Что за файл classes dex

Обновлено: 04.07.2024

Rozszerzenie DEX - это исполняемый формат файла, используемый Dalvik. DEX-файл содержит скомпилированный код для выполнения в системной среде Android. Файлы DEX могут интерпретироваться виртуальной машиной Dalvik.

DEX файлы в пакетах APK

Файлы DEX обычно находятся в пакетах APK , которые используются для установки нового программного обеспечения в Android. Каждый APK-файл содержит один DEX-файл classes.dex , в котором хранятся все классы и методы, используемые данным приложением.

Дополнительная информация

DEX-файл может быть создан автоматически или вручную путем передачи скомпилированных программ Java интерпретатору.

Программы, которые поддерживают DEX расширение файла

В следующем списке перечислены программы, совместимые с файлами DEX, которые разделены на категории 4 в зависимости от операционной системы, в которой они доступны. Файлы с расширением DEX, как и любые другие форматы файлов, можно найти в любой операционной системе. Указанные файлы могут быть переданы на другие устройства, будь то мобильные или стационарные, но не все системы могут быть способны правильно обрабатывать такие файлы.

Программы, обслуживающие файл DEX

Updated: 02/21/2020

Как открыть файл DEX?

Проблемы с доступом к DEX могут быть вызваны разными причинами. К счастью, наиболее распространенные проблемы с файлами DEX могут быть решены без глубоких знаний в области ИТ, а главное, за считанные минуты. Мы подготовили список, который поможет вам решить ваши проблемы с файлами DEX.

Шаг 1. Скачайте и установите Google Android SDK

Шаг 2. Проверьте версию Google Android SDK и обновите при необходимости

Update software that support file extension DEX

Если у вас уже установлен Google Android SDK в ваших системах и файлы DEX по-прежнему не открываются должным образом, проверьте, установлена ли у вас последняя версия программного обеспечения. Разработчики программного обеспечения могут реализовать поддержку более современных форматов файлов в обновленных версиях своих продуктов. Причиной того, что Google Android SDK не может обрабатывать файлы с DEX, может быть то, что программное обеспечение устарело. Все форматы файлов, которые прекрасно обрабатывались предыдущими версиями данной программы, также должны быть открыты с помощью Google Android SDK.

Шаг 3. Свяжите файлы Dalvik Executable Format с Google Android SDK

После установки Google Android SDK (самой последней версии) убедитесь, что он установлен в качестве приложения по умолчанию для открытия DEX файлов. Процесс связывания форматов файлов с приложением по умолчанию может отличаться в деталях в зависимости от платформы, но основная процедура очень похожа.

Associate software with DEX file on Windows

Изменить приложение по умолчанию в Windows

  • Нажатие правой кнопки мыши на DEX откроет меню, из которого вы должны выбрать опцию Открыть с помощью
  • Выберите Выбрать другое приложение → Еще приложения
  • Наконец, выберите Найти другое приложение на этом. , укажите папку, в которой установлен Google Android SDK, установите флажок Всегда использовать это приложение для открытия DEX файлы свой выбор, нажав кнопку ОК

Изменить приложение по умолчанию в Mac OS

Шаг 4. Убедитесь, что файл DEX заполнен и не содержит ошибок

Если проблема по-прежнему возникает после выполнения шагов 1-3, проверьте, является ли файл DEX действительным. Проблемы с открытием файла могут возникнуть по разным причинам.

Check DEX file for viruses

1. DEX может быть заражен вредоносным ПО - обязательно проверьте его антивирусом.

Если файл заражен, вредоносная программа, находящаяся в файле DEX, препятствует попыткам открыть его. Сканируйте файл DEX и ваш компьютер на наличие вредоносных программ или вирусов. Если файл DEX действительно заражен, следуйте инструкциям ниже.

2. Проверьте, не поврежден ли файл
3. Убедитесь, что у вас есть соответствующие права доступа

Некоторые файлы требуют повышенных прав доступа для их открытия. Войдите в систему, используя учетную запись администратора, и посмотрите, решит ли это проблему.

