Достаточно часто, чтобы "спрятать" механизмы защиты приложения, разработчики используют нативный код, то есть библиотеки, написанные на C/C++
Как перехватывать и подменять результат нативных вызовов, подробно и простым языком, описано в блоге erev0s (кстати, остальные его статьи тоже заслуживают прочтения)
#Android #frida #native
https://erev0s.com/blog/how-hook-android-native-methods-frida-noob-friendly/
Как перехватывать и подменять результат нативных вызовов, подробно и простым языком, описано в блоге erev0s (кстати, остальные его статьи тоже заслуживают прочтения)
#Android #frida #native
https://erev0s.com/blog/how-hook-android-native-methods-frida-noob-friendly/
Erev0S
How to hook Android Native methods with Frida (Noob Friendly)
Hooking C/C++ code in Android application using Frida with introduction and explainations in every step - noob friendly
Использование GDB для отладки нативных библиотек в Android и iOS-приложениях
Очень интересная статья, даже, наверное, мануал, по использованию gdb для отладки нативных библиотек.
Очень советую попробовать пройти все шаги, описанные в статье, познакомитесь с кучей разнообразных инструментов.
Тут и jadx, ghidra и radare2 и jeb. В общем, весь арсенал, который можно попробовать использовать в прикладной задаче.
Для себя много интересных моментов выявил, так что настоятельно рекомендую. Хоть иногда и не совсем понятно, что надо сделать, но все таки интересно :D
#gdb #jadx #native
Очень интересная статья, даже, наверное, мануал, по использованию gdb для отладки нативных библиотек.
Очень советую попробовать пройти все шаги, описанные в статье, познакомитесь с кучей разнообразных инструментов.
Тут и jadx, ghidra и radare2 и jeb. В общем, весь арсенал, который можно попробовать использовать в прикладной задаче.
Для себя много интересных моментов выявил, так что настоятельно рекомендую. Хоть иногда и не совсем понятно, что надо сделать, но все таки интересно :D
#gdb #jadx #native
Medium
How to debug Android/iOS native library using GDB debugger?
Hi Guys, after a long time, I am writing a new blog that will help you guys while performing Android/iOS penetration testing. I am going…
Как вызвать Java из C++ в Android.
Всем привет!
Я несколько раз перечитал статью, но так и не понял прикола, зачем это делать-то и кому это нужно?
Статья описывает, как создать и использовать экземпляры JVM (Java Virtual Machine) в приложениях на Android, написанных на C/C++.
Автор объясняет, как интегрировать JVM в приложения с использованием JNI (Java Native Interface), чтобы вызывать Java-методы из нативного кода.
Я понимаю из Java вызывать натив, но зачем наоборот? Еще больше запутать логику?
Интересный подход, но пока непонятно 😅
#android #native #c++
Всем привет!
Я несколько раз перечитал статью, но так и не понял прикола, зачем это делать-то и кому это нужно?
Статья описывает, как создать и использовать экземпляры JVM (Java Virtual Machine) в приложениях на Android, написанных на C/C++.
Автор объясняет, как интегрировать JVM в приложения с использованием JNI (Java Native Interface), чтобы вызывать Java-методы из нативного кода.
Я понимаю из Java вызывать натив, но зачем наоборот? Еще больше запутать логику?
Интересный подход, но пока непонятно 😅
#android #native #c++
Medium
Creating and using JVM instances in Android C/C++ applications
Considering the reader’s interest in this post, it’s reasonable to assume a certain level of familiarity with JNI and its usage. For those…
Вторая часть статьи про фаззинг нативных компонентов Android
Когда-то давно мы находили прикольную багу в автоматическом распознавании счета 1С и заполнения соответствующих полей в приложении. Для распознавания библиотека делала снимок с камеры, складывала его на sd-карту, считывала это изображение и после проводила OCR. Само собой, мы написали небольшой скрипт, который бы ждал появления файла с определенным названием в директории и подменял его на другой. И все данные по переводу оказывались данными злоумышленника 😈
Потом в этой же библиотеке мы при помощи AFL нашли достаточно большое количество крашей)
Но это все ручной анализ, а вот в статье ребята рассказывают про более системный подход, представляя его, как подробное руководство по процессу фаззинга нативных компонентов Android, начиная с анализа Java-слоя и заканчивая созданием харнесса для нативных функций.
Надеюсь, вам понравится!
#Android #native #fuzzing
Когда-то давно мы находили прикольную багу в автоматическом распознавании счета 1С и заполнения соответствующих полей в приложении. Для распознавания библиотека делала снимок с камеры, складывала его на sd-карту, считывала это изображение и после проводила OCR. Само собой, мы написали небольшой скрипт, который бы ждал появления файла с определенным названием в директории и подменял его на другой. И все данные по переводу оказывались данными злоумышленника 😈
Потом в этой же библиотеке мы при помощи AFL нашли достаточно большое количество крашей)
Но это все ручной анализ, а вот в статье ребята рассказывают про более системный подход, представляя его, как подробное руководство по процессу фаззинга нативных компонентов Android, начиная с анализа Java-слоя и заканчивая созданием харнесса для нативных функций.
Надеюсь, вам понравится!
#Android #native #fuzzing
Conviso AppSec
Introduction to Fuzzing Android Native Components: Strategies for Harness Creation
Learn how to build effective harnesses for fuzzing native libraries on Android. Explore techniques and strategies to uncover vulnerabilities