안드로이드 앱 분석 (ARE 1)

* 틀린 내용이 있을 시 지적 부탁드립니다.

미약하나마 ARE(android reverse engineering)을 이용한 안드로이드 앱 분석을 해보겠습니다.  우선 ARE는 https://redmine.honeynet.org/projects/are/wiki 에서 다운받아줍니다.  꽤 시간이 많이 걸립니다.  다운받는 중 계속 끊겨서 안되나 싶었는데 계속 하다보면 됩니다...  또한 버추얼 박스를 설치합니다.

설치 후 키보드 설정이 안 되신분들은 해주시고 터미널을 켜서 /home/android/tools 디렉토리로 가서 뭐가 있는지 살펴봅니다.

1. androguard에 있는 기능들부터 하나씩 살펴보겠습니다.

우선 androxml은 apk를 인풋으로 받아 XML(androidmanifest.xml)을 기존 xml 파일 형태로 변환해주는 기능을 합니다.

아래와 같이 해당 xml 파일로부터 어플의 권한 등을 살펴볼 수 있습니다.

2. androlyze.py

./androlyze.py -s 라고 쳐봅니다.

그럼 In [1] : 이라고 뜨는데 이 -s 옵션은 인터럽티브 셸 환경으로 분석하는 옵션입니다.

AnalyzeAPK를 통해 분석할 apk파일을 불러옵니다.  a는 APK Instance, b는 DalvikVMFormat, dx는 uVMAnalysis instance를 의미합니다.

(Dalvik : 레지스터 머신 형태의 가상 머신으로 적은 메모리 요구 사양에 최적화 되어 있어 현재 안드로이드 휴대 전화 플랫폼에 들어있다고 하는데 android 4.5 L 부터는 ART라는 방식의 런타임을 기본적으로 적용한다고 합니다.)

만약 dex파일이 있다면 a 명령을 제외하고 

d, dx=AnaylzeDex("classes.dex")를 통해 분석할 수 있습니다.

a.show()를 통해 apk가 보유하고 있는 파일들과 권한 등을 확인할 수 있습니다.