4. Убедитесь, что ваше устройство соответствует требованиям для возможности открытия Google Android SDK

Если в системе недостаточно ресурсов для открытия файлов DEX, попробуйте закрыть все запущенные в данный момент приложения и повторите попытку.

5. Убедитесь, что у вас установлены последние версии драйверов, системных обновлений и исправлений

Регулярно обновляемая система, драйверы и программы обеспечивают безопасность вашего компьютера. Это также может предотвратить проблемы с файлами Dalvik Executable Format. Возможно, файлы DEX работают правильно с обновленным программным обеспечением, которое устраняет некоторые системные ошибки.

Иногда некоторые приложения на Android чем-то не устраивают пользователя. В качестве примера можно привести назойливую рекламу. А то бывает и так — всем хороша программа, да только перевод в ней или кривой, или вовсе отсутствует. Или, например, программа триальная, а получить полную версию возможности нет. Как же изменить ситуацию?

Введение

В этой статье мы поговорим о том, как разобрать пакет APK с приложением, рассмотрим его внутреннюю структуру, дизассемблируем и декомпилируем байт-код, а также попробуем внести в приложения несколько изменений, которые могут принести нам ту или иную выгоду.

Чтобы сделать все это самостоятельно, потребуются хотя бы начальные знания языка Java, на котором пишутся приложения для Android, и языка XML, который используется в Android повсеместно — от описания самого приложения и его прав доступа до хранения строк, которые будут выведены на экран. Также понадобится умение обращаться со специализированным консольным софтом.

Итак, что же представляет собой пакет APK, в котором распространяется абсолютно весь софт для Android?

Декомпиляция приложений

В статье мы работали только с дизассемблированным кодом приложения, однако если в большие приложения вносить более серьезные изменения, разобраться в коде smali будет гораздо сложнее. К счастью, мы можем декомпилировать код dex в Java-код, который будет хоть и не оригинальным и не компилируемым обратно, но гораздо более легким для чтения и понимания логики работы приложения. Чтобы сделать это, нам понадобятся два инструмента:

Использовать их следует так. Сначала запускаем dex2jar, указывая в качестве аргумента путь до apk-пакета:

В результате в текущем каталоге появится Java-пакет mail.jar, который уже можно открыть в jd-gui для просмотра Java-кода.

Устройство APK-пакетов и их получение

Пакет приложения Android, по сути, является обычным ZIP-файлом, для просмотра содержимого и распаковки которого никаких специальных инструментов не требуется. Достаточно иметь архиватор — 7zip для Windows или консольный unzip в Linux. Но это что касается обертки. А что внутри? Внутри же у нас в общем случае такая структура:

  • META-INF/ — содержит цифровой сертификат приложения, удостоверяющий его создателя, и контрольные суммы файлов пакета;
  • res/ — различные ресурсы, которые приложение использует в своей работе, например изображения, декларативное описание интерфейса, а также другие данные;
  • AndroidManifest.xml — описание приложения. Сюда входит, например, список требуемых разрешений, требуемая версия Android и необходимое разрешение экрана;
  • classes.dex — компилированный байт-код приложения для виртуальной машины Dalvik;
  • resources.arsc — тоже ресурсы, но другого рода — в частности, строки (да-да, этот файл можно использовать для русификации!).

Перечисленные файлы и каталоги есть если не во всех, то, пожалуй, в абсолютном большинстве APK. Однако стоит упомянуть еще несколько не столь распространенных файлов/каталогов:

  • assets — аналог ресурсов. Основное отличие — для доступа к ресурсу необходимо знать его идентификатор, список asset’ов же можно получать динамически, используя метод AssetManager.list() в коде приложения;
  • lib — нативные Linux-библиотеки, написанные с помощью NDK (Native Development Kit).

Этот каталог используют производители игр, помещая туда движок игры, написанный на C/C++, а также создатели высокопроизводительных приложений (например, Google Chrome). С устройством разобрались. Но как же получить сам файл пакета интересующего приложения? Поскольку без рута с устройства забрать файлы APK не представляется возможным (они лежат в каталоге /data/app), а рутить не всегда целесообразно, имеется как минимум три способа получить файл приложения на компьютер:

  • расширение APK Downloader для Chrome;
  • приложение Real APK Leecher;
  • различные файлообменники и варезники.

