Contournement des outils d'analyse d'applications Android ?

Magazine
Marque
MISC
Numéro
65
Mois de parution
janvier 2013
Auteurs
Par
Desnos Anthony
Spécialité(s)
Mobilité
Sécurité système


Résumé

L'analyse des applications Android prend de plus en plus de place dans la vie d'un analyste, en raison de l'explosion de cette plateforme, du niveau des utilisateurs finaux et du nombre croissant d'applications disponibles sur le Google Play. Il est donc nécessaire de bien connaître nos outils et leurs limites possibles. Dans la suite de cet article, nous allons brièvement expliquer le format DEX où se situe le code exécutable d'une application, puis décrire les dernières techniques qui permettent de contourner les outils open source d'analyse d'application Android.


1. Le format DEX

Un fichier classes.dex [1] (donc au format DEX pour Dalvik EXecutable, se trouvant dans un fichier APK) est le résultat de la traduction des fichiers .class (qui correspondent à la compilation de fichiers .java) effectué par l'outil « dx » [2] qui est présent dans le SDK de développement Android (cette traduction est totalement transparente du point de vue du développeur).

Le format DEX [1] est assez simple, et se compose d'une en-tête, de différentes listes d'informations (sur les chaînes de caractères, les types, les méthodes, etc.) et d'une section « data » où seront présentes toutes les données utilisées par les listes précédentes (Illustration 1).

 

La suite est réservée aux abonnés. Il vous reste 92% à découvrir.
  • Accédez à tous les contenus de Connect en illimité
  • Découvrez des listes de lecture et des contenus Premium
  • Consultez les nouveaux articles en avant-première
Envie de lire la suite ? Rejoignez Connect
Je m'abonne maintenant


Article rédigé par

Desnos Anthony
Desnos Anthony
6 articles

Par le(s) même(s) auteur(s)

Plus d'article de cet auteur

Malware sur Android

Magazine
Marque
MISC
Numéro
62
Mois de parution
juillet 2012
Auteurs
Par
Desnos Anthony
Spécialité(s)
Malware
Mobilité
Résumé

Les malwares sur Android ont subi une forte croissance cette année, principalement due à l'explosion de cette plateforme et donc aux gains que l'on peut espérer générer. Il est simple (et encore plus avec un coup de pouce de l'utilisateur qui ne lira pas les permissions déclarées) pour une application malveillante d'envoyer un SMS, de récupérer la liste de vos contacts, ou votre position géographique, mais comment le faire de la manière la plus discrète ?On peut donc se demander quelle a été l'évolution de ces malwares et quelles sont les techniques que ces malwares utilisent pour échapper le plus possible à une détection d'antivirus...

Lire l'article

Implémentation de virus K-aires en Python

Magazine
Marque
MISC
Numéro
46
Mois de parution
novembre 2009
Auteurs
Par
Desnos Anthony
Spécialité(s)
Malware
Sécurité du code
Résumé

Les virus sont comme toutes choses vivantes, ils évoluent, ils disparaissent, mais ils apparaissent également. À travers cet article, vous allez découvrir comment faire un virus (« virus don't harm, ignorance does », herm1t), même si celui-ci n'aura aucune charge finale dangereuse (et donc il sera plus un proof of concept). Nous partirons d'une idée théorique sur une nouvelle forme de virus, les virus K-aires, et nous verrons le cheminement pour son implémentation, du chargement du virus en passant par la gestion des clés de chiffrement, jusqu'à l'exécution finale.

Lire l'article

Détection opérationnelle des rootkits HVM ou quand la recherche remplace le buzz (Partie 2)

Magazine
Marque
MISC
Numéro
43
Mois de parution
mai 2009
Auteurs
Par
Desnos Anthony
Filiol Eric
Spécialité(s)
Malware
Résumé

Dans le numéro précédent [1], nous avons détaillé le code de BluePill et montré qu'il y avait plusieurs incohérences au niveau des arguments avancés par les auteurs. C'est-à-dire qu'il ne possédait en aucun cas les caractéristiques classiques d'un rootkit. Nous allons voir dans cet article comment finalement il est possible d'avoir une détection simple de ces rootkits HVM, et ainsi mettre fin à ce buzz qui n'a eu aucun sens.

Lire l'article

Détection opérationnelle des rootkits HVM ou quand la recherche remplace le buzz (Partie 1)

Magazine
Marque
MISC
Numéro
42
Mois de parution
mars 2009
Auteurs
Par
Desnos Anthony
Filiol Eric
Spécialité(s)
Malware
Résumé

Les différents codes malveillants suivent, voire devancent, les innovations technologiques que connaît le monde informatique, mois après mois. Ainsi, au fil des évolutions techniques, les rootkits ont pu migrer facilement du niveau utilisateur vers le niveau noyau, atteignant ainsi le Saint Graal : avoir tous pouvoirs sur la machine. Ces dernières années ont vu également l'émergence de la virtualisation, en particulier matérielle, permettant de faciliter le déploiement de solutions, mais également de renforcer la sécurité. Mais, si donner les moyens au processeur d'accéder très facilement à la virtualisation a pu accroître de façon significative la rapidité des logiciels de virtualisation, cela a, en même temps, conduit à fournir de nouvelles solutions aux concepteurs de virus.

Lire l'article

Les listes de lecture

Python niveau débutant
9 article(s) - ajoutée le 01/07/2020
Code
Vous désirez apprendre le langage Python, mais ne savez pas trop par où commencer ? Cette liste de lecture vous permettra de faire vos premiers pas en découvrant l'écosystème de Python et en écrivant de petits scripts.
Au pays des algorithmes
11 article(s) - ajoutée le 01/07/2020
Algo
La base de tout programme effectuant une tâche un tant soit peu complexe est un algorithme, une méthode permettant de manipuler des données pour obtenir un résultat attendu. Dans cette liste, vous pourrez découvrir quelques spécimens d'algorithmes.
Analyse de données en Python
10 article(s) - ajoutée le 01/07/2020
Code
À quoi bon se targuer de posséder des pétaoctets de données si l'on est incapable d'analyser ces dernières ? Cette liste vous aidera à "faire parler" vos données.
Plus de listes de lecture