[그림 1-1] DVIA_v2 앱

DVIA_v2 앱을 실행시킨 후 [Application Patching]을 클릭해 3번째 Show Alert를 클릭하면 경고메시지로 I love Google이 출력되는데 이 경고창 메시지 변조를 시도하기 위해 패칭을 한다.

[그림 1-2] DVIA-v2 앱 파일

3utools를 활용해서 DVIA-v2 앱 파일을 바탕화면으로 추출한다.

[그림 1-3] HXD

HXD를 실행하고 추출한 DVIA-v2 앱 파일을 업로드한다.

[그림 1-4] 경고 메시지 검색

ctrl+f 버튼을 눌러 찾기를 실행한 후 경고 메시지인 i love를 검색한다.

[그림 1-5] 경고 메시지 변조

검색한 후 경고 메시지를 변조한다. 여기선 I love Apple로 변조했다.

[그림 1-6] 변조된 파일 복사

변조한 파일을 저장한 후 3utools를 실행시켜 기존에 있던 파일에 덮어쓴다.

[그림 1-7] 경고 메시지 변조

DVIA_v2 앱을 실행시킨 후 [Application Patching]을 클릭해 3번째 Show Alert를 클릭하면 경고메시지로 I love Apple.이 출력 됨을 확인할 수 있다. 이로써 앱이 변조되었음을 알 수 있다.

IPA 파일을 추출함에 있어서 조금 더 간단하고 쉬운 방법이 있다.

1. IPA 추출 방법

[그림 1-1] IPA Installer 설치

Cydia에서 IPA Installer을 검색해서 패키지를 설치한다.

[그림 1-2] ipa installer 실행

SSH에 연결해서 ipainstaller -b [패키지명] 명령어를 입력해 IPA 파일 추출을 시도하면 파일이 생성된 경로와 함께 추출된다는 걸 볼 수 있다.

[그림 1-3] ipa 파일 추출

IPA 파일이 생성된 경로인 /private/var/mobile/Documents로 들어가서 확인하면 IPA 파일이 생성 됨을 확인할 수 있다.

[그림 1-4] 3utools

3utools에서도 확인이 가능하며 IPA 파일을 Export 해서 로컬 컴퓨터에서도 사용이 가능하다.

실무에서 IOS 진단을 할 땐 IPA 파일을 추출해서 분석하는게 필수적인데 ios 버전 8.3 이후론 Clutch가 전부 막혀서 추출하기가 어려워졌다. 그래서 다음과 같은 방법으로 추출하는 방법이 있다.

1. IPA 파일 추출 방법

[그림 1-1] 업데이트

sudo apt update 명령어로 칼리리눅스 업데이트를 시도한다.

[그림 1-2] python3-pip 설치

sudo apt-get install python3-pip 명령어를 통헤 pip3를 설치한다.

[그림 1-3] requirements.txt 업그레이드

sudo pip3 install -r requirements.txt --upgrade 명령어를 통해 패키지 업그레이드를 한다.

[그림 1-4] libusbmuxd-tools 설치

sudo apt install libusbmuxd-tools 명령어를 통해 iproxy를 설치한다. 만약 sudo apt install iproxy로 하게 되면 현재 칼리리눅스에 패키지가 없기 때문에 설치가 되지 않는다.

[그림 1-5] iproxy 실행

iproxy 2222 22 명령어를 통해 iproxy를 실행한다.

[그림 1-6] 가상 머신 연결

iproxy 연결 후 탈옥된 아이폰을 뺐다가 다시 연결하면 다음과 같은 창이 출력되는데 Connect to a virtual machine과 칼리리눅스를 선택한 후 OK 버튼을 클릭한다.

[그림 1-7] iPhone 아이콘

아이폰과 칼리리눅스가 연결되면 다음과 같은 아이콘이 표시된다.

[그림 1-8] dump.py 실행

python3 dump.py -l을 입력한 후 확인하면 탈옥된 아이폰의 프로세스 목록들을 확인할 수 있다.

[그림 1-9] IPA 파일 추출

python3 dump.py com.apple.Maps 명령어를 입력해 IPA 파일 추출을 시도한다. IPA 추출 시도 시 iproxy 로그에 연결 상태 로그가 계속 출력된다.

[그림 1-10] ipa 파일 추출 성공

IPA 파일이 에러 없이 추출되면 frida-dump-master 폴더에서 추출된 IPA 파일을 확인할 수 있다. 로컬 PC와 연결되어 있다면 로컬로 복사해 IPA 파일을 사용할 수 있다.