ida로 파일 분석시 같은 역할(frida를 우회하거나, 루팅을 탐지 하여 1분 뒤에 죽이는 등의 함수 로직)을 하는 함수들의 경우 함수의 주소 값은 같은 회사의 앱이라 할지라도 앱마다 다르지만
시퀀스 값의 경우 전체로직에서 해당 부분이 겹치지 않는 부분으로 추려서 검색하면 빠르게 조회가 가능하다.
Step 1. 함수 내에서 원하는 부분을 드래그
Step 2. 해당 값의 byte를 검색(여기서 나오는 긴 byte 값을 이용하여 검색을 좁혀야한다[1개가 검색되도록 설정하면 베스트] 함수가 복잡하면 복잡할수록 매우 길고 지루한 과정이 될 것 4자리 혹은 6자리 자릿수가적을수록 다양한 앱에서 겹치는 부분이 적어질 것이다.)
Step 3. 시퀀스 검색
Step 4. 원하는 부분 검색
한번만 잘 찾자.
til' CTF WIN