Fridump를 이용한 메모리 덤프

앱을 사용하면 다양한 데이터들이 메모리에 저장된다.

앱에 따라 중요정보(개인정보, 금융정보 등)를 평문으로 저장하는 경우가 있다.

Fridump를 통해 메모리 덤프를 하여 확인할 수 있다.

 

 

우선 아래의 링크에서 Fridump 파이썬 코드를 다운받을 수 있다.

GitHub - rootbsd/fridump3: A universal memory dumper using Frida for Python 3

 

 

 

임의의 앱에서 아이디와 비밀번호를 입력 후 로그인을 시도하였다.

 

 

 

그 후 Frida를 이용하여 해당 앱의 PID를 확인해주었다.

 

 

 

Fridump를 실행시킨다.

-s 옵션을 주면 덤프 파일 내 문자열을 txt 파일로 추출해 준다.

 

 

 

아래 사진과 같이 메모리 덤프한 데이터가 저장된다.

 

 

 

덤프 된 데이터 중 strings.txt 확인 결과 아래 사진과 같이 아이디와 비밀번호가 평문으로 저장된 것을 확인할 수 있다.