來源：吾愛破解安卓逆向入門教程（1-5）筆記

作者：加菲貓

一、環(huán)境配置

安裝 java jdk，并設(shè)置好環(huán)境變量。

測(cè)試： java -version

二、初識(shí) APK、Dalvik字節(jié)碼以及Smali

1. apk是什么？

apk實(shí)質(zhì)上是一個(gè)zip壓縮包，將apk后綴修改為zip，解壓之后可以看到其內(nèi)部結(jié)構(gòu)：

2. apk 的組成

assets： 資源目錄1，assets 和 res 都是資源目錄但有所區(qū)別：

res 目錄下的資源文件在編譯時(shí)會(huì)自動(dòng)生成索引文件（R.java），在Java代碼中勇R.xxx.yyy來引用；而asset 目錄下的資源文件不需要生成索引，在Java 代碼中需要用AssetManager來訪問；

一般來說，除了音頻和視頻資源（需要放在raw或asset下），使用Java開發(fā)的Android工程使用到的資源文件都會(huì)放在res下；使用C++游戲引擎（或使用 Lua Unity3D等）的資源文件均需要放在 assets 下。

lib： so 庫存放位置，一般由NDK編譯得到，常見于使用游戲引擎或 JNI native調(diào)用的工程中

META-INF： 存放工程一些屬性文件，例如 Manifest.MF

res： 資源目錄2，

AndroidManifest.xml： Android工程的基礎(chǔ)配置屬性文件

classes.dex： Java代碼編譯得到的 Dalvik VM 能直接執(zhí)行的文件

resources.arsc： 對(duì)res 目錄下的資源的一個(gè)索引文件，保存了原工程中 strings.xml等文件內(nèi)容

其他文件夾等

3. Dalvik字節(jié)碼（學(xué)習(xí)破解的基礎(chǔ)）

• Dalvik 是 google 專門為 Android 操作系統(tǒng)設(shè)計(jì)的一個(gè)虛擬機(jī)，經(jīng)過深度優(yōu)化。雖然 Android 上的程序是使用 java 來開發(fā)的，但是 Dalvik 和標(biāo)準(zhǔn)的 java 虛擬機(jī) JVM 還是兩回事。Dalvik VM 是基于寄存器的，而 JVM 是基于棧的；Dalvik有專屬的文件執(zhí)行格式 dex （dalvik executable），而 JVM 則執(zhí)行的是 java 字節(jié)碼。Dalvik VM 比 JVM 速度更快，占用空間更少。

• 通過 Dalvik 的字節(jié)碼我們不能直接看到原來的邏輯代碼，這時(shí)需要借助如 Apktool 或 dex2jar+jd-gui 工具來幫助查看。但是，我們最終修改 APK 需要操作的文件是 .smali 文件，而不是導(dǎo)出來的 Java 文件重新編譯。

4. Smali（破解的重中之重）

• Smali，Baksmali 分別是指安卓系統(tǒng)里的 Java 虛擬機(jī)（Dalvik）所使用的一種 dex 格式文件的匯編器，反匯編器。其語法是一種寬松式的 Jasmin/dedexer 語法，而且它實(shí)現(xiàn)了 .dex 格式所有功能（注解，調(diào)試信息，線路信息等）

• 當(dāng)我們對(duì) APK 文件進(jìn)行反編譯后，便會(huì)生成此類文件。在Davlik字節(jié)碼中，寄存器都是32位的，能夠支持任何類型，64位類型（Long/Double）用2個(gè)寄存器表示；Dalvik字節(jié)碼有兩種類型：原始類型；引用類型（包括對(duì)象和數(shù)組）

• 原始類型：

• B—byte
• C—char
• D—double
• F—float
• I—int
• J—long
• S—short
• V—void
• Z—boolean
• [XXX—array
• Lxxx/yyy—object

這里解析下最后兩項(xiàng)，數(shù)組的表示方式是：在基本類型前加上前中括號(hào)“[”，例如 int 數(shù)組和 float 數(shù)組分別表示為：[I、[F；對(duì)象的表示則以 L 作為開頭，格式是 LpackageName/objectName;（注意必須有個(gè)分號(hào)跟在最后），例如 String 對(duì)象在 smali 中為：Ljava/lang/String;，其中 java/lang 對(duì)應(yīng) java.lang 包，String 就是定義在該包中的一個(gè)對(duì)象。

或許有人問，既然類是用 LpackageName/objectName; 來表示，那類里面的內(nèi)部類又如何在 smali 中引用呢？答案是：LpackageName/objectNamesubObjectName;。也就是在內(nèi)部類前加“”符號(hào)，關(guān)于“$”符號(hào)更多的規(guī)則將在后面談到.

