TG Telegram Group & Channel
Mobile AppSec World | United States America (US)
Create: Update:

esReverse для анализа дампа конкретных функций

Что-то мы все про AI, да про ИИ, пора уже и руками поработать!

И сегодня рассмотрим очень интересный подход для анализа интересующих функций в Android-приложениях с использованием esReverse.

Зачем всё это?
Полноценный эмулятор Android удобен, но он тяжёлый, съедает гигабайты и не подходит (ну или надо с-и-и-и-льно постараться), как только приложение проверяет «железо». Например, когда приложения требуют TrustZone, SIM-карту, Bluetooth или NFC..

Идея: использовать Frida на живом устройстве как «видеокамеру» для кода. Модуль Stalker в Frida фиксирует каждую инструкцию и доступ к памяти, перекидывает их в маленький Python-мост, а тот пишет файлы trace.bin, trace.cache и memhist.sqlite — формат совместим с Time Travel Analysis в esReverse.

Что получаем?
Записываешь ровно нужный участок (например, одну JNI-функцию); trace на тысячу инструкций делается меньше чем за минуту. Затем открываешь файл в esReverse и отматываешь выполнение вперёд-назад, видя регистры и память «кадр за кадром» — как в видеоплеере, только для ассемблера.

Один раз снял — дальше анализируешь офлайн, без постоянных перезапусков приложения.

Вообще, интересный подход, когда дампишь чисто нужную функцию и исследуешь. Я пока не пробовал, но звучит интересно!

По крайней в мере в статье ребята хорошо прям описали принцип работы. Хоть и многое остается непонятным, пока не попробуешь, но читать интересно!

Надеюсь те, кто использует, подскажет, стоит ли оно того?))

Всем отличных выходных!

#frida #reverse

esReverse для анализа дампа конкретных функций

Что-то мы все про AI, да про ИИ, пора уже и руками поработать!

И сегодня рассмотрим очень интересный подход для анализа интересующих функций в Android-приложениях с использованием esReverse.

Зачем всё это?
Полноценный эмулятор Android удобен, но он тяжёлый, съедает гигабайты и не подходит (ну или надо с-и-и-и-льно постараться), как только приложение проверяет «железо». Например, когда приложения требуют TrustZone, SIM-карту, Bluetooth или NFC..

Идея: использовать Frida на живом устройстве как «видеокамеру» для кода. Модуль Stalker в Frida фиксирует каждую инструкцию и доступ к памяти, перекидывает их в маленький Python-мост, а тот пишет файлы trace.bin, trace.cache и memhist.sqlite — формат совместим с Time Travel Analysis в esReverse.

Что получаем?
Записываешь ровно нужный участок (например, одну JNI-функцию); trace на тысячу инструкций делается меньше чем за минуту. Затем открываешь файл в esReverse и отматываешь выполнение вперёд-назад, видя регистры и память «кадр за кадром» — как в видеоплеере, только для ассемблера.

Один раз снял — дальше анализируешь офлайн, без постоянных перезапусков приложения.

Вообще, интересный подход, когда дампишь чисто нужную функцию и исследуешь. Я пока не пробовал, но звучит интересно!

По крайней в мере в статье ребята хорошо прям описали принцип работы. Хоть и многое остается непонятным, пока не попробуешь, но читать интересно!

Надеюсь те, кто использует, подскажет, стоит ли оно того?))

Всем отличных выходных!

#frida #reverse
8👍4


>>Click here to continue<<

Mobile AppSec World




Share with your best friend
VIEW MORE

United States America Popular Telegram Group (US)