Деобфускация зловредного приложения с Dex-Oracle

Обфускация деобфускация иконка

Dex-oracle for Malware Deobfuscation — статья о деобфускации зловредного приложения с помощью модифицированной версии dex-oracle.

Автор описывает историю разбора зловреда, повсеместно использующего рефлексию для вызова методов, а также метод скрытия строк indexed string lookup.

Суть последнего заключается в том, чтобы зашифровать все строки в приложении, а затем получать доступ к ним с помощью специальной функции, которая будет расшифровывать и возвращать строку с указанным ID.

Чтобы разобраться в работе такого приложения, необходимо расшифровать все строки. А сделать это можно двумя способами:

  1. Проанализировать код дешифратора (который наверняка сильно обфусцирован и запутан).
  2. Запустить код дешифратора извне.

Использовать второй способ можно, создав приложение-обертку, которое загрузит DEX-файл зловредного приложения во время работы и вызовет его методы с помощью рефлексии.

Но есть еще один способ — деобфускатор dex-oracle, который запускает код в виртуальной машине и выдает на выходе деобфусцированный код (где те же обращения к функции дешифровки строк заменены на настоящие строки).

Проблема автора состояла в том, что dex-oracle ему не помог. Поэтому половина статьи посвящена тому, как работает dex-oracle и как его модифицировать, чтобы научить нужным трюкам.

Деобфускация с помощью dex-oracleДо деобфускации…
Деобфускация с помощью dex-oracle
…и после деобфускации
Дима (Kozhuh)

Эксперт в кибербезопасности. Работал в ведущих компаниях занимающихся аналитикой компьютерных угроз. Анонсы новых статей в Телеграме.

Добавить комментарий