Frida Usage - 1 (Basic Concept)

Frida란,

▶ OLE가 개발한 DBI(Dynamic Binary Instrumentation*) 프레임워크

▷ 스크립트와 함께 사용하여 실행 중인 프로그램 동작을 모니터링, 수정, 기록할 수 있다.

 

▶ 프리다는 파이썬 기반의 프로그램으로서, 파이썬 라이브러리를 많이 사용한다.

▶ 프리다는 대표적으로 모바일 애플리케이션 안드로이드와 iOS 환경에서 분석하는 것으로 알려졌으나,

▷ 다른 플랫폼에서도 확장성이 좋다.

▷ 자바스크립트, C, Swift 등 여러 API를 지원한다.

 

* instrumentation 앱이 실행중인 상태에서 해당 프로세스를 추적, 분석, 디버깅하는 도구로서, 프로그램에 코드를 삽입해 정보를 수집하는 기법

 

---

 

 

 

Frida의 주요 기능은,

▶함수 후킹

▷ 특정 함수(메소드)에 연결(HOOK)하여 매개변수나, 반환 값을 변경할 수 있다.

 

▶ 함수 추적

▷ 실행중인 애플리케이션 디버깅

 

▶인젝션

▷ 임의로 만든 코드 삽입

 

▶메모리 데이터 추출 및 검색

▶트래픽 스니핑 또는 암호해독

▶루팅되지 않은 단말에서도 사용가능

 

 

---

 

 

Frida 환경구성

 

▶ Frida 설치

pip install frida
# frida 사용을 위한 코드 구현에 필요
pip install frida-tools

 

 

▶ Frida-server 설치

① 안드로이드 에뮬레이트 비트 확인

    ▷ adb shell getprop ro.product.cpu.api

② 아래 사이트에서 기기 환경에 맞는 파일 다운로드

    ▷ github.com/frida/frida/releases 

    ▷ (e.x.) x86이라면, frida-server-(버전)-android-x86.xz

 

 

 

▶ Frida-server 실행

▷ Frida를 사용하기 위해서는 ADB를 이용해 Frida-server을 안드로이드 기기안에 넣어 실행해야한다.

adb root
# 파일 밀어넣기
adb push [local_file_path] [remote_directory_to_push_file]
# 파일 확인
adb shell "ls -al [remote_directory_to_push_file]"
# 실행권한부여
adb shell "chmod 755 [frida-server_file]"
# 프리다 백그라운드로 실행
adb shell "/[frida-server-file] &"
# 실행 확인(안드로이드에서 입력)
adb shell ps -ef | grep frida
# 실행 확인2(윈도우 커맨드에서 입력)(연결된 장치의 프로세스 목록 확인)
frida-ps -U

 

---

 

Frida Command

 

▶ 함수 호출 추적

▷ "com.android.market"이라는 프로세스에서 "encrypt"이라는

$frida-trace -i "encrypt" -U com.android.market

 

▶ 현재 실행중인 프로세스 리스트

# -U: usb로 연결된 디바이스에 실행 (한개만 연결 필요)
$ frida-ps -U

 

 

---

Frida Hooking

 

▶ 기본 구조

▷ 프리다에서 제공하는 함수인 “Java.perform(function)”를 사용하여 감싸는게 기본 구조이다.

▷  “Java.perform(function)”는 현재 스레드가 가상머신에 연결되어 있는지 확인하고 “function”을 호출한다.

▷ 예시로 SSL Pinning Bypass 스크립트를 살펴보자

** 본 포스트의 모든 예시는 참고용이며 상용망에 사용할시 문제가 발생할 수 있습니다 **

** 본 정보를 사용함에 있어 발생하는 모든 책임은 당사자에게 있으며 어떠한 책임도 지지 않음을 밝힙니다 **

Java.perform(function() {

    var array_list = Java.use("java.util.ArrayList");
    # 1
    var ApiClient = Java.use('com.android.org.conscrypt.TrustManagerImpl');
    # 2
    ApiClient.checkTrustedRecursive.implementation = function(a1, a2, a3, a4, a5, a6) {
        # 3
        console.log('BYPASS SSL Pinning');
        var k = array_list.$new();
        return k;
    }

}, 0);

 

① “Java.use”를 호 출하여 com.android.org.conscrypt.TrustManagerImpl  클래스의 랩핑 된 오브젝트를 받는다

② checkTrustedRecursive 함수를 재정의하여 

③ checkTrustedRecursive함수가 호출될때 재정의한 코드가 실행되도록한다.

 

 

▶ 자바 스크립트 실행

▷ 위 스크립트를 frida_sslpinning.js 라는 파일로 저장했을 때 아래와 같이 명령어를 입력한다.

# -l : javascript 실행
# -f : packagename에 해당하는 앱을 시작 (실행중이었으면 재시작)
frida -U -l frida_sslpinning.js --no-pause -f package

 

 

 

▶ 파이썬에서 실행

▷ 스크립트 안에 프리다 코드를 넣는 등 자동화를 위해 파이썬 바인딩이 필요할 수 있다.

import frida, sys

javascript = """ payload """

#usb 장치에 연결도니 디바이스에서 해당 패키지에 연결
session = frida.get_usb_device().attach("packagenmame")
# 연결에 성공하면, 스크립트를 생성하고 로드한다.
script = session.create_script(javascript)
script.load()
# 자바스크립트가 동작하기 전에 코드가 종료하는 것을 막기위해 sys.stdin.read()사용
sys.stdin.read()

▷ javascript 부분에 어플리케이션에 삽입할 코드를 작성해야한다.

javascript = """
setImmediate(function(){
	Java.perform(function(){
    	//앱에서 사용되는 클래스와 연동되는 클래스를 정의
    	//var [변수명] = Java.use("후킹할 함수의 클래스")
    	var Activity = java.use("androdi.app.Activity")
        
        //앱에서 정의된 메소드의 구현 내용을 재작성한다
        //[변수명].[후킹할 함수].implementation = function(arg){[원하는코드]}
        Activity.onResume.implementation = function(){
        	Console.log("[*] onResume() called");
        };
    });
});
"""

※ setImmediate 프리다는 에뮬레이션이 느려질 때 “시간초과”되는 경향이 있는데, setImmediate는 에뮬레이터가 느려져 시간초과가 되면 프리다에서 스크립트를 자동으로 재실행하고 백그라운드로 실행한다.