APK反编译教程新手第一课:安卓基础知识
APK、Dalvik字节码和smali文件
学习路线
逆向常用工具
手机上有:
- mt管理器.开个vip更好使.支持bin大佬
电脑端上面有:
- AndroidKillern
- jadx-gui-1.0.0
APK文件基本结构
• assets\ <资源目录1:assets,存放一些加载的资源.对于一些常见的脚本编写工具更是如此比如autojs,andlua,easyclick等>
• lib\ <so库存放位置,一般由Android NDK编译得到,常见于使用游戏引擎或JNI native调用的工程中,对于初学者不建议研究so>
• |---armeabi\ |---<so库文件分为不同的CPU架构>
• |---armeabi-v7a <so库文件分为不同的CPU架构.x86,arm
• META-INF\ <存放工程一些签名文件,例如Manifest.MF.可以用v1签名bug过签名验证>
• res\ <资源目录2:存放的一般为图片和布局xml文件>
• |---drawable\ |---<图片和对应的xml资源>
• |---layout\ |---<定义布局的xml资源>
• |---...
• AndroidManifest.xml <Android工程的基础配置属性文件.通常可以修改app包名>
• classes.dex <Java代码编译得到的Dalvik VM虚拟机能直接执行的文件,下面有介绍>
• resources.arsc <对res目录下的资源的一个索引文件,通常可以修改app名字>
注:asset和res资源目录的不同在于:
一般来说,除了音频和视频资源(需要放在raw或asset下),使用Java开发的Android工程使用到的资源文件都会放在res下
Dalvik字节码
Dalvik是google专门为Android操作系统设计的一个虚拟机,经过深度的优化。虽然Android上的程序是使用java来开发的,但是Dalvik和标准的java虚拟机JVM还是两回事。Dalvik VM是基于寄存器的,而JVM是基于栈的;Dalvik有专属的文件执行格式dex(dalvik executable),而JVM则执行的是java字节码。Dalvik VM比JVM速度更快,占用空间更少。当然现在用的更多的是art虚拟机.不同的是
ART(Android RunTime)虚拟机,采用的是 AOT(Ahead-Of-Time)技术,在应用程序安装的时候就转换成机器语言(运行前),不再是执行时解释,从而优化了应用运行的速度。
Dalvik 是 Android4.4 之前使用的虚拟机,使用的是 JIT(Just-In-Time)技术来进行代码转译,每次执行应用的时候(运行时),才编译为机器语言执行。
在逆向上,区别不算太大.同时Dalvik能查到的资料最多.方便大家理解,所以我们直接用Dalvik来讲
需要注意的是:
通过Dalvik的字节码我们不能直接看到原来的逻辑代码,这时需要借助如Apktool或dex2jar+jd-gui工具来帮助查看。但是,注意的是最终我们修改APK需要操作的文件是.smali文件,而不是导出来的Java文件重新编译(况且这基本上不可能)。
smali文件
下面介绍重点:smali及其语法
一个重点:有人说
smali可以转java,那样我们是否可以直接转java后重新打包即可运行呢?
不可以,转的java是伪代码.不能直接用的,你会发现大部分是跑不起来的.需要修改后才能运行.
转出来的其实主要是帮助我们进行分析
简单的说,smali就是Dalvik VM内部执行的核心代码。它有自己的一套语法,下面即将介绍,如果有JNI开发经验的童鞋则能够很快明白。
一、smali的数据类型
在smali中,数据类型和Android中的一样,只是对应的符号有变化:
Smali基本语法
.field private isFlag:z 定义变量
.method 方法
.parameter 方法参数
.prologue 方法开始
.line 12 此方法位于第12行
invoke-super 调用父函数
const/high16 v0, 0x7fo3 把0x7fo3赋值给v0
invoke-direct 调用函数
return-void 函数返回void
.end method 函数结束
new-instance 创建实例
iput-object 对象赋值
iget-object 调用对象
invoke-static 调用静态函数
============
条件跳转分支(最常用。):
nez改eqz,eq改ne这类,逻辑取反,实现破解的目的。
其中eq等于
ne不等于
z是zero(0)的简写
所以eqz是等于0
nez是不等于0
"if-eq vA, vB, :cond**" 如果vA等于vB则跳转到:cond**
"if-ne vA, vB, :cond**" 如果vA不等于vB则跳转到:cond**
"if-lt vA, vB, :cond**" 如果vA小于vB则跳转到:cond**
"if-ge vA, vB, :cond**" 如果vA大于等于vB则跳转到:cond**
"if-gt vA, vB, :cond**" 如果vA大于vB则跳转到:cond**
"if-le vA, vB, :cond**" 如果vA小于等于vB则跳转到:cond**
"if-eqz vA, :cond**" 如果vA等于0则跳转到:cond**
"if-nez vA, :cond**" 如果vA不等于0则跳转到:cond**
"if-ltz vA, :cond**" 如果vA小于0则跳转到:cond**
"if-gez vA, :cond**" 如果vA大于等于0则跳转到:cond**
"if-gtz vA, :cond**" 如果vA大于0则跳转到:cond**
"if-lez vA, :cond**" 如果vA小于等于0则跳转到:cond**
=============
if函数的java代码:
private boolean ifSense(){
boolean tempFlag = ((3-2)==1)? true : false;
if (tempFlag) {
return true;
}else{
return false;
}
}
if函数分析:
.method private ifSense()Z
.locals 2
.prologue
.line 22
const/4 v0, 0x1 // v0赋值为1
.line 24
.local v0, tempFlag:Z
if-eqz v0, :cond_0 // 判断v0是否等于0, 不符合条件向下走, 符合条件执行cond_0分支
.line 25
const/4 v1, 0x1 // 符合条件分支
.line 27
:goto_0
return v1
:cond_0
const/4 v1, 0x0 // cond_0分支
goto :goto_0
.end method
###文字描述:如果符合if分支则程序往下走,最终return ; 而如果条件不符合则会走到 :cond_0分支 , 最终执行 goto :goto_0走回 :goto_0返回
============
for函数java代码:
private void forSense(){
listStr = new ArrayList(COUNT);
for (int i = 0; i < COUNT; i++) {
listStr.add("现在轮到我上场乐");
}
}
for函数分析:
.line 40
const/4 v0, 0x0
.local v0, i:I
:goto_0
if-lt v0, v3, :cond_0 // if-lt判断数值v0小于v3 , 如不符合往下走, 符合执行分支 :cond_0
.line 43
return-void
.line 41
:cond_0 // 标签
iget-object v1, p0, Lcom/example/smalidemo/MainActivity;->listStr:Ljava/util/List; // 引用对象
const-string v2, "\u73b0\u5728\u8f6e\u5230\u6211\u4e0a\u573a\u4e50"
invoke-interface {v1, v2}, Ljava/util/List;->add(Ljava/lang/Object;)Z // List是接口, 所以执行接口方法add
.line 40
add-int/lit8 v0, v0, 0x1 // 将第二个v0寄存器中的值,加上0x1的值放入第一个寄存器中, 实现自增长
goto :goto_0 // 回去:goto_0标签
const/4 v0, 0x0 在上面,使用了v0本地寄存器,并把值0x0存到v0中 0x0即为0,通常逆向时候呢,是赋值为0x1
完整的语法我们已经整理为文档了.有兴趣的可以直接下载