안드로이드 어플리케이션은은 DEX (Dalvik Executable) 파일로 컴파일된다. 

DEX 파일은 Java 코드로 작성돼 컴파일된 클래스 파일을 DX(Android dx tool) 도구를 사용해 변환한 파일이다. 

이 과정에 Java 바이트 코드는 달빅 바이트 코드로 변환되며 여러 클래스 파일에 들어있는 중복된 코드들을 재사용하기 때문에 JAR(Java archive) 파일에 비해 필요한 공간이 절반 정도로 크게 줄어들어 모바일 기기에 적합하다.



<Fig1. File Layout >



의외로 구조가 간단하여 DEX 파일 포맷을 따라가 하드코딩된 URL이나 IP 주소를 추출하는 툴을 개발하였다.




<Fig2. 실행 >




<Fig3. 악성앱의 URL >


dexfinder.exe




스미싱 악성코드 분석시에 유용할것 같다.


DEX 파일 구조의 자세한 내용 : http://source.android.com/devices/tech/dalvik/dex-format.html


샘플을 제공해 주신 김남준님에게 무한한 감사를





Posted by kkoha :

reversing.kr

2014. 1. 20. 15:14 from 카테고리 없음

취미 생활로 하던 reversing.kr




오늘 다 끝났다.


crc1는 정말...




Posted by kkoha :

QQ Messenger Analysis 1

2013. 11. 26. 21:50 from 카테고리 없음

QQ는 중국에서 가장 인기 있는 메신저 프로그램이다.

대박인건 QQ는 메신저 기능뿐만 아니라 게임 등 기타 부가 서비스도 개발해 놓은 대형 플렛폼이다. 

스팀이 메신저 부터 공략 했다면..ㅜ.ㅠ


QQ PC 버전 다운로드 : http://im.qq.com/download/pc.shtml





<Fig1. 전용 브라우저 까지.. >



학부생때 기숙사에서 생활했었다. 학생 복지(?)로 기숙사 로비에 컴퓨터가 있었는데...팽귄 아이콘 있는 자리에선 상당히 느렸다.
분명 대량 구매라면 같은 사양의 PC를 샀을텐데~
나~ 중에 알게 되었는데 QQ 을사조약을 맺은거였다.



<Fig2. 뭔말인지 모르겠다 그냥 다음이나 눌러야겠다 >


여튼 QQ메신저는 엄청난 사용자를 가지고 있는 만큼 안티 역공학에 신경 많이 쓰셨다.


디버깅이 불가능하였다....




<Fig3. Unable to set breakpoint >


오잉 확인해보니.......현존 최고(?)의 기술로 역공학을 막고 있었다..





<Fig4. kia >



사전조사를 통해 알아본 결과 돈되는건 다하는 중국 해커 조차 아직까지 채팅 DB Decrypt를 못한거로 파악된다.


확인 할 수 있는 상용화(?) 툴은 설치 이후 로깅되는 로거 뿐이였다.


참고자료 http://www.qqeo.com/msg3.htm    http://hackpx.cn/soft/sort016/down-577.html




<Fig5. 로거까는게 쉽데요 >




이정도만 하더라도 어느정도인지 예상이 되는가?? 이건 빙산의 일각!!




<Fig6. ASSA >


언제 분석 끝날지 모르겠지만 무력화 하였으니 이제 시작이다.


Posted by kkoha :