[Tip] Dex 추출 방법

  cat /proc/[PID]/maps 경로를 통해 프로세스 메모리 맵 확인이 가능하다. 메모리 맵을 보면 특정 파일을 생성 및 삭제 하거나 특정 영역에 파일을 생성한 기록을 확인 할 수 있다. 이 기록을들 바탕으로 스크립트를 작성하여 분석하고자 하는 파일을 추출 할 수 있다. 이렇게 수집된 파일들은 .ELF 헤더 정보를 가지고 있다. 이 파일에서 .dex 위치를 검색하여 처음부터 .dex 가 위치된 부분까지 삭제 한 뒤 .dex 파일로 저장한 뒤 분석을 진행한다.