전에 안드로이드 앱 점검을 하던 중 db파일을 추출해내서 데이터를 확인하려고 한 적이 있었다.
근데, 이게 분명 db파일임은 파일명에서 부터 D!B! 라고 적혀 있어서 확신할 수 있는데, Sqlbrowser을 통해 열리지가 않는 거였다.
심증은 있지만 물증이 없어 확인을 못하던 상황!
혹시나 해서 Hex Editor로 열어보니, 일반적인 DB파일은 Header가 SQL...뭐 이렇게 시작되어야 하는데,
이상한 값으로 적혀있는 걸보고 이상하다 싶어서 hex 값들을 쭉보고 있는데
보통은 00으로 섹션이 나누어지는데 이상하게 77이라는 값이 무지 많이 보였었다.
여기서 XOR 연산을 했구나 싶어 malzilla를 이용해 XOR 키를 찾았더니 77을 키로 xor 연산을 한 걸 알 수 있었다.
링크 : http://malzilla.sourceforge.net/
키를 알고 그걸로 다시 복호화를 시도하니 정상적인 db파일로 떨어져서, DB내용을 볼 수 있었다.
오래 되서 잘 기억은 나지 않지만, 암호화 키를 77로 하지 않고 앱의 패스코드와 모바일의 유니크값을
섞은 것을 키로 사용하는 것으로 수정했던 것으로 기억한다.
'Security > Etc' 카테고리의 다른 글
| WannaCry Ransomware Scanner (0) | 2017.10.27 |
|---|---|
| [경험공유] 웹 DRM 캡처방지 , 오른쪽 버튼 비활성화 우회하기 :) (4) | 2016.06.08 |
| [경험공유] Android 데이터 암호화 :) (0) | 2016.06.03 |
| [경험공유] Firmware 분석 :) (0) | 2016.06.03 |
| [경험공유] Dexprotector :( (0) | 2016.06.01 |