&nbsp>&nbsp
&nbsp>&nbsp
&nbsp>&nbsp
吾爱破解安卓逆向入门教程
摘要：来源:吾爱破解安卓逆向入门教程(1-5)笔记作者:加菲猫一、环境配置安装javajdk,并设置好环境变量。测试:java-version二、初识APK、Dalvik字节码以及Smali1.apk是什么?apk实质上是一个zip压缩包,将apk后缀修改为zip,解压之后可以看到其内部结构:2.apk的组成assets:资源目录1,assets和res都是资源目录但有所区别:res目录下的资源文件在编译时会自动生成索引文件(R.java),在Java代码中勇R.xxx.yyy来引
来源:吾爱破解安卓逆向入门教程(1-5)笔记
作者:加菲猫
一、环境配置
安装 java jdk,并设置好环境变量。
测试: java -version
二、初识 APK、Dalvik字节码以及Smali
1. apk是什么?
apk实质上是一个zip压缩包,将apk后缀修改为zip,解压之后可以看到其内部结构:
2. apk 的组成
assets: 资源目录1,assets 和 res 都是资源目录但有所区别:
res 目录下的资源文件在编译时会自动生成索引文件(R.java),在Java代码中勇R.xxx.yyy来引用;而asset 目录下的资源文件不需要生成索引,在Java 代码中需要用AssetManager来访问;
一般来说,除了音频和视频资源(需要放在raw或asset下),使用Java开发的Android工程使用到的资源文件都会放在res下;使用C++游戏引擎(或使用 Lua Unity3D等)的资源文件均需要放在 assets 下。
lib: so 库存放位置,一般由NDK编译得到,常见于使用游戏引擎或 JNI native调用的工程中
META-INF: 存放工程一些属性文件,例如 Manifest.MF
res: 资源目录2,
AndroidManifest.xml: Android工程的基础配置属性文件
classes.dex: Java代码编译得到的 Dalvik VM 能直接执行的文件
resources.arsc: 对res 目录下的资源的一个索引文件,保存了原工程中 strings.xml等文件内容
其他文件夹等
3. Dalvik字节码(学习破解的基础)
Dalvik 是 google 专门为 Android 操作系统设计的一个虚拟机,经过深度优化。虽然 Android 上的程序是使用 java 来开发的,但是 Dalvik 和标准的 java 虚拟机 JVM 还是两回事。Dalvik VM 是基于寄存器的,而 JVM 是基于栈的;Dalvik有专属的文件执行格式 dex (dalvik executable),而 JVM 则执行的是 java 字节码。Dalvik VM 比 JVM 速度更快,占用空间更少。
通过 Dalvik 的字节码我们不能直接看到原来的逻辑代码,这时需要借助如 Apktool 或 dex2jar+jd-gui 工具来帮助查看。但是,我们最终修改 APK 需要操作的文件是 .smali 文件,而不是导出来的 Java 文件重新编译。
4. Smali(破解的重中之重)
Smali,Baksmali 分别是指安卓系统里的 Java 虚拟机(Dalvik)所使用的一种 dex 格式文件的汇编器,反汇编器。其语法是一种宽松式的 Jasmin/dedexer 语法,而且它实现了 .dex 格式所有功能(注解,调试信息,线路信息等)
当我们对 APK 文件进行反编译后,便会生成此类文件。在Davlik字节码中,寄存器都是32位的,能够支持任何类型,64位类型(Long/Double)用2个寄存器表示;Dalvik字节码有两种类型:原始类型;引用类型(包括对象和数组)
Z—boolean
[XXX—array
Lxxx/yyy—object
这里解析下最后两项,数组的表示方式是:在基本类型前加上前中括号“[”,例如 int 数组和 float 数组分别表示为:[I、[F;对象的表示则以 L 作为开头,格式是 LpackageName/objectN(注意必须有个分号跟在最后),例如 String 对象在 smali 中为:Ljava/lang/S,其中 java/lang 对应 java.lang 包,String 就是定义在该包中的一个对象。
或许有人问,既然类是用 LpackageName/objectN 来表示,那类里面的内部类又如何在 smali 中引用呢?答案是:LpackageName/objectName
subObjectName;。也就是在内部类前加“
”符号,关于“$”符号更多的规则将在后面谈到.