Какой из них использовать — дело вкуса; мы предпочитаем использовать отдельные приложения, поэтому опишем использование Real APK Leecher, тем более что написан он на Java и, соответственно, работать будет хоть в винде, хоть в никсах.

Настройка Real APK Leecher

Настройка Real APK Leecher

Просмотр и модификация

Допустим, ты нашел интересующий тебя пакет, скачал, распаковал… и при попытке просмотра какого-нибудь XML-файла с удивлением обнаружил, что файл не текстовый. Чем же его декомпилировать и как вообще работать с пакетами? Неужели необходимо ставить SDK? Нет, SDK ставить вовсе не обязательно. На самом деле для всех шагов по распаковке, модификации и упаковке пакетов APK нужны следующие инструменты:

Использовать все эти инструменты можно и по отдельности, но это неудобно, поэтому лучше воспользоваться более высокоуровневым софтом, построенным на их основе. Если ты работаешь в Linux или Mac OS X, то тут есть инструмент под названием apktool. Он позволяет распаковывать ресурсы в оригинальный вид (в том числе бинарные XML- и arsc-файлы), пересобирать пакет с измененными ресурсами, но не умеет подписывать пакеты, так что запускать утилиту signer придется вручную. Несмотря на то что утилита написана на Java, ее установка достаточно нестандартна. Сначала следует получить сам jar-файл:

Далее нам понадобится скрипт-обвязка для запуска apktool (он, кстати, доступен и для Windows), включающий в себя еще и утилиту aapt, которая понадобится для запаковки пакета:

Далее просто сваливаем содержимое обоих архивов в каталог

/bin и добавляем его в $PATH:

Если же ты работаешь в Windows, то для нее есть превосходный инструмент под названиемVirtuous Ten Studio, который также аккумулирует в себе все эти инструменты (включая сам apktool), но вместо CLI-интерфейса предоставляет пользователю интуитивно понятный графический интерфейс, с помощью которого можно выполнять операции по распаковке, дизассемблированию и декомпиляции в несколько кликов. Инструмент этот Donation-ware, то есть иногда появляются окошки с предложением получить лицензию, но это, в конце концов, можно и потерпеть. Описывать его не имеет никакого смысла, потому что разобраться в интерфейсе можно за несколько минут. А вот apktool, вследствие его консольной природы, следует обсудить подробнее.

Импорт APK в Virtuous Ten Studio

Импорт APK в Virtuous Ten Studio

Рассмотрим опции apktool. Если вкратце, то имеются три основные команды: d (decode), b (build) и if (install framework). Если с первыми двумя командами все понятно, то что делает третья, условный оператор? Она распаковывает указанный UI-фреймворк, который необходим в тех случаях, когда ты препарируешь какой-либо системный пакет.

Рассмотрим наиболее интересные опции первой команды:

  • -s — не дизассемблировать файлы dex;
  • -r — не распаковывать ресурсы;
  • -b — не вставлять отладочную информацию в результаты дизассемблирования файла dex;
  • --frame-path — использовать указанный UI-фреймворк вместо встроенного в apktool. Теперь рассмотрим пару опций для команды b:
  • -f — форсированная сборка без проверки изменений;
  • -a — указываем путь к aapt (средство для сборки APK-архива), если ты по какой-то причине хочешь использовать его из другого источника.

Пользоваться apktool очень просто, для этого достаточно указать одну из команд и путь до APK, например:

После этого в каталоге mail появятся все извлеченные и дизассемблированные файлы пакета.

Препарирование. Отключаем рекламу

Теория — это, конечно, хорошо, но зачем она нужна, если мы не знаем, что делать с распакованным пакетом? Попробуем применить теорию с пользой для себя, а именно модифицируем какую-нибудь софтину так, чтобы она не показывала нам рекламу. Для примера пусть это будет Virtual Torch — виртуальный факел. Для нас эта софтина подойдет идеально, потому что она под завязку набита раздражающей рекламой и к тому же достаточно проста, чтобы не потеряться в дебрях кода.

