Android глазами хакера                            Рютин Борис                            @dukebarmanEsage Lab             ...
Checkpoint’ы семинара  1.   ОС Android  2.   Инструменты для исследования  3.   Инструменты для разработки  4.   Анализ уя...
Архитектура ОС AndroidEsage Lab                        {neúron}
Структура файлов формата .apk  • Директория META-INF:      – MANIFEST.MF      – CERT.RSA      – CERT.SF  •   Директория re...
Цели malware-программ•   GPS•   Доступ к веб-сайтам•   Работа с SMS•   Детализация звонков•   И т.д.Esage Lab             ...
Типы угроз для android• На уровне приложений(spyware, malware, …)• Веб-угрозы (фишинг, браузеры)• Сетевые (Wi-Fi-сниффинг,...
Отличия от linux-программ• Content Providers — обмен данными между  приложениями• Resource Manager — доступ к таким ресурс...
Checkpoint’ы семинара  1.   ОС Android  2.   Инструменты для исследования  3.   Инструменты для разработки  4.   Анализ уя...
Пути исследования• Статистический анализ• Динамический анализEsage Lab                       {neúron}
ApkToolСайт:http://code.google.com/p/android-apktool/Особенности:• Дизассемблирование приложения практически до  оригиналь...
APK InspectorСайт: http://code.google.com/p/apkinspector/Особенности:• GUI-интерфейс• Написан на python• Объединяет в себе...
dex2jarСайт: http://code.google.com/p/dex2jarОсобенности:• Простое преобразование файлов формата *.dex в  *.jarEsage Lab  ...
Jar-декомпиляторыJadСайт: http://www.kpdus.com/jad.htmlJD-GUIСайт: http://java.decompiler.free.frEsage Lab                ...
ScanDroidСайт: http://blueinfy.com/ScanDroid.zipОсобенности:• Написан на Ruby• Проверяет именно приложения на уязвимостиПр...
AREvmСайт: https://redmine.honeynet.org/projects/areВключает в себя:•   androguard        •   ded•   android sdk/ndk   •  ...
Android SDKСайт: http://developer.android.com/sdk/Особенности:• Дебаггер• Туториалы по разработке• Эмулятор• Нужные библио...
Android SDKПриложения Android SDK:• Dalvik Debug Monitor Service (ddms)• Android Debug Bridge (adb)•   Android Asset Packa...
IDA PRO 6.1Сайт: http://developer.android.com/sdk/       В IDA 6.1 появилась возможность дизассемблировать байткод  Androi...
Checkpoint’ы семинара  1.   ОС Android  2.   Инструменты для исследования  3.   Инструменты для разработки  4.   Анализ уя...
Среды для разработокиEclipse ADT-pluginСайт: http://developer.android.com/sdk/eclipse-adt.htmlNetBeans pluginСайт: http://...
Android NDKСайт: http://developer.android.com/sdk/ndk/index.html      Пакет инструментариев и библиотек позволяющий  вести...
Эмуляторы• Входящие в состав Android SDK• Собранные из исходников:   – http://source.android.com/source/index.html   – htt...
Checkpoint’ы семинара  1.   ОС Android  2.   Инструменты для исследования  3.   Инструменты для разработки  4.   Анализ уя...
CVE-2011-1823• Описание:       http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1823• Уязвимая функция: DirectVolume...
CVE-2011-1823Полезные ссылки по теме анализа Gingerbreak:• http://c-skills.blogspot.com/2011/04/yummy-yummy-gingerbreak.ht...
МатериалыENG:1. "Reverse Engineering Of Malware On Android", автор Vibha Manjunath     http://www.sans.org/reading_room/wh...
Спасибо!              Esagelab.ru            Neuronspace.ru             Drakonoid.ruEsage Lab                    {neúron}
Upcoming SlideShare
Loading in...5
×

Android глазами хакера

1,790
-1

Published on

Details on http://drakonoid.ru/android-glazami-xakera.html

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,790
On Slideshare
0
From Embeds
0
Number of Embeds
6
Actions
Shares
0
Downloads
8
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Android глазами хакера

