이번 포스팅에서는 간혹 악성코드에서 사용되는 dex 파일을 DES 암호화 한 후, 이를 복호화하여 dex를 load하는 방법인 DES 암호화 패킹에 대한 복호화 방법을 설명한다.


흔히 이 방법은 다음과 같은 형태의 클래스 형태를 띄고 있다.

 

 

NoApp 클래스를 분석하면, 아래 그림과 같이 Assets 폴더 내부에 ns 파일을 DES key인 gjaoun을 이용하여 복호화하는 것을 알 수 있다.

 

 

해당 코드를 바탕으로 Assets 폴더 내부의 ns 파일을 복호화하는 코드는 아래와 같다.

 

 

복호화된 dex파일을 디컴파일을 이용하여 열면 다음과 같이 기존 dex파일과 다른 구조의 실제 악성행위를 하는 dex 파일을 확인할 수 있다.

 

 

+ Recent posts