Обход RASP (Runtime Application Security Protection)
Совсем недавно, на одной из конференций был сделан доклад под названием «Forging golden hammer against Android app protections».
Этот доклад посвящен проверкам различных инструментов защиты в рантайме, таким как шифрование кода приложения, поиск отладчика, Frida и многое-многое другое.
Доклад очень крутой! Есть видеозапись выступления и репозиторий со слайдами и скриптами (активно наполняется). Сейчас там скрипты для Ghidra, но предполагается что все остальное тож добавит, что есть в видео).
Я пока пролистал слайды и оставил видео на более подробный разбор, так как чувствую, там придется ещё по ходу пьесы гуглить :) но выглядит очень круто, особенно часть про Frida и способ хуков с многопоточностью и хуками на ещё не загруженные классы.
Всем хороших выходных!
#rasp #frida #ghidra #android
Совсем недавно, на одной из конференций был сделан доклад под названием «Forging golden hammer against Android app protections».
Этот доклад посвящен проверкам различных инструментов защиты в рантайме, таким как шифрование кода приложения, поиск отладчика, Frida и многое-многое другое.
Доклад очень крутой! Есть видеозапись выступления и репозиторий со слайдами и скриптами (активно наполняется). Сейчас там скрипты для Ghidra, но предполагается что все остальное тож добавит, что есть в видео).
Я пока пролистал слайды и оставил видео на более подробный разбор, так как чувствую, там придется ещё по ходу пьесы гуглить :) но выглядит очень круто, особенно часть про Frida и способ хуков с многопоточностью и хуками на ещё не загруженные классы.
Всем хороших выходных!
#rasp #frida #ghidra #android
YouTube
Forging Golden Hammer Against Android App Protections by Georges-Bastien Michel
Анализ iOS-приложения SignPass, анализ обфускации и обход RASP
Очень интересная статья про подход к анализу приложения, нативный код которого обфусцирован, а само оно имплеменитрует методику RASP, а именно всё, что мы так любим, обнаружение Jailbreak, отладчиков, обнаружение Frida и всё вот это.
Очень подробно и тщательно описаны шаги и действия автора, поиск и обход всех проверок (а их там немало) с примерами кода и ассемблерными вставками.
В общем очень-очень рекомендую ознакомиться всем, кто работает с iOS-приложениями и занимается реверсом и Frida.
#ios #frida #rasp
Очень интересная статья про подход к анализу приложения, нативный код которого обфусцирован, а само оно имплеменитрует методику RASP, а именно всё, что мы так любим, обнаружение Jailbreak, отладчиков, обнаружение Frida и всё вот это.
Очень подробно и тщательно описаны шаги и действия автора, поиск и обход всех проверок (а их там немало) с примерами кода и ассемблерными вставками.
В общем очень-очень рекомендую ознакомиться всем, кто работает с iOS-приложениями и занимается реверсом и Frida.
#ios #frida #rasp
Romain Thomas
Part 1 – SingPass RASP Analysis | Romain Thomas
This first blog post introduces the RASP checks used in SingPass
Вторая часть исследования iOS-приложений под обфускацией
Почитав блог из предыдущей статьи, я нашел у автора вторую часть этой, на самом деле, крайне полезной статьи.
Вдохновившись анализом и защитой SignPass, автор нашел еще одно приложение, которое было пропущено через тот же обфускатор, но включало в себя намного более строгие проверки в рантайме.
Что мне понравилось, это способ "защиты" от анализа crash-лога приложения, когда оно падает или аварийно завершается при обнаружении Frida или jailbreak. А именно, перед завершением работы обфускатор затирает некоторые регистры, например LR. А в твуом формате iOS-служба для анализа сбоев не может правильно построить стек вызовов функций, которые привели к сбою. Очень занятно, так как из crash-лога можно было бы получить нужную информацию.о том, где происходят проверки.
Как и в первой статье, подробно расписано, как и что автор делал, чтобы найти точки в приложении, где реализована защита, как он ее обходил и как именно это приложение было защищено.
Ну и конечно, в статье много хороших отсылок на другие полезные статьи. Некоторые из них, если вам лень с утра пораньше открывать и читать статью:
- Deobfuscation: recovering an OLLVM-protected program
- Automated Detection of Control-flow Flattening
- D810: A journey into control flow unflattening
В общем, настоятельно рекомендую ознакомиться всем, кто занимается iOS и реверсом, крайне полезная штука.
#ios #reverse #rasp #frida #obfuscation
Почитав блог из предыдущей статьи, я нашел у автора вторую часть этой, на самом деле, крайне полезной статьи.
Вдохновившись анализом и защитой SignPass, автор нашел еще одно приложение, которое было пропущено через тот же обфускатор, но включало в себя намного более строгие проверки в рантайме.
Что мне понравилось, это способ "защиты" от анализа crash-лога приложения, когда оно падает или аварийно завершается при обнаружении Frida или jailbreak. А именно, перед завершением работы обфускатор затирает некоторые регистры, например LR. А в твуом формате iOS-служба для анализа сбоев не может правильно построить стек вызовов функций, которые привели к сбою. Очень занятно, так как из crash-лога можно было бы получить нужную информацию.о том, где происходят проверки.
Как и в первой статье, подробно расписано, как и что автор делал, чтобы найти точки в приложении, где реализована защита, как он ее обходил и как именно это приложение было защищено.
Ну и конечно, в статье много хороших отсылок на другие полезные статьи. Некоторые из них, если вам лень с утра пораньше открывать и читать статью:
- Deobfuscation: recovering an OLLVM-protected program
- Automated Detection of Control-flow Flattening
- D810: A journey into control flow unflattening
В общем, настоятельно рекомендую ознакомиться всем, кто занимается iOS и реверсом, крайне полезная штука.
#ios #reverse #rasp #frida #obfuscation
Romain Thomas
Part 2 – iOS Native Code Obfuscation and Syscall Hooking | Romain Thomas
This second blog post deals with native code obfuscation and RASP syscall interception