 우회(Frida)

개요 Jailbreak는 “iOS 탈옥”이라는 의미를 가지며 Android에서는 “루팅”이라고 표현하고 있음. 이는 샌드박스 제한을 풀어 타 회사에서 사용하는 서명되지 않은 코드를 실행할 수있게 하는 과정

guleum-zone.tistory.com

Ghidra를 통해 탈옥 탐지를 우회하기 위해선 대상 앱에 대한 바이너리 파일을 분석해야 됩니다. 우선 번들 컨테이너 경로로 이동해 DVIA-v2 디렉토리로 접근합니다.

바이너리 파일을 상대적으로 용량이 크기때문에 쉽게 확인할 수 있습니다. 해당 파일을 우클릭하여 로컬 PC로 Export 합니다.

File -> New Project 하여 프로젝트를 생성후 추출한 바이너리 파일을 드래그 앤 드롭해줍니다.

Ghidra에서 동적 분석을 수행하기 전에 해당 파일이 Mach 오브젝트 바이너리 파일인 것을 표시해 줍니다. OK를 누른 후 계속 진행합니다.

DVIA-v2 바이너리 파일에 대한 이름, 사이즈, 포맷 형식 등 결과 값의 내용을 간략하게 표시해줍니다. OK를 눌러 마저 진행해 줍니다.

동적 분석을 수행하기 전에 옵션을 지정할 수 있습니다. 기본 값 그대로 두고 Analyze를 클릭하면 좀 전에 드래그 앤 드롭 해준 바이너리 파일에 대한 전반적인 분석이 시작됩니다.

우측 하단에 보시면 모래시계가 돌아가면서 퍼센테이지가 조금씩 상승됩니다. 100%가 될 때까지 잠시 기다려주시면 됩니다.

분석에 필요한 특정 문자열을 검색해서 로직 분석을 효과적으로 할 수 있다. Search 탭에서 For String으로 이동합니다.

분석에 필요한 문자열은 "device is jailbroken"이며 Filter에 입력하면 바이너리 파일 내부를 검색하여 나타내 줍니다.

String View에 원하는 문자열을 더블클릭하면 메인 화면에 입력한 문자열이 어느 라인에 존재하는지 확인할 수 있습니다. 빨간 테두리를 더블클릭해서 로직으로 이동하고자 합니다.

탈옥 탐지할 시 발생되는 문구를 확인했으니 해당 문구를 통해 디컴파일된 내용과 대조해보면서 값을 수정할 수도 있습니다. 만약 로직 파악이 쉽지 않다면 Graph 형식의 로직을 통해 파악하면 보다 쉽게 분석이 가능합니다.

Graph Function을 누르면 DVIA 로직의 흐름을 파악할 수 있습니다. w8과 0x0 간의 상호관계를 통해LAB_100195 da8일 경우 Device_is_Not_Jailbroken으로 이동되고 아니면 Device_is_Jailbroken이 있는 로직으로 이동되고 있음을 확인할수 있습니다.

메모리 영역에 할당된 주소를 확인하기 위해 bdd0 값에 마우스를 올려 Imagebase Offset 값을 확인후 자바스크립트 코드로 작성하여 앱을 실행시 지정해둔 메모리 주소로 거치도록 해야 됩니다.

/* File Name is Jailbreak_Test3.js */
var realBase=Module.findBaseAddress('DVIA-v2')
console.log(realBase)

var Jailbreak_address = realBase.add('0x1959dc')
console.log(Jailbreak_address)

Interceptor.attach(Jailbreak_address,{
	onEnter:function(args){
    	console.log(JSON.stringify(this.context))
        }
})

탈옥 탐지 버튼을 클릭하면 지정해둔 메모리 주소로 이동해서 지나가게되며 (this.context)를 통해 반환되는 레지스터 값을 확인할 수 있습니다.

* 메모리에서는 "h"를 사용해서 16진수를 표현하며 자바스크립트에서는 "0x"를 사용해 16진수인 것을 표현합니다.

코드를 실행 및 앱을 작동해보면 탈옥이 탐지될 시 w8(x8)의 값이 "1"이 출력된 것을 확인할 수 있습니다.

-U : usb 로 연결

-l : 스크립트 로드

0x100ef0000: DVIA 바이너리가 메모리에 할당된 주소

0x1010859dc: 수정하고자 하는 해당 부분만큼 이동한 메모리 주소

/* File Name is Jailbreak_Test3.js */
var realBase=Module.findBaseAddress('DVIA-v2')
console.log(realBase)

var Jailbreak_address = realBase.add('0x1959dc')
console.log(Jailbreak_address)

Interceptor.attach(Jailbreak_address,{
    onEnter:function(args){
    	console.log(JSON.stringify(this.context))
        this.context.x8 = 0x0
        console.log(JSON.stringify(this.context))
     }
})

탈옥된 단말일 경우 x8(w8)의 반환 값이 “1”이 였으니 코드에 x8 = 0x0 즉 “0”으로 수정하여 삽입합니다.

x0 ~ x30(64비트) = w0 ~ w30(32비트) 은 32비트와 64비트 환경에서 표현하는 차이일뿐 동일하다고 보시면 됩니다.

수정한 코드를 다시 재실행해보면 x8(w8)의 값이 0으로 수정된 것을 확인할 수 있습니다. 이로써 true 로직인 경우의 LAB_100195 da8로 이동하게 되어 "Device_is_Not_Jailbreak"이 출력되게 됩니다.

성공적으로 탈옥을 우회한 것을 확인할 수 있습니다.

저작자표시 비영리 변경금지

'MOBILE' 카테고리의 다른 글

[Android] 가상 모바일 환경(Nox) 구축 (0)	2021.02.01
[iOS] 수정 된 IPA파일 서명 (0)	2021.01.30
[iOS]Jailbreak 탐지 우회(Frida) (0)	2021.01.24
[iOS] Keychain Dumper (0)	2021.01.20
[iOS] 탈옥 환경에서 iPA 설치 (0)	2020.12.23

공유하기 링크

트위터

Comment

☁️ Guleum LAB

티스토리 뷰

[iOS] Jailbreak 탐지 우회(Ghidra)

'MOBILE' 카테고리의 다른 글

티스토리툴바