소개글

희소성 높은 안드로이드 악성코드 분석에 관해서 실무의 경험을 위주로 작성한 메뉴얼로써 따라만 한다면 실제 실무에서도 역량을 발휘 할 수 있음

시중에 나와 있는 한권의 책이 있으나 그와 달리 필요 없는 내용을 요약하여 확실히 필요한 지식과 방법만을 전달
14년 이후 대략 15pg 이상 최근 기술 추가

목차

Ⅰ. 개요

Ⅱ. 환경 구축
1. 정적분석 환경 구축
2. 네트워크 및 동적 분석 환경 구축

Ⅲ. 분석 Flow

Ⅳ. 정적분석
1. 정적 분석 방법
2. 정적 분석 시 체크 사항

Ⅴ. 동적분석
1. 동적 분석 방법
2. 동적 분석 시 체크 사항

Ⅵ. 보고서 작성 요령
1. 보고서 작성 방법
2. 보고서 작성 시 주의사항

본문내용

아래는 악성코드 분석 Flow 에 대한 그림을 순서대로 설명해 놓았다.
- JEB 또는 Dex2jar를 이용하여 Code Decompile 진행
- Decompile 된 Code를 정적 분석, 필요에 따라 IDA를 이용한 Lib 분석도 진행한다.
- 정적 분석이 끝난 뒤 Test Device 또는 BlueStack에 악성코드를 설치한다.
- 설치된 악성코드가 어떠한 행위와 동작을 하는지에 대한 행위를 분석한다.
- 분석된 자료를 바탕으로 네트워크 분석을 진행하기 위해서 TCPdump로 패킷을 캡처한다.
- 캡처한 패킷 파일을 WireShark로 열어서 네트워크 분석을 진행한다.
- 정적분석 결과와 네트워크 분석 결과가 맞으면 Test Device에 설치한 악성코드로 DDMS 로그 분석을 하고 그에 따른 결과를 기록한다.
- 악성코드의 함수간의 Call관계를 파악하기 위해서 Strace를 실행한다. Lib 사용에 대한 분 석은 Ltrace를 이용한 분석을 진행하고 보고서를 작성한다.

<중 략>

위의 그림을 보면 dex2jar로 디 컴파일 된 Code를 jd-gui 로 열었는 결과이다. 왼쪽 창에 는 앱의 각 Class 들을 볼 수 있으며, 우측에는 디 컴파일 된 Java Code가 보여지도록 되어 있으며, Ctrl+F 키를 이용하여 원하는 Method를 검색할 수 있다. 여기서 각 Activity, Receiver, Service를 찾아 악성코드의 Code로써의 루틴을 따라 보면 서 정적분석을 진행할 수 있다. 지금까지는 정상적으로 dex2jar를 이용하여 디 컴파일이 가능한 악성코드에 대한 분석방법 을 제시하고 예를 들어 보였다. 이제 정상적인 방법으로 풀리지 않는 APK 에 대한 분석 방법 을 볼 수 있도록 하겠다.

<중 략>

그림 17은 apktool을 이용하여 풀어지지 않는 Manifest 파일을 SublimeText2 라는 Tool 을 사용하여 열어본 것이다. 처음 Manifest 파일을 풀면 초록생 상자와 같이 Hex 값으로 채 워져 있다 여기에서 Ctrl+F5를 한번 눌러주면 분석할 수 있는 형태의 xml 로 바뀌어서 볼 수 있다.

참고 자료

없음