Back

[ANDROID] JAD(Java Decompiler)를 이용한 Android APK Decompile

악성 안드로이드 APK 분석 시 많이 사용되는 툴인 jad에 관한 이야기를 할까 합니다. 제 기억 중 jad 는 주로 dex2jar 를 통해 디컴파일하여 분석하는 과정 중 디컴파일이 불가능한 부분(ERROR 노출)을 java 코드로 변환하여 확인하기 위해 많이 사용하였습니다.

jad(wiki /https://en.wikipedia.org/wiki/JAD_(JAva_Decompiler)) Jad (Java Decompiler) is an as of August 2011 unmaintained decompiler for the Java programming language. Jad provides a command-line user interface to extract source code from class files.

1. JAD 설치(Download & Install JAD)

jad 설치 시 별도의 공식 홈페이지를 찾기 어려웠습니다. 그리하여 wiki 등록된 url 을 이용하여 jad 를 다운로드 합니다. wiki 우측 하단에 website 부분에 original jad site including downloads 를 이용하였습니다. (https://web.archive.org/web/20080214075546/http://www.kpdus.com/jad.html#download)

각 OS 버전에 맞게 다운로드 받아 사용하지면 됩니다. 실행파일로 제공되며 실행 시 아래와 같이 usage가 나타납니다.

#jad

Jad v1.5.8e. Copyright 2001 Pavel Kouznetsov (kpdus@yahoo.com). Usage: jad [option(s)] <filename(s)> Options: -a - generate JVM instructions as comments (annotate) -af - output fully qualified names when annotating -b - generate redundant braces (braces) -clear - clear all prefixes, including the default ones -d - directory for output files -dead - try to decompile dead parts of code (if there are any) -dis - disassembler only (disassembler) -f - generate fully qualified names (fullnames) -ff - output fields before methods (fieldsfirst) -i - print default initializers for fields (definits) -l - split strings into pieces of max chars (splitstr) -lnc - output original line numbers as comments (lnc) -lradix- display long integers using the specified radix -nl - split strings on newline characters (splitstr) -noconv - don’t convert Java identifiers into valid ones (noconv) -nocast - don’t generate auxiliary casts -noclass - don’t convert .class operators -nocode - don’t generate the source code for methods -noctor - suppress the empty constructors -nodos - turn off check for class files written in DOS mode -nofd - don’t disambiguate fields with the same names (nofldis) -noinner - turn off the support of inner classes -nolvt - ignore Local Variable Table entries (nolvt) -nonlb - don’t insert a newline before opening brace (nonlb) -o - overwrite output files without confirmation -p - send all output to STDOUT (for piping) -pa - prefix for all packages in generated source files -pc - prefix for classes with numerical names (default: _cls) -pe - prefix for unused exception names (default: _ex) -pf - prefix for fields with numerical names (default: _fld) -pi - pack imports into one line using .* (packimports) -pl - prefix for locals with numerical names (default: _lcl) -pm - prefix for methods with numerical names (default: _mth) -pp - prefix for method parms with numerical names (default:_prm) -pv - pack fields with the same types into one line (packfields) -r - restore package directory structure -radix- display integers using the specified radix (8, 10, or 16) -s - output file extension (default: .jad) -safe - generate additional casts to disambiguate methods/fields -space - output space between keyword (if, while, etc) and expression -stat - show the total number of processed classes/methods/fields -t - use spaces for indentation (default: 4) -t - use tabs instead of spaces for indentation -v - show method names while decompiling

사용하기 쉽게 bashrc 파일에 설정하여 사용하시면 편합니다. (리눅스 기준)

2. jad가 필요할 때(why do need jad?)

여러 목적으로 jad 가 사용되겠지만 이 글에서는 주로 안드로이드 apk 분석 시 jad 가 필요한 사항에 대해 다룰까합니다. dex2jar 를 통해 apk 파일을 디컴파일 후 jd-gui 를 통해 코드를 보는 중 // INTERNAL ERROR // 같은 메시지를 만나게 될 때가 있습니다. 해당 메시지는 dex2jar , jd-gui 를 통해서는 확인이 불가능한 부분이며, 내부 코드에서도 에러 발생으로 확인 불가능한 부분이 있습니다.

3. jad를 이용한 java 코드로 디컴파일(Android decompile using JAD)

// INTERNAL ERROR // 가 발생한 경로, 파일명을 잘 기억하신 후 터미널을 통해 해당 디렉토리로 이동합니다.

jad -sjava CODEBLACKSyncData.class

Parsing CODEBLACKSyncData.class…The class file version is 50.0 (only 45.3, 46.0 and 47.0 are supported) Generating CODEBLACKSyncData.java

-sjava 옵션을 이용하여 class 파일을 디컴파일 시 디렉토리 하위에 java 파일이 생기게 됩니다.

-s option : 생성할 파일 타입 / output file extension (default: .jad)

해당 자바파일을 에디터로 읽어보면 아래와 같이 정상적인 java 파일로 변환됨을 확인할 수 있습니다. (아래 코드는 테스트를 위해 임의로 변경한 코드입니다.)

#vim CODEBLACKSyncData.java

1 // Decompiled by Jad v1.5.8e. Copyright 2001 Pavel Kouznetsov. 2 // Jad home page: http://www.geocities.com/kpdus/jad.html 3 // Decompiler options: packimports(3) 4 5 package com.pace.cjkx.bluetooth; 6 7 8 9
10 11 public class CODEBLACKSyncData 12 { 13 14 public CODEBLACKSyncData() 15 { 16 } 17 18 public static int AIM_ID = 0; 19 public static final int AUTOERASE_MASK = 0x10000000;

Licensed under CC BY-NC-SA 4.0
Last updated on Jul 10, 2021 01:05 +0900