一、环境配置
1.常用工具:
JDK/SDK/NDK
eclpise集成开发环境/Android Studio
AndroidKiller/jeb/jadx / GDA/Androidk逆向助手
IDA/GDB
apkhelper/getsign/APK上上签
模拟器(雷电、海马玩等)
MT管理器/RE文件管理器
2.工具安装注意事项:
1.jdk安装路径中不能有中文
2.ndk的配置路径中不能有中文和空格,可以把它放在根目录
3.安装包文件不全,运行会出错
3.APK文件:
APK是Android Package的缩写,即Android安装包。APK是类似Symbian Sis或Sisx的文件格式。通过将APK文件直接传到Android模拟器或Android手机中执行即可安装。
4.APK文件目录:
assets 不经过 aapt 编译的资源文件
lib .so文件
META-INF 文件摘要,摘要加密和签名证书文件目录
CERT.RSA 公钥和加密算法描述
CERT.SF 加密文件,它是使用私钥对摘要明文加密后得到的 密文信息,只有使用私钥配对的公钥才能解密该文 件
MANIFEST.MF 程序清单文件,它包含包中所有文件的摘要明文
res 资源文件目录,二进制格式
drawable 图片
layout 布局
menu 菜单
resources.arsc 经过 aapt 编译过的资源文件
classes.dex 可执行文件
AndroidManifest.xml 配置文件
- Dalvik字节码(学习破解的基础)
Dalvik 是 google 专门为 Android 操作系统设计的一个虚拟机,经过深度优化。虽然 Android 上的程序是使用 java 来开发的,但是 Dalvik 和标准的 java 虚拟机 JVM 还是两回事。Dalvik VM 是基于寄存器的,而 JVM 是基于栈的;Dalvik有专属的文件执行格式 dex (dalvik executable),而 JVM 则执行的是 java 字节码。Dalvik VM 比 JVM 速度更快,占用空间更少。
通过 Dalvik 的字节码我们不能直接看到原来的逻辑代码,这时需要借助如 Apktool 或 dex2jar+jd-gui 工具来帮助查看。但是,我们最终修改 APK 需要操作的文件是 .smali 文件,而不是导出来的 Java 文件重新编译。
4. Smali(破解的重中之重)
Smali,Baksmali 分别是指安卓系统里的 Java 虚拟机(Dalvik)所使用的一种 dex 格式文件的汇编器,反汇编器。其语法是一种宽松式的 Jasmin/dedexer 语法,而且它实现了 .dex 格式所有功能(注解,调试信息,线路信息等)
当我们对 APK 文件进行反编译后,便会生成此类文件。在Davlik字节码中,寄存器都是32位的,能够支持任何类型,64位类型(Long/Double)用2个寄存器表示;Dalvik字节码有两种类型:原始类型;引用类型(包括对象和数组)
原始类型:
方法的定义
Func-Name (Para-Type1Para-Type2Para-Type3…)Return-Type
注意参数与参数之间没有任何分隔符,举例如下:
Smali基本语法
条件跳转分支
二.深入 Smali 文件
- Smali中的包信息
- Smali中的声明
一般来说,在Smali文件中声明如下:
3. 关于寄存器的知识补充
寄存器是什么意思呢?在 smali 里的所有操作都必须经过寄存器来进行:本地寄存器用 v 开头,数字结尾的符号来表示,如v0、v1、v2、…参数寄存器则使用 p 开头,数字结尾的符号来表示,如p0、p1、p2、…特别注意的是,p0 不一定是函数中的第一个参数,在非 static 函数中,p0 代指“this”,p1 表示函数的第一个参数,p2 代表函数中的第二个参数…而在 static 函数中 p0 才对应第一个参数(因为 Java 的 static 方法中没有 this 方法。
4. 寄存器简单实例分析
const/4 v0, 0x1
iput-boolean v0, p0, Lcom/aaa;->IsRegistered:Z
我们来分析一下上面的两句 smali 代码,首先它使用了 v0 本地寄存器,并把值 0x1 存到 v0 中,然后第二句用 iput-boolean 这个指令把 v0 中的值存放到 com.aaa.IsRegistered 这个成员变量中。
即相当于:this.IsRegistered= true;(上面说过,在非static函数中p0代表的是“this”,在这里就是 com.aaa 实例)。
5. Smali中的成员变量
成员变量格式是:.field public/private [static] [final] varName:<类型>。
对于不同的成员变量也有不同的指令。
一般来说,获取的指令有:iget、sget、iget-boolean、sget-boolean、iget-object、sget-object等。
操作的指令有:iput、sput、iput-boolean、sput-boolean、iput-object、sput-object等。
没有“-object”后缀的表示操作的成员变量对象是基本数据类型,带“-object”表示操作的成员变量是对象类型,特别地,boolean 类型则使用带“-boolean”的指令操作。
6. Smali成员变量指令简析
简析一
sget-object v0, Lcom/aaa;->ID:Ljava/lang/String;
sget-object就是用来获取变量值并保存到紧接着的参数的寄存器中,本例中,它获取ID这个String类型的成员变量并放到v0这个寄存器中。
注意:前面需要该变量所属的类的类型,后面需要加一个冒号和该成员变量的类型,中间是“->”表示所属关系。
(2) 简析二
iget-object v0, p0, Lcom/aaa;->view:Lcom/aaa/view;
可以看到iget-object指令比sget-object多了一个参数,就是该变量所在类的实例,在这里就是p0即“this”。
获取array的话我们用aget和aget-object,指令使用和上述一致
(3) 简析三(put指令的使用和get指令是统一的)
const/4 v3, 0x0
sput-object v3, Lcom/aaa;->timer:Lcom/aaa/timer;
相当于:this.timer= null;
注意,这里因为是赋值object 所以是null,若是boolean的话,大家想应该相当于什么呢?
