IDA VS JEB
- IDA
: import, export 되는 모듈을 명확하게 잡아줌(JAVA 기반)
: import 내 openat API 를 긁어보면 문자열이 다나옴
- JEB
: function 구분을 잘해줌 (안드로이드 기반). 근데 Sub 000 이런거 구분이 명확하지못함(IDA가 나음)
=> 곧 IDA, JEB 를 같이 봐야함!
문자열 기반 트레이싱 By IDA
1 IDA로 파일을 연다
2 import 탭을 누른다
3 stroul, strncpy 이런거(문자열 추출할 수 잇는 함수를 보기) 보고 frida 로 긁어보기!(호출하는 경로값 다나오도록)
4. 호출 경로를 대상으로 stacktrace 수행해서 어디 모듈에서 호출하는지 확인
=> 근데 이렇게 했을때 모듈이름이 안나온다 하면은.. 다른방법으로 진행해야함 (아래와 같은 경우)
OPENAT - --------------AT file name [ /sys/module/cfbimgblt ]
Backtrace:0x77f3d7bfbc
0x77f3d89dfc
0x77f3d96bdc
0x77f3d973b0 // 이렇게 안뜨는 경우
0x781992025c libc.so!_ZL15__pthread_startPv+0xc8
0x78198d5c04 libc.so!__start_thread+0x14
