MASTG-TOOL-0028 radare2 for Android

radare2 (r2) は、バイナリの逆アセンブル、デバッグ、パッチ適用、解析のための人気のあるオープンソースリバースエンジニアリングフレームワークであり、スクリプト化可能で、Android や iOS アプリを含む多くのアーキテクチャとファイル形式をサポートしています。Android では、Dalvik DEX (odex, multidex)、ELF (実行可能ファイル、.so、ART)、Java (JNI および Java クラス) がサポートされています。また、従来のツールが機能しない場合に役立つ、低レベルの逆アセンブルと安全な静的解析を提供するため、モバイルアプリケーション解析時に役立つ便利なスクリプトもいくつか含みます。

radare2 は前述のタスクを実行できる豊富なコマンドラインインタフェース (CLI) を実装しています。しかし、リバースエンジニアリングに CLI を使うことにあまり慣れていない場合は、Web UI (-H フラグを使用) や、iaito と呼ばれるさらに便利な Qt および C++ GUI バージョンを使用することを検討するとよいかもしれません。CLI や、より具体的にはそのビジュアルモードやそのスクリプティング機能 (r2pipe) が radare2 のパワーの中核であり、その使い方を学ぶ価値が間違いなくあることを心に留めてください。

radare2 のインストール

radare2 の公式インストール手順 を参照してください。radare2 は APT などの一般的なパッケージマネージャではなく、常に GibHub バージョンからインストールすることを強くお勧めします。radare2 は非常に活発に開発されているため、サードパーティのリポジトリは古くなっていることがよくあります。

radare2 の使用

radare2 フレームワークは一連の小さなユーティリティで構成され、r2 シェルから使用したり、CLI ツールとして単独で使用できます。これらのユーティリティには rabin2rasm2rahash2radiff2rafind2ragg2rarun2rax2、そしてもちろんメインの r2 を含みます。

たとえば、rafind2 を使用して、エンコードされた Android Manifest (AndroidManifest.xml) から文字列を直接読むこともできます。

# Permissions
$ rafind2 -ZS permission AndroidManifest.xml
# Activities
$ rafind2 -ZS activity AndroidManifest.xml
# Content providers
$ rafind2 -ZS provider AndroidManifest.xml
# Services
$ rafind2 -ZS service AndroidManifest.xml
# Receivers
$ rafind2 -ZS receiver AndroidManifest.xml

また、rabin2 を使用して、バイナリファイルに関する情報を取得します。

メインの r2 ユーティリティを使用して r2 シェル にアクセスします。他のバイナリと同様に DEX バイナリをロードできます。

r2 -h を入力して、利用な可能なすべてのオプションを表示します。非常によく使用されるフラグは -A で、ターゲットバイナリをロードした後に解析をトリガーします。しかし、これは非常に時間とリソースを消費するため、小さなバイナリで控えめに使用すべきです。この詳細については ネイティブコードの逆アセンブル (Disassembling Native Code) をご覧ください。

r2 シェルに入ると、他の radare2 ユーティリティが提供する機能にもアクセスできます。たとえば、i を実行すると、rabin2 -I と同様にバイナリの情報を出力します。

すべての文字列を出力するには、rabin2 -Z を使用するか、r2 シェルから iz コマンド (またはより詳細ではない izq) を使用します。

たいていの場合、コマンドに特別なオプションを追加できます。たとえば q でコマンドを詳細ではなく (静かに) したり、j で JSON 形式での出力を得ます (~{} を使用して JSON 文字列を整形します)。

r2 コマンド ic (information classes) でクラス名とそのメソッドを出力できます。

r2 コマンド ii (information imports) でインポートされたメソッドを出力できます。

バイナリを検査する際の一般的なアプローチは、何かを検索し、そこに移動し、それを視覚化してコードを解釈することです。radare2 を使用して何かを見つける方法の一つは、特定のコマンド出力をフィルタすることです。つまり、~ (大文字小文字を区別しない場合は ~+) とキーワードを使用して grep します。たとえば、アプリが何かを検証していることが分かっていれば、すべての radare2 フラグを検査して、"verify" に関連するものが見つかる場所を確認できます。

ファイルをロードする際、radare2 は見つけることができたものすべてにタグ付けします。これらのタグ付けされた名前や参照はフラグと呼ばれます。それらはコマンド f でアクセスできます。

ここでは、"verify" というキーワードを使用してフラグを grep してみます。

0x00000a38 (二回タグ付けされている) に一つのメソッドと 0x00001400 に一つの文字列が見つかったようです。そのフラグを使用してそのメソッドに移動 (シーク) してみましょう。

もちろん、r2 の逆アセンブラ機能を使用して、コマンド pd (またはすでに関数内にいることが分かっている場合は pdf) で逆アセンブリを出力できます。

r2 コマンドは通常、オプションを受け入れます (pd? を参照)。たとえば、数字 ("N") を追加してコマンド pd N にすることで、表示されるオペコードを制限できます。

コンソールに逆アセンブリを出力するだけでなく、V をタイプして、いわゆる ビジュアルモード に入りたいかもしれません。

デフォルトでは、16進表記で出力します。p をタイプすることで、逆アセンブリ表記など、さまざまな表記に切り替えることができます。

radare2 には グラフモード があり、コードのフローを追うのに非常に役立ちます。ビジュアルモードから V をタイプすることでアクセスできます。

これは Android バイナリから一部の基本的な情報を取得し始めるための radare2 コマンドの一部にすぎません。radare2 は非常に強力で、radare2 コマンドドキュメント で見つかる多数のコマンドがあります。radare2 は、コードのリバース、デバッグ、バイナリ解析の実行など、さまざまな目的でガイド全体を通して使用されます。また、他のフレームワーク、特に Frida と組み合わせて使用することもあります (詳細については r2frida セクションを参照してください)。

Android での radare2 の詳しい使い方、特にネイティブライブラリを解析する際には、ネイティブコードの逆アセンブル (Disassembling Native Code) を参照してください。また 公式の radare2 ブック も読みたいと思うかもしれません。

PreviousMASTG-TOOL-0027 XposedNextMASTG-TOOL-0029 objection for Android

Last updated

Was this helpful?