(4) 简析四
.local v0, args:Landroid/os/Message;
const/4 v1, 0x12
iput v1, v0, Landroid/os/Message;->what:I
相当于:args.what = 18;(args 是 Message 的实例)
三、Smali函数分析
- Smali中函数的调用
smali中的函数和成员变量一样也分为两种类型,分别为direct和virtual之分。那么direct method和virtual method有什么区别呢?
简单来说,direct method 就是 private 函数,其余的 public 和 protected 函数都属于 virtual method。所以在调用函数时,有invoke-direct,invoke-virtual,另外还有invoke-static、invoke-super以及invoke-interface等几种不同的指令。当然其实还有invoke-XXX/range 指令的,这是参数多于4个的时候调用的指令,比较少见,了解下即可。
(1).invoke-static:用于调用static函数,例如:
invoke-static {}, Lcom/aaa;->CheckSignature()Z
这里注意到 invoke-static 后面有一对大括号“{}”,其实是调用该方法的实例+参数列表,由于这个方法既不需参数也是static的,所以{}内为空,再看一个:
const-string v0, “NDKLIB”
invoke-static {v0}, Ljava/lang/System;->loadLibrary(Ljava/lang/String;)V
这个是调用 static void System.loadLibrary(String) 来加载 NDK 编译的 so 库用的方法,同样也是这里 v0 就是参数”NDKLIB”了。
(2).invoke-super:调用父类方法用的指令,一般用于调用onCreate、onDestroy等方法。
(3).invoke-direct:调用private函数:
invoke-direct {p0}, Landroid/app/TabActivity;->()V
这里init()就是定义在TabActivity中的一个private函数
(4).invoke-virtual:用于调用 protected 或 public 函数,同样注意修改smali时不要错用 invoke-direct 或 invoke-static:
sget-object v0, Lcom/dddd;->bbb:Lcom/ccc;
invoke-virtual {v0, v1}, Lcom/ccc;->Messages(Ljava/lang/Object;)V
这里相信大家都已经很清楚了:
v0是bbb:Lcom/ccc
v1是传递给Messages方法的Ljava/lang/Object参数。
(5).invoke-xxxxx/range:当方法的参数多于5个时(含5个),不能直接使用以上的指令,而是在后面加上“/range”,range表示范围,使用方法也有所不同:
invoke-direct/range {v0 … v5}, Lcmb/pb/ui/PBContainerActivity;->h(ILjava/lang/CharSequence;Ljava/lang/String;Landroid/content/Intent;I)Z
需要传递v0到v5一共6个参数,这时候大括号内的参数采用省略形式,且需要连续。
- Smali中函数返回结果操作
在Java代码中调用函数和返回函数结果可以用一条语句完成,而在Smali里则需要分开来完成,在使用上述指令后,如果调用的函数返回非void,那么还需要用到move-result(返回基本数据类型)和move-result-object(返回对象)指令:
const-string v0, “Eric”
invoke-static {v0}, Lcmb/pbi;->t(Ljava/lang/String;)Ljava/lang/String;
move-result-object v2
v2保存的就是调用t方法返回的String字符串。
- Smali中函数实体分析–if函数分析
- 分享就到这里了~ 这些都是作为基础实用的东西,理解好了入门逆向就轻松的多,先把Java层逆向分析吃透,最后把逆向工具分享给大家使用,有逆向问题可加vx:17785001706
- 工具使用教程
1.详解安装jdk的步骤
链接:http://pan.baidu.com/s/1o7DCPEa 密码:smw2
2.Android集成开发环境搭建
链接:http://pan.baidu.com/s/1nvSiqbn 密码:dila
3.NDK的使用
链接:http://pan.baidu.com/s/1miyytPe 密码:kpne
4.AndroidKiller工具
链接:http://pan.baidu.com/s/1dFzYtA5 密码:2gep
5.jeb工具
链接:http://pan.baidu.com/s/1kVIcWGB 密码:a0nj
6.IDA工具
链接:http://pan.baidu.com/s/1eSgt1nW 密码:28i8
7.WinHex工具
链接:http://pan.baidu.com/s/1jIFxmQU 密码:0c5m
来源:CSDN
作者:那时雨_
链接:https://blog.csdn.net/contrary_/article/details/103637295