• 方法的定義

Func-Name (Para-Type1Para-Type2Para-Type3…)Return-Type

注意參數(shù)與參數(shù)之間沒有任何分隔符，舉例如下：

hello ()V

沒錯(cuò)，這就是void hello()。

hello (III)Z

這個(gè)則是boolean hello(int, int, int)。

hello (Z[I[ILjava/lang/String;J)Ljava/lang/String;

看出來這是String hello (boolean, int[], int[], String, long) 了嗎？

• Smali基本語法

• .field private isFlag:z　　定義變量
• .method　　方法
• .parameter　　方法參數(shù)
• .prologue　　方法開始
• .line 123　　此方法位于第123行
• invoke-super　　調(diào)用父函數(shù)
• const/high16 v0, 0x7fo3　　把0x7fo3賦值給v0
• invoke-direct　　調(diào)用函數(shù)
• return-void　　函數(shù)返回void
• .end method　　函數(shù)結(jié)束
• new-instance　　創(chuàng)建實(shí)例
• iput-object　　對(duì)象賦值
• iget-object　　調(diào)用對(duì)象
• invoke-static　　調(diào)用靜態(tài)函數(shù)

• 條件跳轉(zhuǎn)分支

"if-eq vA, vB, :cond_**" 如果vA等于vB則跳轉(zhuǎn)到:cond_**"if-ne vA, vB, :cond_**" 如果vA不等于vB則跳轉(zhuǎn)到:cond_**"if-lt vA, vB, :cond_**" 如果vA小于vB則跳轉(zhuǎn)到:cond_**"if-ge vA, vB, :cond_**" 如果vA大于等于vB則跳轉(zhuǎn)到:cond_**"if-gt vA, vB, :cond_**" 如果vA大于vB則跳轉(zhuǎn)到:cond_**"if-le vA, vB, :cond_**" 如果vA小于等于vB則跳轉(zhuǎn)到:cond_**"if-eqz vA, :cond_**" 如果vA等于0則跳轉(zhuǎn)到:cond_**"if-nez vA, :cond_**" 如果vA不等于0則跳轉(zhuǎn)到:cond_**"if-ltz vA, :cond_**" 如果vA小于0則跳轉(zhuǎn)到:cond_**"if-gez vA, :cond_**" 如果vA大于等于0則跳轉(zhuǎn)到:cond_**"if-gtz vA, :cond_**" 如果vA大于0則跳轉(zhuǎn)到:cond_**"if-lez vA, :cond_**" 如果vA小于等于0則跳轉(zhuǎn)到:cond_**

三、深入 Smali 文件

1. Smali中的包信息

• .class public Lcom/aaaaa; （它是com.aaaaa這個(gè)package下的一個(gè)類）
• .super Lcom/bbbbb; （繼承自com.bbbbb這個(gè)類）
• .source “ccccc.java” （一個(gè)由ccccc.java編譯得到的smali文件）

2. Smali中的聲明

一般來說，在Smali文件中聲明如下：

# annotations.annotation system Ldalvik/annotation/MemberClasses; value = { Lcom/aaa$qqq;, Lcom/aaa$www; } .end annotation//這個(gè)聲明是內(nèi)部類的聲明：aaa這個(gè)類它有兩個(gè)成員內(nèi)部類——qqq和www，內(nèi)部類將在后面小節(jié)中會(huì)有提及。

3. 關(guān)于寄存器的知識(shí)補(bǔ)充

• 寄存器是什么意思呢？在 smali 里的所有操作都必須經(jīng)過寄存器來進(jìn)行：本地寄存器用 v 開頭，數(shù)字結(jié)尾的符號(hào)來表示，如v0、v1、v2、…參數(shù)寄存器則使用 p 開頭，數(shù)字結(jié)尾的符號(hào)來表示，如p0、p1、p2、…特別注意的是，p0 不一定是函數(shù)中的第一個(gè)參數(shù)，在非 static 函數(shù)中，p0 代指“this”，p1 表示函數(shù)的第一個(gè)參數(shù)，p2 代表函數(shù)中的第二個(gè)參數(shù)…而在 static 函數(shù)中 p0 才對(duì)應(yīng)第一個(gè)參數(shù)（因?yàn)?Java 的 static 方法中沒有 this 方法。

