분석 대기중인 앱
rednote
솔루션이 붙어있어서 앱이 frida를 붙이면 죽음 그냥 [‘kill’, ‘raise’, ‘abort’, ’exit’] 이걸로 출력해도 안뜨는데
이 스크립트로 kill 패밀리 다 출력해보니 출력이됨
const targets = [
{ n: "kill", ret: "int", args: ["int", "int"] },
{ n: "tgkill", ret: "int", args: ["int", "int", "int"] },
{ n: "tkill", ret: "int", args: ["int", "int"] },
{ n: "pthread_kill", ret: "int", args: ["pointer", "int"] },
{ n: "exit_group", ret: "void", args: ["int"] },
{ n: "_exit", ret: "void", args: ["int"] },
{ n: "exit", ret: "void", args: ["int"] },
{ n: "syscall", ret: "long", args: ["long", "..."] }, // 직접 syscall 우회
];
targets.forEach(t => {
const p = Module.findExportByName("libc.so", t.n);
if (!p) return;
Interceptor.replace(p, new NativeCallback(function () {
console.log(`[BLOCK] ${t.n}`, JSON.stringify(Array.prototype.slice.call(arguments)));
if (t.n === "syscall") {
const nr = arguments[0].toInt32();
if (nr === 94 || nr === 129 || nr === 131) { // exit_group / kill / tgkill
console.log(" ↳ sys_exit / kill family blocked");
return 0;
}
// non-exit syscalls는 그냥 통과
return this.orig.apply(this, arguments);
}
return (t.ret === "void") ? undefined : 0;
}, t.ret, t.args));
});
[Pixel 6a::com.xingin.xhs ]-> [BLOCK] pthread_kill ["0x6e9d5ce770",34]
[BLOCK] _exit [0]
[BLOCK] kill [32493,15]
[BLOCK] kill [32653,15]
부고장앱
악성 앱인데, 난독화가 엄청 심하게되어잇음 중국계 VMP/Bangcle 난독화
Comments