'APKProtect'에 해당되는 글 2건

  1. 2014.10.15 Anti_APKProtectEN
  2. 2014.03.01 Anti_APKProtect (39)

Anti_APKProtectEN

2014.10.15 10:15 from 분류없음

 

Android Apps can be easily decompiled owing to their structural characteristics.


Accordingly, Apkprotect that obfuscation tool are used as one of solutions to protect applications.


However, it's abused to protect malware recently. So, It is been hard to analyze and take action for malware.


To address this issue, anti-apkprotect Tools developed.



<Fig1. execute >



Anti-apkprotect finally support the APKProtect  professional ALL version!



<Fig2. APKProtect.so >



Can see a file that libAPKProtect.so when apply higher version than the lite version of APKProtect from malware.



<Fig3. Unpacked >


You can have it extract the executable APK from the original APK and then Extract classes.dex from the executable APK.


Finally, anti-apkprotect will generate a file named classes_unpack_dex2jar.jar in the working folder.


<Fig4. Deobfuscation >


It's separated "encrypted string : decrypted string"

 


2015-01-14 update:


support modify(?) apk protect!


<Fig5. extracted classes dex >


will generate files classes_unpack_dex2jar.jar and classes_unpack_main_dex2jar.jar.


actual code is embedded in a folder under assets. so we may need to see files that classes_unpack_main_dex2jar.


<Fig6. decode string >


more easily analysis !


2015-02-03 update:


support new  modify(?) apk protect! (added des algorithm) and bug fix




anti_apkprotect0.43.zip





Posted by kkoha 트랙백 0 : 댓글 0

댓글을 달아 주세요

Anti_APKProtect

2014.03.01 21:24 from 분류없음

언제부터인가 스미싱 악성코드에서 APKProtect 라는 APK 보호 솔루션을 사용하고 있다.


참고자료 : http://viruslab.tistory.com/2801


APKprotect 리뷰/검토 내용 : http://chogar.blog.me/80204437121


<Fig1. http://apkprotect.com >


해당 솔루션이 적용되어 있는지 확인하는 방법은 apk안에 apkprotect.com 폴더가 생성되고 key.dat파일과 readme.txt가 생성된다.


<Fig2. apkprotect.com>


보호 된 classes.dex 파일을 dex2jar로 디컴파일을 하게 되면 에러가 발생하여 분석할 수 없다.


<Fig3. Error >



<Fig4. 잡았다 요놈! >


분석해보니 의외로 간단한 트릭이여서 Anti_APKProtect를 개발하였다. Unpacker라고 해야 하나 @.@



<Fig5. 실행>


깔끔하게 잘 열린다~


<Fig6. Java Decompiler >




여러 샘플을 제공해 주신 김남준님에게 무한한 감사를




-------------- 2014-03-31 Bugfix/Update 0.02 --------------- 



특정 조건에 의해 unpack 하지 못하는 버그가 수정되었으며, 기존 알고리즘을 개선하였습니다.







<Fig7. Registration Code >


등록 코드를  kkoha@msn.com으로  메일로 보내주셔야 사용이 가능합니다.




-------------- 2014-04-19 Bugfix/Update 0.03 --------------- 




<Fig8. ㄱ*ㄲ... >



세월호 침몰사고 사칭 스미싱앱이 디컴파일 되지 않는 문제를 수정하였습니다.


<Fig9. 실행 >




-------------- 2014-10-10 Bugfix/Update 0.04 --------------- 


드디어 APK Protect Professional 버전을 지원합니다.



<Fig10. APKProtect.so >


lite 버전보다 상위 버전으로 난독화를 적용한 앱은 lib/armeabi/libAPKProtect.so파일이 존재합니다.



<Fig11. 실행 >



<Fig12. Unpacked >


원본 apk에서 실제 동작하는 apk를 추출하여 암호화된 문자열을 복호화합니다.



<Fig9. Deobfuscation >


암호화된 문자열 : 복호화된 문자열로 구분하였습니다. 복호화된 문자열 중 마지막에 깨진 문자열은 무시하세요.


샘플을 제공해 주신 김남준님에게 무한한 감사를





<Fig9. Not Support >


다음과 같은 에러가 나오는 샘플을 저한테 보내주시면 분석해서 반영 하겠습니다.



차기 버전은 여기서 다운로드가능합니다.



http://kkoha.tistory.com/entry/AntiAPKProtecten


-------------- 2015-04-07  --------------- 


vmware에서 동작하지 않으며, java 32비트에서 동작합니다.









Posted by kkoha 트랙백 1 : 댓글 39

댓글을 달아 주세요

  1. 이전 댓글 더보기
  2. addr | edit/del | reply 지나소방 2014.03.31 14:56

    안녕하세요 ㅎㅎ 글 잘보았습니다. 툴을 사용해보니 이런 메시지가 뜨면서 unpack이 안되네요 ㅠㅠ

    File is not a zip file or Java is not working ;-(

  3. addr | edit/del | reply asdf 2014.04.08 19:29

    킷켓 리비전2부터는 모든 난독화 과정이 적용된 apk 가 설치불가능으로 보안이 강화되서 기존 apk 보안솔루션 제공하던 회사들 다 쳐망했음 ㅋ

    • addr | edit/del kkoha 2014.04.08 21:28 신고

      난독화가 아닌 디컴파일을 막기 위한 프로택터 개념을 말씀하신것 같은데 키캣에선 어떤지 안해봐서 모르겠네요.

      http://static.googleusercontent.com/media/source.android.com/ko//compatibility/4.4/android-4.4-cdd.pdf
      여기선 따로 소개하진 않네요..

      혹시 어디서 보신내용인지 알 수 있을까욤?

  4. addr | edit/del | reply 으흥 2014.04.30 14:19

    Fig4 에서 볼수 있는 간단한 트릭이란건 어떤걸 말씀 하신거죠? ㅠㅠ 설명이 없어 궁금하네요..
    답변 기다려 봅니다..

    • addr | edit/del kkoha 2014.05.02 15:40 신고

      공개하기가 애매합니다...

      조금만 분석하시면 누구나 알 수 있는 기술(?)이라...

      정말 간단한 기술이에요... STI 같은...

  5. addr | edit/del | reply 2014.05.02 15:49

    비밀댓글입니다

    • addr | edit/del kkoha 2014.05.02 16:17 신고

      등록코드 활용으로 스미싱 분석 용도로 사용하는분에 한해 사용을 허가 하고 있습니다.

      덧붙여 말하면 anti apkportect는 라이트버전(공개용)에만 적용 가능합니다.

  6. addr | edit/del | reply 2014.05.04 12:04

    비밀댓글입니다

    • addr | edit/del kkoha 2014.05.05 15:01 신고

      음...앞서 설명하자면 커널모드는 특권모드로써 모든 주소 공간에 접근할 수 있고, 모든 명령을 수행 할 수 있습니다. 한마디로 신의 권능을 가졌죠.
      그런데 유저모드에선 유저모드에 할당된 주소 공간만 접근만 가능합니다.
      x86계열에서 인터럽트를 받을지 여부를 결정하는 특권 명령 STI, CLI 같은 경우 유저모드단에서는 호출해도 작동하지 않습니다.
      그렇기 때문에 ollydbg 같은 디버거들이 STI와 CLI 에서 계속 멈추게 됩니다. 안티디버깅 기법중 하나인데 안타깝게도 invalid or privileged instruction 옵션으로 특권명령을 무시할 수 있습니다.

  7. addr | edit/del | reply viruslab 2014.05.14 15:59 신고

    저도 잘 봤습니다.^^b

  8. addr | edit/del | reply 게임가드 2014.08.08 19:16

    안녕하세요? 게임가드라고 합니다.
    처음으로 접해본 스마트폰 바이러스를 디컴파일 시도했더니 에러가 나길래 궁금해하다가
    파일안에 APKProtect 라는게 걸려있다는거보고 검색하다가 들어오게되었습니다.
    메일로 코드 보내드렸는데 혹시 승인 가능하신가요?

  9. addr | edit/del | reply 2014.08.25 12:55

    비밀댓글입니다

  10. addr | edit/del | reply educomm 2014.09.15 08:30

    anti_apkprotect.exe가 실행과 동시에 종료되는데 왜 이럴까요 ㅠ
    실행환경은 윈도7 64 비트입니다.

  11. addr | edit/del | reply 엠시코 2014.10.11 20:03

    Internet Connection Error 이라고 뜨는 데 인터넷은 잘 연결되어있는데 왜 그런거죠?

    • addr | edit/del kkoha 2014.10.11 20:35 신고

      Vmware가 아닌 로컬pc에서 사용해보세요.

    • addr | edit/del 엠시코 2014.10.12 20:41

      Vmware는 제 컴퓨터에 안 설치되어있는데... C드라이브에 위치되어 있고 administrator 권한도 있고 cmd에서도 해보고 윈도우 탐색기에서 드래그 해서 해봤는데 자꾸 Internet connection error가 뜨네요... 자바는 물론 있고요.

    • addr | edit/del kkoha 2014.10.12 22:48 신고

      메일로 문의 주세요 kkoha@msn.com

  12. addr | edit/del | reply epep0581 2014.10.20 00:09

    안녕하세요
    apkprotect를 사용하고 싶은데 등록 코드를 kkoha@msn.com 메일로 보냈는데 자동으로 등록되나요?
    확인 부탁드립니다 ㅠ ㅠ

  13. addr | edit/del | reply hkbing 2014.11.17 23:12

    안녕하세요

    apkprotect를 사용하고 싶습니다 ! 등록코드 보냈습니다 !! 승인 부탁드려요

  14. addr | edit/del | reply zzzz 2014.12.07 12:28

    안녕하세요
    해당 툴을 사용하고 싶어 등록 코드 보내 드렸는데 확인 부탁드릴게요 ㅠ

  15. addr | edit/del | reply kjp0405 2014.12.18 00:03

    메일 보냈습니다... 와 개발자님 능력이 부럽네요..

    감사히쓰겠습니다.. 등록코드 확인 부탁드려요

  16. addr | edit/del | reply 0BJ3CT 2014.12.21 22:09

    등록코드 보냇어요 해주세용

  17. addr | edit/del | reply 2014.12.21 22:12

    비밀댓글입니다

  18. addr | edit/del | reply 나루나루 2014.12.22 00:54

    음.. 이게 실행하면 바로 꺼져버리는데 뭐가 잘못된걸까요?

    • addr | edit/del 나루나루 2014.12.22 01:02

      음.. 일단 안티할 앱을 드래그해서 실행응용프로그램에 옮기면 실행되긴하네요! 등록코드 메일로 보냈습니다 확인해주세요~

  19. addr | edit/del | reply 나루나루 2014.12.25 23:36

    fig.12 보면 unpacked가 있는데 다른 파일은 다 생성되는데 unpacked xxx.apk이파일이 생성이 안되네요..이게 필요한데ㅠㅠ

  20. addr | edit/del | reply MultiPen 2015.01.30 11:40

    등록코드 보냈습니다. 확인부탁드려요.
    감사합니다.

  21. addr | edit/del | reply 에보니 2015.03.07 12:25

    등록코드 보냈습니다 확인부탁드립니다 .