4. 寄存器簡(jiǎn)單實(shí)例分析

const/4 v0, 0x1 iput-boolean v0, p0, Lcom/aaa;->IsRegistered:Z

• 我們來分析一下上面的兩句 smali 代碼，首先它使用了 v0 本地寄存器，并把值 0x1 存到 v0 中，然后第二句用 iput-boolean 這個(gè)指令把 v0 中的值存放到 com.aaa.IsRegistered 這個(gè)成員變量中。
• 即相當(dāng)于：this.IsRegistered= true;（上面說過，在非static函數(shù)中p0代表的是“this”，在這里就是 com.aaa 實(shí)例）。

5. Smali中的成員變量

• 成員變量格式是：.field public/private [static] [final] varName:<類型>。

• 對(duì)于不同的成員變量也有不同的指令。

• 一般來說，獲取的指令有：iget、sget、iget-boolean、sget-boolean、iget-object、sget-object等。

• 操作的指令有：iput、sput、iput-boolean、sput-boolean、iput-object、sput-object等。

• 沒有“-object”后綴的表示操作的成員變量對(duì)象是基本數(shù)據(jù)類型，帶“-object”表示操作的成員變量是對(duì)象類型，特別地，boolean 類型則使用帶“-boolean”的指令操作。

6. Smali成員變量指令簡(jiǎn)析

(1) 簡(jiǎn)析一

sget-object v0, Lcom/aaa;->ID:Ljava/lang/String;

• sget-object就是用來獲取變量值并保存到緊接著的參數(shù)的寄存器中，本例中，它獲取ID這個(gè)String類型的成員變量并放到v0這個(gè)寄存器中。

• 注意：前面需要該變量所屬的類的類型，后面需要加一個(gè)冒號(hào)和該成員變量的類型，中間是“->”表示所屬關(guān)系。

(2) 簡(jiǎn)析二

iget-object v0, p0, Lcom/aaa;->view:Lcom/aaa/view;

• 可以看到iget-object指令比sget-object多了一個(gè)參數(shù)，就是該變量所在類的實(shí)例，在這里就是p0即“this”。

• 獲取array的話我們用aget和aget-object，指令使用和上述一致

(3) 簡(jiǎn)析三（put指令的使用和get指令是統(tǒng)一的）

const/4 v3, 0x0 sput-object v3, Lcom/aaa;->timer:Lcom/aaa/timer;

• 相當(dāng)于：this.timer= null;

• 注意，這里因?yàn)槭琴x值object 所以是null，若是boolean的話，大家想應(yīng)該相當(dāng)于什么呢？

(4) 簡(jiǎn)析四

.local v0, args:Landroid/os/Message; const/4 v1, 0x12 iput v1, v0, Landroid/os/Message;->what:I

• 相當(dāng)于：args.what = 18;（args 是 Message 的實(shí)例）

四、Smali函數(shù)分析

1. Smali中函數(shù)的調(diào)用

• smali中的函數(shù)和成員變量一樣也分為兩種類型，分別為direct和virtual之分。那么direct method和virtual method有什么區(qū)別呢？

• 簡(jiǎn)單來說，direct method 就是 private 函數(shù)，其余的 public 和 protected 函數(shù)都屬于 virtual method。所以在調(diào)用函數(shù)時(shí)，有invoke-direct，invoke-virtual，另外還有invoke-static、invoke-super以及invoke-interface等幾種不同的指令。當(dāng)然其實(shí)還有invoke-XXX/range 指令的，這是參數(shù)多于4個(gè)的時(shí)候調(diào)用的指令，比較少見，了解下即可。

• （1）.invoke-static：用于調(diào)用static函數(shù)，例如：

invoke-static {}, Lcom/aaa;->CheckSignature()Z

這里注意到 invoke-static 后面有一對(duì)大括號(hào)“{}”，其實(shí)是調(diào)用該方法的實(shí)例+參數(shù)列表，由于這個(gè)方法既不需參數(shù)也是static的，所以{}內(nèi)為空，再看一個(gè)：

const-string v0, "NDKLIB" invoke-static {v0}, Ljava/lang/System;->loadLibrary(Ljava/lang/String;)V

這個(gè)是調(diào)用 static void System.loadLibrary(String) 來加載 NDK 編譯的 so 庫用的方法，同樣也是這里 v0 就是參數(shù)”NDKLIB”了。

• （2）.invoke-super：調(diào)用父類方法用的指令，一般用于調(diào)用onCreate、onDestroy等方法。

• （3）.invoke-direct：調(diào)用private函數(shù)：

invoke-direct {p0}, Landroid/app/TabActivity;-><init>()V

這里init()就是定義在TabActivity中的一個(gè)private函數(shù)