Поиск кода рекламы в jd-gui

Поиск кода рекламы в jd-gui

Итак, с помощью одного из приведенных способов скачай приложение из маркета. Если ты решил использовать Virtuous Ten Studio, просто открой APK-файл в приложении и распакуй его, для чего создай проект (File -> New project), затем в контекстном меню проекта выбери Import File. Если же твой выбор пал на apktool, то достаточно выполнить одну команду:

После этого в каталоге com.kauf.particle.virtualtorch появится файловое дерево, похожее на описанное в предыдущем разделе, но с дополнительным каталогом smali вместо dex-файлов и файлом apktool.yml. Первый содержит дизассемблированный код исполняемого dex-файла приложения, второй — служебную информацию, необходимую apktool для сборки пакета обратно.

Первое место, куда мы должны заглянуть, — это, конечно же, AndroidManifest.xml. И здесь мы сразу встречаем следующую строку:

Нетрудно догадаться, что она отвечает за предоставление приложению полномочий на использование интернет-соединения. По сути, если мы хотим просто избавиться от рекламы, нам, скорее всего, достаточно будет запретить приложению интернет. Попытаемся это сделать. Удаляем указанную строку и пробуем собрать софтину с помощью apktool:

В каталоге com.kauf.particle.virtualtorch/build/ появится результирующий APK-файл. Однако установить его не получится, так как он не имеет цифровой подписи и контрольных сумм файлов (в нем просто нет каталога META-INF/). Мы должны подписать пакет с помощью утилиты apk-signer. Запустили. Интерфейс состоит из двух вкладок — на первой (Key Generator) создаем ключи, на второй (APK Signer) подписываем. Чтобы создать наш приватный ключ, заполняем следующие поля:

  • Target File — выходной файл хранилища ключей; в нем обычно хранится одна пара ключей;
  • Password и Confirm — пароль для хранилища;
  • Alias — имя ключа в хранилище;
  • Alias password и Confirm — пароль секретного ключа;
  • Validity — срок действия (в годах). Значение по умолчанию оптимально.

Остальные поля, в общем-то, необязательны — но необходимо заполнить хотя бы одно.

Создание ключа в apk-signer

Создание ключа в apk-signer

WARNING

Чтобы подписать приложение с помощью apk-signer, ты должен установить Android SDK и указать полный путь до него в настройках приложения.

Вся информация предоставлена исключительно в ознакомительных целях. Ни редакция, ни автор не несут ответственности за любой возможный вред, причиненный материалами данной статьи.

Теперь этим ключом можно подписать APK. На вкладке APK Signer выбираем только что сгенерированный файл, вводим пароль, алиас ключа и пароль к нему, затем находим файл APK и смело жмем кнопку «Sign». Если все пройдет нормально, пакет будет подписан.

Так как мы подписали пакет нашим собственным ключом, он будет конфликтовать с оригинальным приложением, а это значит, что при попытке обновить софтину через маркет мы получим ошибку.

Цифровая подпись необходима только стороннему софту, поэтому если ты занимаешься модификацией системных приложений, которые устанавливаются копированием в каталог /system/app/, то подписывать их не нужно.

Обычно авторы приложений создают специальные классы для вывода рекламы и вызывают методы этих классов во время запуска приложения или одной из его «активностей» (упрощенно говоря, экранов приложения). Попробуем найти эти классы. Идем в каталог smali, далее com (в org лежит только открытая графическая библиотека cocos2d), далее kauf (именно туда, потому что это имя разработчика и там лежит весь его код) — и вот он, каталог marketing. Внутри находим кучу файлов с расширением smali. Это классы, и наиболее примечателен из них класс Ad.smali, по названию которого нетрудно догадаться, что именно он выводит рекламу.

Мы могли бы изменить логику его работы, но гораздо проще будет тупо убрать вызовы любых его методов из самого приложения. Поэтому выходим из каталога marketing и идем в соседний каталог particle, а затем в virtualtorch. Особого внимания здесь заслуживает файл MainActivity.smali. Это стандартный для Android класс, который создается Android SDK и устанавливается в качестве точки входа в приложение (аналог функции main в Си). Открываем файл на редактирование.

