JAD(Java Decompiler)를 이용한 Android APK Decompile

by hahwul 3 min read

악성 안드로이드 APK 분석 시 많이 사용되는 툴인 jad에 관한 이야기를 할까 합니다. jad 는 주로 dex2jar 를 통해 디컴파일하여 분석하는 과정 중 디컴파일이 불가능한 부분(ERROR 노출)을 java 코드로 변환하여 확인하기 위해 많이 사용하였습니다.

Jad (Java Decompiler) is an as of August 2011 unmaintained decompiler for the Java programming language. Jad provides a command-line user interface to extract source code from class files.

Installation

jad 설치 시 별도의 공식 홈페이지를 찾기 어려웠습니다. 그리하여 wiki 등록된 url 을 이용하여 jad 를 다운로드 합니다. wiki 우측 하단에 website 부분에 original jad site including downloads 를 이용하였습니다.

https://web.archive.org/web/20080214075546/http://www.kpdus.com/jad.html#download

각 OS 버전에 맞게 다운로드 받아 사용하시면 됩니다. 실행파일로 제공되며 실행 시 아래와 같이 usage가 나타납니다.

Jad v1.5.8e. Copyright 2001 Pavel Kouznetsov (kpdus@yahoo.com).
Usage:    jad [option(s)] <filename(s)>
Options: -a       - generate JVM instructions as comments (annotate)
         -af      - output fully qualified names when annotating
         -b       - generate redundant braces (braces)
         -clear   - clear all prefixes, including the default ones
         -d <dir> - directory for output files
         -dead    - try to decompile dead parts of code (if there are any)
         -dis     - disassembler only (disassembler)
         -f       - generate fully qualified names (fullnames)
         -ff      - output fields before methods (fieldsfirst)
         -i       - print default initializers for fields (definits)
         -l<num>  - split strings into pieces of max <num> chars (splitstr)
         -lnc     - output original line numbers as comments (lnc)
         -lradix<num>- display long integers using the specified radix
         -nl      - split strings on newline characters (splitstr)
         -noconv  - don't convert Java identifiers into valid ones (noconv)
         -nocast  - don't generate auxiliary casts
         -noclass - don't convert .class operators
         -nocode  - don't generate the source code for methods
         -noctor  - suppress the empty constructors
         -nodos   - turn off check for class files written in DOS mode
         -nofd    - don't disambiguate fields with the same names (nofldis)
         -noinner - turn off the support of inner classes
         -nolvt   - ignore Local Variable Table entries (nolvt)
         -nonlb   - don't insert a newline before opening brace (nonlb)
         -o       - overwrite output files without confirmation
         -p       - send all output to STDOUT (for piping)
         -pa <pfx>- prefix for all packages in generated source files
         -pc <pfx>- prefix for classes with numerical names (default: _cls)
         -pe <pfx>- prefix for unused exception names (default: _ex)
         -pf <pfx>- prefix for fields with numerical names (default: _fld)
         -pi<num> - pack imports into one line using .* (packimports)
         -pl <pfx>- prefix for locals with numerical names (default: _lcl)
         -pm <pfx>- prefix for methods with numerical names (default: _mth)
         -pp <pfx>- prefix for method parms with numerical names (default:_prm)
         -pv<num> - pack fields with the same types into one line (packfields)
         -r       - restore package directory structure
         -radix<num>- display integers using the specified radix (8, 10, or 16)
         -s <ext> - output file extension (default: .jad)
         -safe    - generate additional casts to disambiguate methods/fields
         -space   - output space between keyword (if, while, etc) and expression
         -stat    - show the total number of processed classes/methods/fields
         -t<num>  - use <num> spaces for indentation (default: 4)
         -t       - use tabs instead of spaces for indentation
         -v       - show method names while decompiling

명령을 bashrc나 zshrc에 설정하여 사용하시면 편합니다.

Why use?

여러 목적으로 jad 가 사용되겠지만 이 글에서는 주로 안드로이드 apk 분석 시 jad 가 필요한 사항에 대해 다룰까합니다. dex2jar 를 통해 apk 파일을 디컴파일 후 jd-gui 를 통해 코드를 보는 중 // INTERNAL ERROR // 같은 메시지를 만나게 될 때가 있습니다. 해당 메시지는 dex2jar , jd-gui 를 통해서는 확인이 불가능한 부분이며, 내부 코드에서도 에러 발생으로 확인 불가능한 부분이 있습니다.

Decompile

// INTERNAL ERROR // 가 발생한 경로, 파일명을 잘 기억하신 후 터미널을 통해 해당 디렉토리로 이동합니다. 이후 jad로 class를 java로 디컴파일 합니다.

jad -sjava CODEBLACKSyncData.class
  • -sjava 옵션을 이용하여 class 파일을 디컴파일 시 디렉토리 하위에 java 파일이 생기게 됩니다.
  • -s : 생성할 파일 타입 / output file extension (default: .jad)

해당 자바파일을 에디터로 읽어보면 아래와 같이 정상적인 java 파일로 변환됨을 확인할 수 있습니다. 아래 코드는 테스트를 위해 임의로 변경한 코드입니다.

vim CODEBLACKSyncData.java

  1 // Decompiled by Jad v1.5.8e. Copyright 2001 Pavel Kouznetsov.
  2 // Jad home page: http://www.geocities.com/kpdus/jad.html
  3 // Decompiler options: packimports(3)
  4
  5 package com.pace.cjkx.bluetooth;
  6
  7
  8 
  9     
 10
 11 public class CODEBLACKSyncData
 12 {
 13
 14     public CODEBLACKSyncData()
 15     {
 16     }
 17
 18     public static int AIM_ID = 0;
 19     public static final int AUTOERASE_MASK = 0x10000000;