• （4）.invoke-virtual：用于調(diào)用 protected 或 public 函數(shù)，同樣注意修改smali時(shí)不要錯(cuò)用 invoke-direct 或 invoke-static：

sget-object v0, Lcom/dddd;->bbb:Lcom/ccc; invoke-virtual {v0, v1}, Lcom/ccc;->Messages(Ljava/lang/Object;)V

這里相信大家都已經(jīng)很清楚了：

v0是bbb:Lcom/ccc

v1是傳遞給Messages方法的Ljava/lang/Object參數(shù)。

• （5）.invoke-xxxxx/range：當(dāng)方法的參數(shù)多于5個(gè)時(shí)（含5個(gè)），不能直接使用以上的指令，而是在后面加上“/range”，range表示范圍，使用方法也有所不同：

invoke-direct/range {v0 .. v5}, Lcmb/pb/ui/PBContainerActivity;->h(ILjava/lang/CharSequence;Ljava/lang/String;Landroid/content/Intent;I)Z

需要傳遞v0到v5一共6個(gè)參數(shù)，這時(shí)候大括號(hào)內(nèi)的參數(shù)采用省略形式，且需要連續(xù)。

2. Smali中函數(shù)返回結(jié)果操作

• 在Java代碼中調(diào)用函數(shù)和返回函數(shù)結(jié)果可以用一條語句完成，而在Smali里則需要分開來完成，在使用上述指令后，如果調(diào)用的函數(shù)返回非void，那么還需要用到move-result（返回基本數(shù)據(jù)類型）和move-result-object（返回對(duì)象）指令：

const-string v0, "Eric" invoke-static {v0}, Lcmb/pbi;->t(Ljava/lang/String;)Ljava/lang/String; move-result-object v2

v2保存的就是調(diào)用t方法返回的String字符串。

3. Smali中函數(shù)實(shí)體分析–if函數(shù)分析

• .method private ifRegistered()Z
• .locals 2 //在這個(gè)函數(shù)中本地寄存器的個(gè)數(shù)
• .prologue
• const/4 v0, 0x1 // v0賦值為1
• .local v0, tempFlag:Z
• if-eqz v0, :cond_0 // 判斷v0是否等于0，等于0則跳到cond_0執(zhí)行
• const/4 v1, 0x1 // 符合條件分支
• :goto_0 //標(biāo)簽
• return v1 //返回v1的值
• :cond_0 //標(biāo)簽
• const/4 v1, 0x0 // cond_0分支
• goto :goto_0 //跳到goto_0執(zhí)行 即返回v1的值 這里可以改成return v1 也是一樣的
• .end method

附加知識(shí)：

1. Smali中函數(shù)實(shí)體分析–if函數(shù)分析

const/4 v0, 0x0 //vo =0;.local v0, i:I:goto_0if-lt v0, v3, :cond_0 // v0小于v3 則跳到cond_0并執(zhí)行分支 :cond_0return-void:cond_0 // 標(biāo)簽iget-object v1, p0, Lcom/aaa/MainActivity;->listStrings:Ljava/util/List; // 引用對(duì)象const-string v2, "Eric"invoke-interface {v1, v2}, Ljava/util/List;->add(Ljava/lang/Object;)Z // List是接口, 執(zhí)行接口方法addadd-int/lit8 v0, v0, 0x1　　// 將第二個(gè)v0寄存器中的值，加上0x1的值放入第一個(gè)寄存器中, 實(shí)現(xiàn)自增長(zhǎng)goto :goto_0 // 回去:goto_0標(biāo)簽

2. Smali課后習(xí)題，翻譯成Java代碼

.locals 4const/4 v2, 0x1const/16 v1, 0x10.local v1, "length":Iif-nez v1, :cond_1:cond_0:goto_0return v2:cond_1const/4 v0, 0x0.local v0, "i":I:goto_1if-lt v0, v1, :cond_2const/16 v3, 0x28if-le v1, v3, :cond_0const/4 v2, 0x0goto :goto_0:cond_2xor-int/lit8 v1, v1, 0x3badd-int/lit8 v0, v0, 0x1goto :goto_1

五、實(shí)戰(zhàn)

筆記內(nèi)容略

參考：

[1] 吾愛破解安卓逆向入門教程（五）—Smali實(shí)戰(zhàn)分析

[2] 第五課所講的目標(biāo)軟件原版，“求破”，歡迎分享各種破解手段

總結(jié)

以上是生活随笔為你收集整理的吾爱破解安卓逆向入门教程的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。