來源：吾愛破解安卓逆向入門教程（1-5）筆記

作者：加菲貓

一、環境配置

安裝 java jdk，并設置好環境變量。

測試： java -version

二、初識 APK、Dalvik字節碼以及Smali

1. apk是什么？

apk實質上是一個zip壓縮包，將apk后綴修改為zip，解壓之后可以看到其內部結構：

2. apk 的組成

assets： 資源目錄1，assets 和 res 都是資源目錄但有所區別：

res 目錄下的資源文件在編譯時會自動生成索引文件（R.java），在Java代碼中勇R.xxx.yyy來引用；而asset 目錄下的資源文件不需要生成索引，在Java 代碼中需要用AssetManager來訪問；

一般來說，除了音頻和視頻資源（需要放在raw或asset下），使用Java開發的Android工程使用到的資源文件都會放在res下；使用C++游戲引擎（或使用 Lua Unity3D等）的資源文件均需要放在 assets 下。

lib： so 庫存放位置，一般由NDK編譯得到，常見于使用游戲引擎或 JNI native調用的工程中

META-INF： 存放工程一些屬性文件，例如 Manifest.MF

res： 資源目錄2，

AndroidManifest.xml： Android工程的基礎配置屬性文件

classes.dex： Java代碼編譯得到的 Dalvik VM 能直接執行的文件

resources.arsc： 對res 目錄下的資源的一個索引文件，保存了原工程中 strings.xml等文件內容

其他文件夾等

3. Dalvik字節碼（學習破解的基礎）

• Dalvik 是 google 專門為 Android 操作系統設計的一個虛擬機，經過深度優化。雖然 Android 上的程序是使用 java 來開發的，但是 Dalvik 和標準的 java 虛擬機 JVM 還是兩回事。Dalvik VM 是基于寄存器的，而 JVM 是基于棧的；Dalvik有專屬的文件執行格式 dex （dalvik executable），而 JVM 則執行的是 java 字節碼。Dalvik VM 比 JVM 速度更快，占用空間更少。

• 通過 Dalvik 的字節碼我們不能直接看到原來的邏輯代碼，這時需要借助如 Apktool 或 dex2jar+jd-gui 工具來幫助查看。但是，我們最終修改 APK 需要操作的文件是 .smali 文件，而不是導出來的 Java 文件重新編譯。

4. Smali（破解的重中之重）

• Smali，Baksmali 分別是指安卓系統里的 Java 虛擬機（Dalvik）所使用的一種 dex 格式文件的匯編器，反匯編器。其語法是一種寬松式的 Jasmin/dedexer 語法，而且它實現了 .dex 格式所有功能（注解，調試信息，線路信息等）

• 當我們對 APK 文件進行反編譯后，便會生成此類文件。在Davlik字節碼中，寄存器都是32位的，能夠支持任何類型，64位類型（Long/Double）用2個寄存器表示；Dalvik字節碼有兩種類型：原始類型；引用類型（包括對象和數組）

• 原始類型：

• B—byte
• C—char
• D—double
• F—float
• I—int
• J—long
• S—short
• V—void
• Z—boolean
• [XXX—array
• Lxxx/yyy—object

這里解析下最后兩項，數組的表示方式是：在基本類型前加上前中括號“[”，例如 int 數組和 float 數組分別表示為：[I、[F；對象的表示則以 L 作為開頭，格式是 LpackageName/objectName;（注意必須有個分號跟在最后），例如 String 對象在 smali 中為：Ljava/lang/String;，其中 java/lang 對應 java.lang 包，String 就是定義在該包中的一個對象。

或許有人問，既然類是用 LpackageName/objectName; 來表示，那類里面的內部類又如何在 smali 中引用呢？答案是：LpackageName/objectNamesubObjectName;。也就是在內部類前加“”符號，關于“$”符號更多的規則將在后面談到.

• 方法的定義

Func-Name (Para-Type1Para-Type2Para-Type3…)Return-Type

注意參數與參數之間沒有任何分隔符，舉例如下：

hello ()V

沒錯，這就是void hello()。

hello (III)Z

這個則是boolean hello(int, int, int)。

hello (Z[I[ILjava/lang/String;J)Ljava/lang/String;

看出來這是String hello (boolean, int[], int[], String, long) 了嗎？

• Smali基本語法

• .field private isFlag:z　　定義變量
• .method　　方法
• .parameter　　方法參數
• .prologue　　方法開始
• .line 123　　此方法位于第123行
• invoke-super　　調用父函數
• const/high16 v0, 0x7fo3　　把0x7fo3賦值給v0
• invoke-direct　　調用函數
• return-void　　函數返回void
• .end method　　函數結束
• new-instance　　創建實例
• iput-object　　對象賦值
• iget-object　　調用對象
• invoke-static　　調用靜態函數

