Récupération des symboles du noyau Linux sur Android

Magazine
Marque
MISC
Numéro
101
Mois de parution
janvier 2019
Domaines


Résumé

Si le suivi du flot d’exécution permet de restituer le code d’un noyau Android, peu de désassembleurs s’appuient sur la présence des symboles pour affiner leur analyse. Cet article se propose de fournir les points clefs pour retrouver ces symboles de façon statique dans ce cadre précis, même si l’approche peut être adaptée à d’autres environnements.


Bien qu’il jouisse d’un rôle particulier, le noyau Linux reste un exécutable classique : c’est à la base un fichier ELF, construit à partir de code C (principalement) via des Makefiles. Le noyau propose également des fonctionnalités courantes pour un programme, comme son extension par des modules externes ou l’affichage d’une trace en cas de plantage.

Si ces fonctionnalités sont activées, alors les symboles sont bien présents dans le noyau. Ne reste plus qu’à les localiser.

1. Partition de démarrage et image associée

Pour récupérer un noyau Android, le plus simple demeure de s’appuyer sur les images de mise à jour. Ces dernières se retrouvent généralement directement sur Internet, à l’instar de celles mises à disposition par Google pour ses appareils [FACTORY].

Une ROM Android contient un fichier boot.img qui représente le contenu intégral de la partition de démarrage BOOT d’un téléphone.

Le format de cette partition a...

Cet article est réservé aux abonnés. Il vous reste 95% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite
Références


Articles qui pourraient vous intéresser...

Les taxonomies se cachent pour ne pas mourir

Magazine
Marque
MISC
Numéro
113
Mois de parution
janvier 2021
Domaines
Résumé

« Attention, nouveau virus ! » Nombreux sont les articles à nous alerter régulièrement, par cette métonymie, sur l’émergence d’un nouveau malware. Pourtant, le terme de virus a-t-il encore un sens aujourd’hui ? Wannacry était-il un ver, ou un ransomware ? NotPetya, un wiper, ou bien un ver ? Et plus encore, au-delà de l’utilisation de termes et expressions se pose la question de la nécessaire catégorisation des incidents de cybersécurité ; pourquoi, comment, à quelles fins ? Essai (critique) de réponse.

Attaques en environnement Docker : compromission et évasion

Magazine
Marque
MISC
Numéro
113
Mois de parution
janvier 2021
Domaines
Résumé

Ces dernières années, on a pu observer une évolution croissante des environnements conteneurisés et notamment de l’usage de Docker. Les arguments mis en avant lors de son utilisation sont multiples : scalabilité, flexibilité, adaptabilité, gestion des ressources... En tant que consultants sécurité, nous sommes donc de plus en plus confrontés à cet outil. Au travers de cet article, nous souhaitons partager notre expérience et démystifier ce que nous entendons bien trop régulièrement chez les DevOps, à savoir que Docker est sécurisé par défaut.