📂Fichiers d'emulateurs

Description

L'utilisation d'un emultateur android laisse des traces dans le contenu de l'appareil. Des fichiers/pipes peuvent être retrouvé pour chaque technologie d'emulation (Genymotion, Andy, Nox, Qemu).

La partie de code suivant référence par exemple un certain nombre de fichiers laissés par chaque type de technologie d'emulation qui peuvent ainsi être vérifiés un par un afin de s'assurer qu'aucune de ces technologies ne sont utilisées par l'appareil.

Contournement

Tâche avant modification

Comme le montre la capture ci-dessus, l'application a détecté la présence des pipes /dev/goldfish_pipe et /dev/qemu_pipe sur le système.

On va alors aller rechercher la chaîne de caractères "/dev/goldfish_pipe" dans le code afin de retrouver la partie de code s'occupant de cette vérification.

figure 1
Appel à la fonction getPIPES qui va vérifier si le PIPE existe
Booléeen qui va définir si oui ou non les éléments existent
Si un fichier/pipe existe (booléen =1) alors on va afficher le fichier/pipe en question sinon on renvoye le flag

Ce système est donc simple à contourner. Il s'agit alors de décompiler le fichier apk, de retrouver la partie de code qu'on voit ci-dessus à l'aide d'une commande grep par exemple.

Puis de tout simplement remplacer les chemins vérifiés par l'application dans le tableau "PIPES" de la figure 1 afin de remplacer les chemins existants sur notre machine par des chemins n'existant pas. L'application constatera alors que les fichiers/pipes recherchés n'existent pas et le booléen "checkFiles4" sera alors à 0 renvoyant ainsi le flag.

après modification

La dernière étape est alors de recompiler et réinstaller l'application puis de relancer la vérification.

Tâche après modification
PrécédentContournement de détection d'emulateurSuivantNetwork Operator Name

Dernière mise à jour

Cet article vous a-t-il été utile ?