• 條件跳轉分支

"if-eq vA, vB, :cond_**" 如果vA等于vB則跳轉到:cond_**"if-ne vA, vB, :cond_**" 如果vA不等于vB則跳轉到:cond_**"if-lt vA, vB, :cond_**" 如果vA小于vB則跳轉到:cond_**"if-ge vA, vB, :cond_**" 如果vA大于等于vB則跳轉到:cond_**"if-gt vA, vB, :cond_**" 如果vA大于vB則跳轉到:cond_**"if-le vA, vB, :cond_**" 如果vA小于等于vB則跳轉到:cond_**"if-eqz vA, :cond_**" 如果vA等于0則跳轉到:cond_**"if-nez vA, :cond_**" 如果vA不等于0則跳轉到:cond_**"if-ltz vA, :cond_**" 如果vA小于0則跳轉到:cond_**"if-gez vA, :cond_**" 如果vA大于等于0則跳轉到:cond_**"if-gtz vA, :cond_**" 如果vA大于0則跳轉到:cond_**"if-lez vA, :cond_**" 如果vA小于等于0則跳轉到:cond_**

三、深入 Smali 文件

1. Smali中的包信息

• .class public Lcom/aaaaa; （它是com.aaaaa這個package下的一個類）
• .super Lcom/bbbbb; （繼承自com.bbbbb這個類）
• .source “ccccc.java” （一個由ccccc.java編譯得到的smali文件）

2. Smali中的聲明

一般來說，在Smali文件中聲明如下：

# annotations.annotation system Ldalvik/annotation/MemberClasses; value = { Lcom/aaa$qqq;, Lcom/aaa$www; } .end annotation//這個聲明是內部類的聲明：aaa這個類它有兩個成員內部類——qqq和www，內部類將在后面小節中會有提及。

3. 關于寄存器的知識補充

• 寄存器是什么意思呢？在 smali 里的所有操作都必須經過寄存器來進行：本地寄存器用 v 開頭，數字結尾的符號來表示，如v0、v1、v2、…參數寄存器則使用 p 開頭，數字結尾的符號來表示，如p0、p1、p2、…特別注意的是，p0 不一定是函數中的第一個參數，在非 static 函數中，p0 代指“this”，p1 表示函數的第一個參數，p2 代表函數中的第二個參數…而在 static 函數中 p0 才對應第一個參數（因為 Java 的 static 方法中沒有 this 方法。

4. 寄存器簡單實例分析

const/4 v0, 0x1 iput-boolean v0, p0, Lcom/aaa;->IsRegistered:Z

• 我們來分析一下上面的兩句 smali 代碼，首先它使用了 v0 本地寄存器，并把值 0x1 存到 v0 中，然后第二句用 iput-boolean 這個指令把 v0 中的值存放到 com.aaa.IsRegistered 這個成員變量中。
• 即相當于：this.IsRegistered= true;（上面說過，在非static函數中p0代表的是“this”，在這里就是 com.aaa 實例）。

5. Smali中的成員變量

• 成員變量格式是：.field public/private [static] [final] varName:<類型>。

• 對于不同的成員變量也有不同的指令。

• 一般來說，獲取的指令有：iget、sget、iget-boolean、sget-boolean、iget-object、sget-object等。

• 操作的指令有：iput、sput、iput-boolean、sput-boolean、iput-object、sput-object等。

• 沒有“-object”后綴的表示操作的成員變量對象是基本數據類型，帶“-object”表示操作的成員變量是對象類型，特別地，boolean 類型則使用帶“-boolean”的指令操作。

6. Smali成員變量指令簡析

(1) 簡析一

sget-object v0, Lcom/aaa;->ID:Ljava/lang/String;

• sget-object就是用來獲取變量值并保存到緊接著的參數的寄存器中，本例中，它獲取ID這個String類型的成員變量并放到v0這個寄存器中。

• 注意：前面需要該變量所屬的類的類型，后面需要加一個冒號和該成員變量的類型，中間是“->”表示所屬關系。

(2) 簡析二

iget-object v0, p0, Lcom/aaa;->view:Lcom/aaa/view;

• 可以看到iget-object指令比sget-object多了一個參數，就是該變量所在類的實例，在這里就是p0即“this”。

• 獲取array的話我們用aget和aget-object，指令使用和上述一致

(3) 簡析三（put指令的使用和get指令是統一的）

const/4 v3, 0x0 sput-object v3, Lcom/aaa;->timer:Lcom/aaa/timer;

• 相當于：this.timer= null;

• 注意，這里因為是賦值object 所以是null，若是boolean的話，大家想應該相當于什么呢？

(4) 簡析四

.local v0, args:Landroid/os/Message; const/4 v1, 0x12 iput v1, v0, Landroid/os/Message;->what:I

• 相當于：args.what = 18;（args 是 Message 的實例）

四、Smali函數分析

1. Smali中函數的調用

• smali中的函數和成員變量一樣也分為兩種類型，分別為direct和virtual之分。那么direct method和virtual method有什么區別呢？

