안드로이드 악성코드 분석 방법 절차

아래는 악성코드 분석 Flow 에 대한 그림을 순서대로 설명해 놓았다.
- JEB 또는 Dex2jar를 이용하여 Code Decompile 진행
- Decompile 된 Code를 정적 분석, 필요에 따라 IDA를 이용한 Lib 분석도 진행한다.
- 정적 분석이 끝난 뒤 Test Device 또는 BlueStack에 악성코드를 설치한다.
- 설치된 악성코드가 어떠한 행위와 동작을 하는지에 대한 행위를 분석한다.
- 분석된 자료를 바탕으로 네트워크 분석을 진행하기 위해서 TCPdump로 패킷을 캡처한다.
- 캡처한 패킷 파일을 WireShark로 열어서 네트워크 분석을 진행한다.
- 정적분석 결과와 네트워크 분석 결과가 맞으면 Test Device에 설치한 악성코드로 DDMS 로그 분석을 하고 그에 따른 결과를 기록한다.
- 악성코드의 함수간의 Call관계를 파악하기 위해서 Strace를 실행한다. Lib 사용에 대한 분 석은 Ltrace를 이용한 분석을 진행하고 보고서를 작성한다.

<중 략>

위의 그림을 보면 dex2jar로 디 컴파일 된 Code를 jd-gui 로 열었는 결과이다. 왼쪽 창에 는 앱의 각 Class 들을 볼 수 있으며, 우측에는 디 컴파일 된 Java Code가 보여지도록 되어 있으며, Ctrl+F 키를 이용하여 원하는 Method를 검색할 수 있다. 여기서 각 Activity, Receiver, Service를 찾아 악성코드의 Code로써의 루틴을 따라 보면 서 정적분석을 진행할 수 있다. 지금까지는 정상적으로 dex2jar를 이용하여 디 컴파일이 가능한 악성코드에 대한 분석방법 을 제시하고 예를 들어 보였다. 이제 정상적인 방법으로 풀리지 않는 APK 에 대한 분석 방법 을 볼 수 있도록 하겠다.

<중 략>

그림 17은 apktool을 이용하여 풀어지지 않는 Manifest 파일을 SublimeText2 라는 Tool 을 사용하여 열어본 것이다. 처음 Manifest 파일을 풀면 초록생 상자와 같이 Hex 값으로 채 워져 있다 여기에서 Ctrl+F5를 한번 눌러주면 분석할 수 있는 형태의 xml 로 바뀌어서 볼 수 있다.