안드로이드 어플리케이션은은 DEX (Dalvik Executable) 파일로 컴파일된다.
DEX 파일은 Java 코드로 작성돼 컴파일된 클래스 파일을 DX(Android dx tool) 도구를 사용해 변환한 파일이다.
이 과정에 Java 바이트 코드는 달빅 바이트 코드로 변환되며 여러 클래스 파일에 들어있는 중복된 코드들을 재사용하기 때문에 JAR(Java archive) 파일에 비해 필요한 공간이 절반 정도로 크게 줄어들어 모바일 기기에 적합하다.
<Fig1. File Layout >
의외로 구조가 간단하여 DEX 파일 포맷을 따라가 하드코딩된 URL이나 IP 주소를 추출하는 툴을 개발하였다.
<Fig2. 실행 >
<Fig3. 악성앱의 URL >
스미싱 악성코드 분석시에 유용할것 같다.
DEX 파일 구조의 자세한 내용 : http://source.android.com/devices/tech/dalvik/dex-format.html
샘플을 제공해 주신 김남준님에게 무한한 감사를
QQ는 중국에서 가장 인기 있는 메신저 프로그램이다.
대박인건 QQ는 메신저 기능뿐만 아니라 게임 등 기타 부가 서비스도 개발해 놓은 대형 플렛폼이다.
스팀이 메신저 부터 공략 했다면..ㅜ.ㅠ
<Fig1. 전용 브라우저 까지.. >
<Fig2. 뭔말인지 모르겠다 그냥 다음이나 눌러야겠다 >
여튼 QQ메신저는 엄청난 사용자를 가지고 있는 만큼 안티 역공학에 신경 많이 쓰셨다.
디버깅이 불가능하였다....
<Fig3. Unable to set breakpoint >
오잉 확인해보니.......현존 최고(?)의 기술로 역공학을 막고 있었다..
<Fig4. kia >
사전조사를 통해 알아본 결과 돈되는건 다하는 중국 해커 조차 아직까지 채팅 DB Decrypt를 못한거로 파악된다.
확인 할 수 있는 상용화(?) 툴은 설치 이후 로깅되는 로거 뿐이였다.
참고자료 http://www.qqeo.com/msg3.htm http://hackpx.cn/soft/sort016/down-577.html
<Fig5. 로거까는게 쉽데요 >
이정도만 하더라도 어느정도인지 예상이 되는가?? 이건 빙산의 일각!!
<Fig6. ASSA >
언제 분석 끝날지 모르겠지만 무력화 하였으니 이제 시작이다.
dexfinder.exe