Внутри находится код smali (местный ассемблер). Он довольно запутанный и трудный для чтения в силу своей низкоуровневой природы, поэтому мы не будем его изучать, а просто найдем все упоминания класса Ad в коде и закомментируем их. Вбиваем строку «Ad» в поиске и попадаем на строку 25:

Здесь происходит создание объекта. Комментируем. Продолжаем поиск и находим в строках 433, 435, 466, 468, 738, 740, 800 и 802 обращения к методам класса Ad. Комментируем. Вроде все. Сохраняем. Теперь пакет необходимо собрать обратно и проверить его работоспособность и наличие рекламы. Для чистоты эксперимента возвращаем удаленную из AndroidManifest.xml строку, собираем пакет, подписываем и устанавливаем.

Наш подопытный кролик. Видна реклама Он же, но уже без рекламы

Оп-па! Реклама пропала только во время работы приложения, но осталась в главном меню, которое мы видим, когда запускаем софтину. Так, подождите, но ведь точка входа — это класс MainActivity, а реклама пропала во время работы приложения, но осталась в главном меню, значит, точка входа другая? Чтобы выявить истинную точку входа, вновь открываем файл AndroidManifest.xml. И да, в нем есть следующие строки:

Они говорят нам (и, что важнее, андроиду) о том, что активность с именем Start должна быть запущена в ответ на генерацию интента (события) android.intent.action.MAIN из категории android.intent.category.LAUNCHER. Это событие генерируется при тапе на иконку приложения в ланчере, поэтому оно и определяет точку входа, а именно класс Start. Скорее всего, программист сначала написал приложение без главного меню, точкой входа в которое был стандартный класс MainActivity, а затем добавил новое окно (активность), содержащее меню и описанное в классе Start, и вручную сделал его точкой входа.

Открываем файл Start.smali и вновь ищем строку «Ad», находим в строках 153 и 155 упоминание класса FirstAd. Он тоже есть в исходниках и, судя по названию, как раз и отвечает за показ объявлений на главном экране. Смотрим дальше, идет создание экземпляра класса FirstAd и интента, по контексту имеющего отношение к этому экземпляру, а дальше метка cond_10, условный переход на которую осуществляется аккурат перед созданием экземпляра класса:

Скорее всего, программа каким-то случайном образом вычисляет, нужно ли показывать рекламу на главном экране, и, если нет, перескакивает сразу на cond_10. Ок, упростим ей задачу и заменим условный переход на безусловный:

Больше упоминаний FirstAd в коде нет, поэтому закрываем файл и вновь собираем наш виртуальный факел с помощью apktool. Копируем на смартфон, устанавливаем, запускаем. Вуаля, вся реклама исчезла, с чем нас всех и поздравляем.

  • Перевод приложений Android;
  • пример снятия триала с приложения.

Итоги

Эта статья лишь краткое введение в методы вскрытия и модификации Android-приложений. За кадром остались многие вопросы, такие как снятие защиты, разбор обфусцированного кода, перевод и замена ресурсов приложения, а также модификация приложений, написанных с использованием Android NDK. Однако, имея базовые знания, разобраться во всем этом — лишь вопрос времени.

Задумывались ли вы, что происходит с кодом приложения Android, когда тот компилируется и упаковывается в APK? В этой статье подробно рассматривается формат исполняемого файла Dalvik с практическим примером структуры простейшего файла Dex.

Что такое файл DEX?

Файл Dex содержит код для исполнения в виртуальной машине Android Runtime. Каждый APK имеет отдельный файл classes.dex, который ссылается на все классы или методы, используемые в приложении. По сути, любая активность, объект или фрагмент, используемые в вашем коде, будут преобразованы в байты, в файл Dex, который можно запустить как приложение Android.

Будет очень полезно понять структуру Dex файла. Например, ссылки могут занимать слишком много места. Использование многих сторонних библиотек может увеличить размер APK на мегабайты или, что еще хуже, привести к печально известному ограничению размера метода в 64 КБ. И, конечно, может наступить день, когда знание стуктуры Dex поможет отследить неожиданное поведение в вашем приложении.

