관리 메뉴

취미개발 블로그와 마음수양

안드로이드 게임 보안테스트하면서 이것저것 정리해봄 본문

안드로이드

안드로이드 게임 보안테스트하면서 이것저것 정리해봄

아라한사 2019. 1. 11. 15:29


위키 복붙이라 모든 링크는 새창띄우기로 해주셔야한다는..


1.APK추출

스토어에서 받는 앱인경우 APK 별도 추출이 필요하다. 

앱추출 프로그램은 다음의 링크에서 소개한다. http://kjun.kr/248


2. APK → 디컴파일

apktool 이라는 프로그램을 통해 apk 파일을 디컴파일 할 수 있다.

링크 :: Apktool을 이용한 안드로이드 apk 파일 디컴파일 및 리패키징  


3. 자바 소스 분석

dex2jar, jd-gui 를 통하여 추출한 apk 에서 자바 코드를 볼 수가 있다 

https://dwfox.tistory.com/43


4. dnspy를 이용한 AssemblyCSharp.dll 분석

다운로드 링크 : https://github.com/0xd4d/dnSpy/releases

소개 : http://securityfactory.tistory.com/343

5. 리패키징

링크 :: Apktool을 이용한 안드로이드 apk 파일 디컴파일 및 리패키징  


다시 리패키징하면서 pem 서명이 필요함.

[필수 ] 윈도우에서 pk8 과 pem 파일 생성 http://www.londatiga.net/it/how-to-sign-apk-zip-files/ 
openssl config 파일 못 찾을 시 다음의 링크로 해결 https://knowledge.digicert.com/solution/SO9015.html

리패키징 이후 에뮬레이터에 설치 후 재테스트

6. 네트워크 감시


와이어샤크가 대표적. 특정 프로그램만 보려고 다음의 프로그램을 찾았다.

앱 에뮬레이터를 동작시키고 네트워크를 감시하여 어떤 패킷이 오고가는지 볼 수 있다.

[필수] 윈도우 환경에서 특정 프로그램에 대한 네트워크 모니터링 http://hope.pe.kr/266

기타. 안드로이드 리버싱 관련 참고 링크


[필수 ] 유니티 게임 빌드하는 방법에 대한 소개 mono  , IL2CPP 방식에 대한 소개

https://m.blog.naver.com/linears_/221393855353


[참고] realm 에서 발표한 안드로이드 리버싱 
https://academy.realm.io/kr/posts/jon-reeve-reverse-engineering-is-not-just-for-hackers-android/


별다른 과정없이 간단히 데이터 조작하는 hack app data 소개 : http://blog.naver.com/PostView.nhn?blogId=hik555519&logNo=220562453765