(EN) A process wrapping method for evading native code analysis prevention may comprise the steps of: receiving an execution instruction to be executed in an application from an Android framework when the application is started; extracting metadata about a character string and a method from a compiled OAT file by using an oatdump tool existing inside the Android framework; determining whether an analysis prevention technology is applied, through comparison with information of a DB on the basis of the transmitted execution instruction and the extracted metadata; when the analysis prevention technology is applied, modifying the execution instruction on the basis of the determined information; and transmitting the modified execution instruction back to the Android framework. Accordingly, the present invention can provide an environment in which malicious applications to which analysis prevention technologies are applied can be easily analyzed.
(FR) Un procédé d'enveloppement de processus pour contourner une prévention d'analyse de code natif peut comprendre les étapes consistant à : recevoir, d'un environnement de développement Android, une instruction d'exécution à exécuter dans une application lorsque l'application est démarrée; extraire d'un fichier OAT compilé des métadonnées concernant une chaîne de caractères et une méthode à l'aide d'un outil oatdump existant à l'intérieur de l'environnement de développement Android; déterminer si une technologie de prévention d'analyse est appliquée, par comparaison avec des informations d'une base de données (DB) sur la base de l'instruction d'exécution transmise et des métadonnées extraites; quand la technologie de prévention d'analyse est appliquée, modifier l'instruction d'exécution sur la base des informations déterminées; et transmettre l'instruction d'exécution modifiée en retour à l'environnement de développement Android. En conséquence, la présente invention peut fournir un environnement dans lequel des applications malveillantes auxquelles des technologies de prévention d'analyse sont appliquées peuvent être facilement analysées.
(KO) 네이티브 코드 분석방지 우회를 위한 프로세스 래핑 방법은, 애플리케이션이 시작될 때 애플리케이션에서 실행하고자 하는 실행 명령어를 안드로이드 프레임워크로부터 전달받는 단계; 안드로이드 프레임워크 내부에 존재하는 oatdump 도구를 사용하여 컴파일된 OAT 파일로부터 문자열과 메서드에 대한 메타 데이터를 추출하는 단계; 전달된 실행 명령어 및 추출된 메타 데이터를 기초로 DB의 정보와 비교하여 분석 방지 기술이 적용되어 있는지 판별하는 단계; 분석 방지 기술이 적용되어 있는 경우 판별된 정보를 기초로 실행 명령어를 수정하는 단계; 및 수정된 실행 명령어를 다시 안드로이드 프레임워크로 전달하는 단계;를 포함한다. 이에 따라, 분석 방지 기술들이 적용된 악성 애플리케이션들을 손쉽게 분석 할 수 있는 환경을 제공할 수 있다. [대표도] 도 2