Процесс дексирования

Все исходные файлы Java в проекте Android сначала компилируются в файлы .class, которые состоят из инструкций байт-кода. В традиционном приложении Java эти инструкции будут выполняться JVM. Однако приложения Android выполняются в Android Runtime, которая использует несовместимые коды операций, и поэтому требуется дополнительный шаг дексирования, когда файлы .class преобразуются в один файл .dex.

Поскольку большинство мобильных устройств имеют жёсткие ограничения по объему памяти, вычислительной мощности и времени автономной работы, ART предлагает производительность превосходящую JVM. Одна из ключевых особенностей, которая помогает достичь этого, заключается в том, что ART выполняет компиляцию как до исполнения, так и во время исполнения. Это позволяет избежать среде исполнения некоторых накладных расходов JIT, но при этом с течением времени позволяет повысить производительность при профилировании приложения.

Как создать файл Dex

Практика на примере файла Dex делает понимание намного проще. Давайте создадим минимальный APK, который содержит только один класс Application, поскольку это позволит нам понять формат файла, не перегруженный тысячами методов, присутствующих в типичном приложении.

minimal_dex.jpg

Мы будем использовать Hexfiend для просмотра файла Dex в шестнадцатеричном формате, поскольку Dex использует некоторые необычные типы данных для экономии места. Мы скрыли все нулевые байты, поэтому пустые места на приведенном выше снимке экрана фактически представляют 00.

Структура файла Dex

Полная структура нашего 480-байтового файла Dex показана в шестнадцатеричном и UTF-8 ниже. Некоторые секции мгновенно распознаются при интерпретации как UTF-8, например, один класс BugsnagApp, который мы определили в исходном коде, а других секций не так много:

В докладе компании McAfee о состоянии потенциальных угроз в первой четверти этого года указывалось наличие 6 млн выявленных уникальных образцов вредоносного программного обеспечения.

image

В докладе компании McAfee о состоянии потенциальных угроз в первой четверти этого года указывалось наличие 6 млн выявленных уникальных образцов вредоносного программного обеспечения. В этом смысле 1 квартал 2011 года оказался самым результативным по числу выявленных вредоносных программ в сравнении с аналогичными периодами всех прошлых лет. В отчете McAfee было отмечено, что устройства Android все чаще превращаются в разносчиков вредоносных программных средств. По мнению специалистов Android в первом квартале этого года стал вторым по популярности среди злоумышленников мобильным объектом для вторжения после Symbian.

В этой статье мы собираемся провести Вас через различные этапы анализа программного обеспечения, тем самым позволив Вам понять, в чем же конкретно заключаются уязвимости платформы Android и каким образом злоумышленники ими пользуются. Прежде всего, мы начнем с обсуждения истории разработки Android, а затем перейдем к основам функционирования пакетов конфигурации платформы. Параллельно мы будем в деталях анализировать все встречающиеся вредоносные программы, ориентированные именно на Android.

Введение в платформу Android

Android представляет собой операционную систему для сотовых телефонов, коммуникаторов, планшетных компьютеров и других устройств, основанную на базе ядра Linux. Приложения для Android разработчики пишут в основном на языке Java, предусматривая управление устройством с помощью разработанной компанией Google, Java библиотеки. Android компилятор Java компилирует набор файлов разработчика в файлы классов, а затем класс файлы преобразуются в файлы dex. Эти файлы имеют байт-код специально применяющийся для распознавания виртуальной машины Dalvik – представляющей собой среду исполнения байт-кодов Java-приложения (JVM), работающей на специальном приложении для Android. XML-файлы преобразуются в двоичный формат, оптимизированный для создания небольших файлов. Файлы .dex, двоичные файлы XML и другие ресурсы, необходимые для запуска приложений, упаковываются в файл пакета Android. Эти файлы имеют расширение .apk, но являются стандартными ZIP файлами. Как только пакет apk сформирован, на него наносится цифровая подпись разработчика, и он загружается на Android Market через веб-сайт Google, откуда пользователь можете скачать эти apk-файлы и установить их на свое Android устройство. В настоящее время существует более 2 миллионов доступных для загрузки приложений в центральном хранилище для Android приложений, и помимо этого не стоит забывать, что Google Android приложения могут быть загружены и с других сторонних сайтов.

