Symposium sur la sécurité des technologies de l'information et des communications

Dexcalibur est né d’un constat simple : malgré l’existence d’excellents outils open-source de reverse engineering Android, appréhender en temps contraint des applications fortement obfusquées reste un défi. Quelques ClassLoaders personnalisés téléchargeant du bytecode distant chiffré ou chargeant dynamiquement des fichiers Dex chiffrés additionnels peuvent être ardu à étudier seulement par analyse statique. L’instrumentation dynamique, elle, bien que plus adaptée demande d’avoir identifié une stratégie et de la rédiger.

Dans ce contexte, Dexcalibur prend le parti d’une approche différente : offrir une plateforme dédiée à l’instrumentation (basée sur Frida) et à l’analyse dynamique, munie d’une interface graphique, intégrant son propre outil d’analyse statique, et avec de nombreux accessoires. Le principe fondamental consiste à automatiser l’intégration des informations collectées par l’instrumentation dans la représentation construite par l’analyseur statique, et ainsi, être capable de générer l’instrumentation de méthodes non identifiées comme étant dignes d’intérêt lors de la précédent première analyse.

Durant cette conférence, j’expliquerai très brièvement pourquoi j’ai développé cet outil et la manière dont il fonctionne, puis je montrerai ce qu’il permet de faire sur quelques cas concrets.