  1. 1. Android глазами хакера Рютин Борис @dukebarmanEsage Lab {neúron}
  2. 2. Checkpoint’ы семинара 1. ОС Android 2. Инструменты для исследования 3. Инструменты для разработки 4. Анализ уязвимости CVE-2011-1823Esage Lab {neúron}
  3. 3. Архитектура ОС AndroidEsage Lab {neúron}
  4. 4. Структура файлов формата .apk • Директория META-INF: – MANIFEST.MF – CERT.RSA – CERT.SF • Директория res • Директория assets • AndroidManifest.xml • classes.dex • resources.arscEsage Lab {neúron}
  5. 5. Цели malware-программ• GPS• Доступ к веб-сайтам• Работа с SMS• Детализация звонков• И т.д.Esage Lab {neúron}
  6. 6. Типы угроз для android• На уровне приложений(spyware, malware, …)• Веб-угрозы (фишинг, браузеры)• Сетевые (Wi-Fi-сниффинг, network-эксплойты)Esage Lab {neúron}
  7. 7. Отличия от linux-программ• Content Providers — обмен данными между приложениями• Resource Manager — доступ к таким ресурсам, как файлы xml, png• Notification Manager — доступ к строке состояния• Activity Manager — управление активными приложениямиEsage Lab {neúron}
  8. 8. Checkpoint’ы семинара 1. ОС Android 2. Инструменты для исследования 3. Инструменты для разработки 4. Анализ уязвимости CVE-2011-1823Esage Lab {neúron}
  9. 9. Пути исследования• Статистический анализ• Динамический анализEsage Lab {neúron}
  10. 10. ApkToolСайт:http://code.google.com/p/android-apktool/Особенности:• Дизассемблирование приложения практически до оригинальных исходников с возможностью пересобрать• Дебаг smali-кода.• Тулза будет полезна переводчикам и тем, кто занимается переносом приложения на другие платформы.Esage Lab {neúron}
  11. 11. APK InspectorСайт: http://code.google.com/p/apkinspector/Особенности:• GUI-интерфейс• Написан на python• Объединяет в себе работу различных программ для реверсинга: dex2jar, apktool, androguardEsage Lab {neúron}
  12. 12. dex2jarСайт: http://code.google.com/p/dex2jarОсобенности:• Простое преобразование файлов формата *.dex в *.jarEsage Lab {neúron}
  13. 13. Jar-декомпиляторыJadСайт: http://www.kpdus.com/jad.htmlJD-GUIСайт: http://java.decompiler.free.frEsage Lab {neúron}
  14. 14. ScanDroidСайт: http://blueinfy.com/ScanDroid.zipОсобенности:• Написан на Ruby• Проверяет именно приложения на уязвимостиПример использования: http://forum.reverse4you.org/showthread.php?t=1175Esage Lab {neúron}
  15. 15. AREvmСайт: https://redmine.honeynet.org/projects/areВключает в себя:• androguard • ded• android sdk/ndk • dex2jar• apkinspector • droidbox• apktool • ded• axmlprinter • smali/baksmaliEsage Lab {neúron}
  16. 16. Android SDKСайт: http://developer.android.com/sdk/Особенности:• Дебаггер• Туториалы по разработке• Эмулятор• Нужные библиотеки• Примеры программ• Документация по Android APIEsage Lab {neúron}
  17. 17. Android SDKПриложения Android SDK:• Dalvik Debug Monitor Service (ddms)• Android Debug Bridge (adb)• Android Asset Packaging Tool (aapt)• Android Interface Description Language (aidl)• Sqlite3• Traceview• mksdcard• dx• activityCreatorEsage Lab {neúron}
  18. 18. IDA PRO 6.1Сайт: http://developer.android.com/sdk/ В IDA 6.1 появилась возможность дизассемблировать байткод Android (Dalvik) (Один из пользователей IDA любезно предоставил процессорный модуль и загрузчик )Особенности:• Дизассемблер Dalvik теперь доступен в Расширенной Версии (Advanced Edition)• Нативный код ARM доступен для отладки• Поддерживает смешанный код ARM/Thumb и может работать с многопоточными приложениямиEsage Lab {neúron}
  19. 19. Checkpoint’ы семинара 1. ОС Android 2. Инструменты для исследования 3. Инструменты для разработки 4. Анализ уязвимости CVE-2011-1823Esage Lab {neúron}
  20. 20. Среды для разработокиEclipse ADT-pluginСайт: http://developer.android.com/sdk/eclipse-adt.htmlNetBeans pluginСайт: http://www.nbandroid.org/IntelliJ IDEA pluginСайт: http://code.google.com/p/idea-android/Esage Lab {neúron}
  21. 21. Android NDKСайт: http://developer.android.com/sdk/ndk/index.html Пакет инструментариев и библиотек позволяющий вести разработку приложений на языке С/С++. NDK рекомендуется использовать для разработки участков кода критичных к скорости.Esage Lab {neúron}
  22. 22. Эмуляторы• Входящие в состав Android SDK• Собранные из исходников: – http://source.android.com/source/index.html – http://www.android-x86.org/Esage Lab {neúron}
  23. 23. Checkpoint’ы семинара 1. ОС Android 2. Инструменты для исследования 3. Инструменты для разработки 4. Анализ уязвимости CVE-2011-1823Esage Lab {neúron}
  24. 24. CVE-2011-1823• Описание: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-1823• Уязвимая функция: DirectVolume::handlePartitionAdded• Тип уязвимости: LPE (вектор повышения привелегий)• Уязвимые системы: – Android 2.x – 2.3.3 – Android 3.0• Требования: – Установленная карта памяти – Вкл. Usb debuggingEsage Lab {neúron}
  25. 25. CVE-2011-1823Полезные ссылки по теме анализа Gingerbreak:• http://c-skills.blogspot.com/2011/04/yummy-yummy-gingerbreak.html• http://android-dls.com/wiki/index.php?title=Compiling_for_Android• http://plausible.org/andy/agcc• http://source.android.com/source/download.htmlEsage Lab {neúron}
  26. 26. МатериалыENG:1. "Reverse Engineering Of Malware On Android", автор Vibha Manjunath http://www.sans.org/reading_room/whitepapers/pda/reverse-engineering-malware-android_337692. "Android Reverse Engineering - A Kick Start", автор Dhanesh - разбор crackme "Deurus Android crackme 03"3. http://mylifewithandroid.blogspot.com/2009/01/disassembling-dex-files.html4. ".dex format to .jar format" http://androidorigin.blogspot.com/2011/02/dex-format-to-jar-format.html5. http://thomascannon.net/projects/android-reversing/6. http://androidcracking.blogspot.com/2011/02/smali-syntax-highlighting-for-notepad.htmlRU:1. http://habrahabr.ru2. Журнал "Хакер" выпуски: Сентябрь 2011 (152) "Android-убийца« Ноябрь 2011 (154) "Больные роботы“Esage Lab {neúron}
  27. 27. Спасибо! Esagelab.ru Neuronspace.ru Drakonoid.ruEsage Lab {neúron}
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×