Reverzení obfuskovaných androidích kódů

[RubberDuck]

Nemá tady někdo zkušenosti (případně odkazy na materiály) s reverzením obfuskovaných Android aplikací? Existují deobfuskátory, ale příjde mi, že si na tom taky vylámou zuby. Zkoušel jsem třeba zachytit komunikaci se serverem přes Wireshark, takže vím, že tam nějaká probíhá, ale v kódu jsem se k žádným stěžejním stringům nedostal, pokud pominu public certifikát pro šifrovanou komunikaci. Dokonce jsem si všíml částí kódu, které nedokázaly tyto tooly dekompilovat a nořit se do bajtkódu se mi úplně nechce

[Kockatá hlava]

Zkoušels nějakou novější verzi JEBu? Zkoušels v něm nějaký deobfuskační skripty?

Čím je to obfuskovaný? ProGuard nebo něco lepšího?

[RubberDuck]

Výstup z APKid


JEB jsem zkoušel, ale bez výsledku.

[RubberDuck]

Pár zajímavých linků:
https://www.researchgate.net/publication/281350472_Evaluation_of_Android_Anti_Malware_Techniques_against_Dalvik_Bytecode_Obfuscation
https://www.researchgate.net/publication/311222768_Android_Code_Protection_via_Obfuscation_Techniques_Past_Present_and_Future_Directions
https://www.researchgate.net/publication/330006086_Understanding_Android_Obfuscation_Techniques_A_Large-Scale_Investigation_in_the_Wild

[pr0p4g4nd4]

Výstup z APKid


JEB jsem zkoušel, ale bez výsledku.

aky je tam teda pouzity obfuskator?? asi som slepy.

ono vies ako to je, ked nedas priamo target, tak ti tazko niekto pomoze - ked nieco nevidis, tak sa k tomu tazko vyjadruje.

[RubberDuck]

aky je tam teda pouzity obfuskator?? asi som slepy.

ono vies ako to je, ked nedas priamo target, tak ti tazko niekto pomoze - ked nieco nevidis, tak sa k tomu tazko vyjadruje.

To jsem bohužel nezjistil žádným nástrojem. A samotnou appku tady publikovat nemůžu, protože mám na ní podepsané NDA od zákazníka, kterému to testujeme. Ale říkal jsem si, že to budu možná řešit podle toho, co mi řeklo APKid. Prostě se podívám na techniky anti_debug, anti_disassm, anti_vm a jak se obcházejí a prostě se tím kódem prokoušu. Nic lepšího mě zatím nenapadlo

[pr0p4g4nd4]

toto vyzera zaujimavo, aj ked ucinnost toho deobfuskovania bude asi otazna. blbe je, ze to chce upnut cele apk, co predpokladam asi tam nechces davat.

Code: [Select]

apk-deguard.com
web.archive.org/web/20170702135124/http://www.srl.inf.ethz.ch/papers/deguard.pdf

[RubberDuck]

toto vyzera zaujimavo, aj ked ucinnost toho deobfuskovania bude asi otazna. blbe je, ze to chce upnut cele apk, co predpokladam asi tam nechces davat.

Code: [Select]

apk-deguard.com
web.archive.org/web/20170702135124/http://www.srl.inf.ethz.ch/papers/deguard.pdf

Službu apk-deguard.com už jsem kdysi zkoušel na jednu aplikaci a vypadá velmi dobře.  Ale i tak si na některých částech vylámala zuby. Zatím to holt nechám ležet a vrátím se k tomu, až na to budu mít správnou studijní náladu a hlavně čas Každopádně díky za snahu