Требования

  • Инструмент для распаковки файлов формата apk – Winzip
  • Инструмент для преобразования файлов .dex в файлы .jar . Dex2jar
  • Графическая утилита для декомпиляции Java: JD-GUI
  • Образцы вредоносных программ, ориентированных на Android для анализа

Подробные шаги


Шаг I:
Для инициирования процедуры анализа вредоносного программного обеспечения, сначала необходимо загрузить вредоносные образец, ориентированный на платформу Android. В этом случае, мы будем загружать iCalendar.apk, ставший одним из 11 подозрительных приложений удаленных из Android Market, поскольку в нем было обнаружено содержание вредоносных программ в Gadget Media. Проверка запроса на VirusTotal показала уровень обнаружения 46,5%, что продемонстрировано на рисунке ниже.

Извлечение iCalendar.apk файла с помощью Winzip, после чего можно просмотреть содержимое файла .apk


Рис. 2. .dex и. XML-файлы, обсуждавшиеся ранее в этой статье приведены на рис. 2.

Следующим шагом будет выполнение кода с использованием инструмента "dex2jar". Комплект инструментов dex2jar преобразует исполняемые в Dalvik .dex файлы в Java .class файлы. "Classes.dex" - файл из нашего приложения попадает в каталог dex2jar " и преобразовывается с помощью следующей команды: dex2jar.bat classes.dex.


Рис. 3 Создание "classes.dex.dex2jar.jar" файлов в одном каталоге.


Мы использовали JD-GUI для просмотра .class файлов. Открываем файл "Classes.dex.dex2jar.jar", с использованием JD-GUI.


Рис. 5: Показан полный исходный код приложений для Android.


После поиска этих чисел через Google, было установлено, что это номера SMS сервиса , принадлежащего компании China Mobile (рис. 7).


Мы пытались проанализировать, почему приложение пытается заблокировать отчеты о доставке из вышеупомянутых номеров в последующих действиях.

Шаг VI:
После окончания аналиаз файла "SmsReceiver.class", переходим к анализу кода следующего файла .class, т.е. "iCalendar.class". Первый из них выглядит самым подозрительным. В частности, нами было замечено, что в функции showImg() присутствовала некая функция sendSms().

Итак, мы инициировали проверку файла "sendSms()", чтобы увидеть особенности в выполнении команд. Как показано на рисунке ниже, мы видим, что когда функция sendSms() активирована, на номер 1066185829 автоматически отправляется SMS с текстом 921X1.


Шаг VII:
В конце функции sendSms(), мы заметили наличие команды сохранения функции. Таким образом, мы искали функцию сохранения () внутри кода и нашли ее непосредственную взаимосвязь с функцией sendSms().


После проведения соответствующего анализа и выяснения различных аспектов работы функции save(), было установлено, что строка "Y" проходит всякий раз при выполнении функции save(). Кроме того, был сделан вывод, что функция sendSms() может быть вызвана только лишь один раз, но не больше, поскольку существует цикл "if” установленный для функции sendSms().

Шаг VIII:
Объединив результаты всего проведенного анализа, можно получить четкое представление о полном функционировании различного рода вредоносных программ.


Рис. 11: Полные выводы о вредоносных программах цикла iCalendar.apk

Заключение:

  • Загрузка приложения только из надежных источников;
  • Проверка соответствующих рейтингов и обзоров, до загрузки приложения;
  • Внимательная оценка разрешений конкретных приложений;
  • Установка ОС Android обновлений, по мере их готовности;
  • Установка программ для защиты мобильных приложений.

В документе приведен пример ущерба, наносимого вредоносным программным обеспечением ничего не подозревающим пользователям. Если человек не догадывается о его существовании, то таким программам становится доступно выполнение практически любых несанкционированных действия в фоновом режиме. Работа вредоносных программ может повлечь за собой финансовые потери для пользователя путем списания средств с его балансов, а также кражи паролей. Помимо этого они могут стать причиной повреждения самого телефона. Как видите, очень важно своевременно применять адекватные меры предосторожности для предотвращения проникновения приложений такого рода в Ваш телефон. Лучше один раз перестраховаться, чем потом десять раз пожалеть.

Читайте также: