이번 포스팅에서는 간혹 악성코드에서 사용되는 dex 파일을 DES 암호화 한 후, 이를 복호화하여 dex를 load하는 방법인 DES 암호화 패킹에 대한 복호화 방법을 설명한다.
흔히 이 방법은 다음과 같은 형태의 클래스 형태를 띄고 있다.
NoApp 클래스를 분석하면, 아래 그림과 같이 Assets 폴더 내부에 ns 파일을 DES key인 gjaoun을 이용하여 복호화하는 것을 알 수 있다.
해당 코드를 바탕으로 Assets 폴더 내부의 ns 파일을 복호화하는 코드는 아래와 같다.
복호화된 dex파일을 디컴파일을 이용하여 열면 다음과 같이 기존 dex파일과 다른 구조의 실제 악성행위를 하는 dex 파일을 확인할 수 있다.
'Analysis > Android' 카테고리의 다른 글
| 안드로이드 CJ대한통운 택배 사칭 악성코드 분석 (25) | 2017.05.03 |
|---|---|
| 안드로이드 리패키징 앱의 위험성 (1) | 2017.05.02 |
| Apktool을 이용한 안드로이드 apk 파일 디컴파일 및 리패키징 (6) | 2017.05.02 |
| 안드로이드 디컴파일러 (JEB Decompiler) (0) | 2017.05.02 |
| 안드로이드 디컴파일러 (BytecodeViewer) (0) | 2017.05.02 |