Android文件反編譯工具GJoy Dex Analysizer

GJoy Dex Analysizer是一款A(yù)ndroid反編譯軟件，這款軟件支持apk、dex、odex、oat等類型的Android文件的反編譯工作。這款軟件提供了強大的靜態(tài)分析功能，新版本已經(jīng)支持apk多dex分析，由于是全部用C++寫的，分析apk速度沒的說，修改apk的能力還是有點弱。

軟件介紹：

在Android可執(zhí)行文件反編譯分析上，GDA擺脫了使用java速度慢的問題，完全采用C++完成核心解析功能，并且使用了字節(jié)碼直接轉(zhuǎn)java偽代碼的解析方式，無需轉(zhuǎn)換成smali匯編后在做反編譯，大大提升了解析速度。

此外，該工具還提供了很多實用工具，如查殼功能、odex轉(zhuǎn)dex、oat轉(zhuǎn)dex、xml二進制解析器、算法工具、android設(shè)備內(nèi)存dump等等功能，在交互式分析上，提供了字符串、方法、類和域交叉引用查詢、調(diào)用者查詢、搜索功能、注釋功能、分析結(jié)果保存等等功能。

新版介紹：

GDA3中重寫了所有反編譯器代碼，從反匯編、數(shù)據(jù)流分析、中間語言優(yōu)化、結(jié)構(gòu)化分析等都做了重大改變，同時極大的優(yōu)化DEX解析引擎、惡意行為檢測引擎、查殼引擎，相比GDA1、GDA2，在分析速度、穩(wěn)定性、使用體驗方面都有極大的改善和提升。

使用幫助：

一、主界面說明

打開GDA并且將你所要分析apk文件拖拽到軟件界面上：

1.查看所有字符串；2.查看所有使用過的字符串；3查看所有API；4.查看AndroidManifest文件；5.十六進制瀏覽數(shù)據(jù)；6.可疑(惡意行為分析)；7.漏洞靜態(tài)掃描(尚待實現(xiàn))；8.展開權(quán)限并查看權(quán)限所屬模塊(方法)；9.類及方法，如果出現(xiàn)多個DexClass*表示apk采用mulitdex技術(shù)。10、Dex頭，沒點擊DexClass可展示相應(yīng)的頭，每個色塊代表頭部不同的區(qū)域，鼠標移動在其上面可以看到提示，每個偏移可右鍵跳轉(zhuǎn)到偏移所在的數(shù)據(jù)區(qū)。11、申請的權(quán)限概覽；12、搜索/訪問記錄，雙擊可查看歷史訪問；13、點擊進入入口函數(shù)(method)；14、連接android設(shè)備進行內(nèi)存dump。

如果APP被加固處理，GDA會對加固進行自動識別，顯示在Dex頭和APK權(quán)限之間，如果沒有被加固，則不顯示。如圖：

點擊Entry按鈕可以進入到APK的入口函數(shù)：

在java代碼區(qū)，可以按F5查看smali匯編代碼。

雙擊一個方法可以進入該方法，查看其代碼，X交叉引用查看調(diào)用者。

二、快捷鍵說明

三、輔助工具

1.二進制XML解碼

完全自主實現(xiàn)的解碼，可繞過反解碼技術(shù)，成功解析XML。

2.算法工具

實現(xiàn)加密解密功能，實現(xiàn)了如下算法：

Hash算法: md2 md4 md5 sha sha1 sha224 sha256 sha384 sha512

對稱加密：des idea rc2 rc4 rc4-40 rc2-40 rc2-64 bf cast5 aes(128 192 256)及其相應(yīng)的模式如ecb cbc ofb cfb，其他模式如（cfb1 cfb8）

非對稱加密：RSA

編碼算法：base62, base64

3.進程模塊dump工具

具體使用參考如下鏈接：

https://zhuanlan.zhihu.com/p/26341224

4.搜索工具（S）

四、Android病毒靜態(tài)分析實例

本節(jié)通過一個病毒樣本文件來介紹GDA的基本使用方法。

A．概要分析

主要從整體上對APK做一個簡單的了解和掌握，以下以一款A(yù)ndroid病毒為例來介紹GDA的使用。

1.首先，可以直接將樣本拖入GDA，非�？斓奈覀兡軌蚩吹椒治鲋鹘缑妗Ｎ覀兏鶕�(jù)主界面判斷其是否有加固，如果有加固主界面會顯示，如果沒有顯示代表沒有加固。

2.然后可以檢查看看該病毒開啟了那些敏感權(quán)限，從主界面底部可以看到，該病毒開啟了不少敏感權(quán)限。

3.我們還可以通過點擊如下紅色標記的工具欄按鈕看到該APK的簽名信息。

4.可以通過樹形控件中AndroidManifest來分析該病毒所使用的Activity，Service，receive等信息。

5.接下來還可以通過樹形框中的MalScan來了解該病毒大致的惡意行為。

可以看出該病毒具有很多惡意的操作。行為描述下面的是產(chǎn)生該種類型的惡意行為的實現(xiàn)方法。雙擊method@可以進入該方法中查看，比如點擊進入第二” #讀取聯(lián)系人、短信等信息:”的[method@0001e5]: com.itcast.cn112.m.a

看smali比較費勁，按F5可以查看反編譯的代碼。如圖

可以看出，這個方法中實現(xiàn)了短信箱的讀取，具體方法的分析后面介紹。

6.此外概要分析時，還可以通過查看該APK所使用的字符串和API來做分析。其中AllStrings會獲取該APK所有的字符串，而AppStrings只會獲取APK有效類會用到的字符串，相對來說AppStrings是更有用的字符串。其中string@區(qū)域同樣支持交叉引用(X)，編輯(右鍵菜單)，雙擊操作。

AllAPI的method@區(qū)域支持交叉引用的功能