• 簡單來說，direct method 就是 private 函數，其余的 public 和 protected 函數都屬于 virtual method。所以在調用函數時，有invoke-direct，invoke-virtual，另外還有invoke-static、invoke-super以及invoke-interface等幾種不同的指令。當然其實還有invoke-XXX/range 指令的，這是參數多于4個的時候調用的指令，比較少見，了解下即可。

• （1）.invoke-static：用于調用static函數，例如：

invoke-static {}, Lcom/aaa;->CheckSignature()Z

這里注意到 invoke-static 后面有一對大括號“{}”，其實是調用該方法的實例+參數列表，由于這個方法既不需參數也是static的，所以{}內為空，再看一個：

const-string v0, "NDKLIB" invoke-static {v0}, Ljava/lang/System;->loadLibrary(Ljava/lang/String;)V

這個是調用 static void System.loadLibrary(String) 來加載 NDK 編譯的 so 庫用的方法，同樣也是這里 v0 就是參數”NDKLIB”了。

• （2）.invoke-super：調用父類方法用的指令，一般用于調用onCreate、onDestroy等方法。

• （3）.invoke-direct：調用private函數：

invoke-direct {p0}, Landroid/app/TabActivity;-><init>()V

這里init()就是定義在TabActivity中的一個private函數

• （4）.invoke-virtual：用于調用 protected 或 public 函數，同樣注意修改smali時不要錯用 invoke-direct 或 invoke-static：

sget-object v0, Lcom/dddd;->bbb:Lcom/ccc; invoke-virtual {v0, v1}, Lcom/ccc;->Messages(Ljava/lang/Object;)V

這里相信大家都已經很清楚了：

v0是bbb:Lcom/ccc

v1是傳遞給Messages方法的Ljava/lang/Object參數。

• （5）.invoke-xxxxx/range：當方法的參數多于5個時（含5個），不能直接使用以上的指令，而是在后面加上“/range”，range表示范圍，使用方法也有所不同：

invoke-direct/range {v0 .. v5}, Lcmb/pb/ui/PBContainerActivity;->h(ILjava/lang/CharSequence;Ljava/lang/String;Landroid/content/Intent;I)Z

需要傳遞v0到v5一共6個參數，這時候大括號內的參數采用省略形式，且需要連續。

2. Smali中函數返回結果操作

• 在Java代碼中調用函數和返回函數結果可以用一條語句完成，而在Smali里則需要分開來完成，在使用上述指令后，如果調用的函數返回非void，那么還需要用到move-result（返回基本數據類型）和move-result-object（返回對象）指令：

const-string v0, "Eric" invoke-static {v0}, Lcmb/pbi;->t(Ljava/lang/String;)Ljava/lang/String; move-result-object v2

v2保存的就是調用t方法返回的String字符串。

3. Smali中函數實體分析–if函數分析

• .method private ifRegistered()Z
• .locals 2 //在這個函數中本地寄存器的個數
• .prologue
• const/4 v0, 0x1 // v0賦值為1
• .local v0, tempFlag:Z
• if-eqz v0, :cond_0 // 判斷v0是否等于0，等于0則跳到cond_0執行
• const/4 v1, 0x1 // 符合條件分支
• :goto_0 //標簽
• return v1 //返回v1的值
• :cond_0 //標簽
• const/4 v1, 0x0 // cond_0分支
• goto :goto_0 //跳到goto_0執行 即返回v1的值 這里可以改成return v1 也是一樣的
• .end method

附加知識：

1. Smali中函數實體分析–if函數分析

const/4 v0, 0x0 //vo =0;.local v0, i:I:goto_0if-lt v0, v3, :cond_0 // v0小于v3 則跳到cond_0并執行分支 :cond_0return-void:cond_0 // 標簽iget-object v1, p0, Lcom/aaa/MainActivity;->listStrings:Ljava/util/List; // 引用對象const-string v2, "Eric"invoke-interface {v1, v2}, Ljava/util/List;->add(Ljava/lang/Object;)Z // List是接口, 執行接口方法addadd-int/lit8 v0, v0, 0x1　　// 將第二個v0寄存器中的值，加上0x1的值放入第一個寄存器中, 實現自增長goto :goto_0 // 回去:goto_0標簽

2. Smali課后習題，翻譯成Java代碼

.locals 4const/4 v2, 0x1const/16 v1, 0x10.local v1, "length":Iif-nez v1, :cond_1:cond_0:goto_0return v2:cond_1const/4 v0, 0x0.local v0, "i":I:goto_1if-lt v0, v1, :cond_2const/16 v3, 0x28if-le v1, v3, :cond_0const/4 v2, 0x0goto :goto_0:cond_2xor-int/lit8 v1, v1, 0x3badd-int/lit8 v0, v0, 0x1goto :goto_1

五、實戰

筆記內容略

參考：

[1] 吾愛破解安卓逆向入門教程（五）—Smali實戰分析

[2] 第五課所講的目標軟件原版，“求破”，歡迎分享各種破解手段

總結

以上是生活随笔為你收集整理的吾爱破解安卓逆向入门教程的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。