方法的定义
Func-Name (Para-Type1Para-Type2Para-Type3…)Return-Type
注意参数与参数之间没有任何分隔符,举例如下:
没错,这就是void hello()。
hello (III)Z
这个则是boolean hello(int, int, int)。
hello (Z[I[ILjava/lang/SJ)Ljava/lang/S
看出来这是String hello (boolean, int[], int[], String, long) 了吗?
Smali基本语法
.field private isFlag:z 定义变量
.method 方法
.parameter 方法参数
.prologue 方法开始
.line 123 此方法位于第123行
invoke-super 调用父函数
const/high16 v0, 0x7fo3 把0x7fo3赋值给v0
invoke-direct 调用函数
return-void 函数返回void
.end method 函数结束
new-instance 创建实例
iput-object 对象赋值
iget-object 调用对象
invoke-static 调用静态函数
条件跳转分支
&if-eq vA, vB, :cond_**& 如果vA等于vB则跳转到:cond_** &if-ne vA, vB, :cond_**& 如果vA不等于vB则跳转到:cond_** &if-lt vA, vB, :cond_**& 如果vA小于vB则跳转到:cond_** &if-ge vA, vB, :cond_**& 如果vA大于等于vB则跳转到:cond_** &if-gt vA, vB, :cond_**& 如果vA大于vB则跳转到:cond_** &if-le vA, vB, :cond_**& 如果vA小于等于vB则跳转到:cond_** &if-eqz vA, :cond_**& 如果vA等于0则跳转到:cond_** &if-nez vA, :cond_**& 如果vA不等于0则跳转到:cond_** &if-ltz vA, :cond_**& 如果vA小于0则跳转到:cond_** &if-gez vA, :cond_**& 如果vA大于等于0则跳转到:cond_** &if-gtz vA, :cond_**& 如果vA大于0则跳转到:cond_** &if-lez vA, :cond_**& 如果vA小于等于0则跳转到:cond_**
三、深入 Smali 文件
1. Smali中的包信息
.class public Lcom/ (它是com.aaaaa这个package下的一个类)
.super Lcom/ (继承自com.bbbbb这个类)
.source “ccccc.java” (一个由ccccc.java编译得到的smali文件)
2. Smali中的声明
一般来说,在Smali文件中声明如下: # annotations.annotation system Ldalvik/annotation/MemberCvalue = {Lcom/aaa$,Lcom/aaa$}.end annotation//这个声明是内部类的声明:aaa这个类它有两个成员内部类——qqq和www,内部类将在后面小节中会有提及。
3. 关于寄存器的知识补充
寄存器是什么意思呢?在 smali 里的所有操作都必须经过寄存器来进行:本地寄存器用 v 开头,数字结尾的符号来表示,如v0、v1、v2、…参数寄存器则使用 p 开头,数字结尾的符号来表示,如p0、p1、p2、…特别注意的是,p0 不一定是函数中的第一个参数,在非 static 函数中,p0 代指“this”,p1 表示函数的第一个参数,p2 代表函数中的第二个参数…而在 static 函数中 p0 才对应第一个参数(因为 Java 的 static 方法中没有 this 方法。
4. 寄存器简单实例分析 const/4 v0, 0x1iput-boolean v0, p0, Lcom/-&IsRegistered:Z
我们来分析一下上面的两句 smali 代码,首先它使用了 v0 本地寄存器,并把值 0x1 存到 v0 中,然后第二句用 iput-boolean 这个指令把 v0 中的值存放到 com.aaa.IsRegistered 这个成员变量中。
即相当于:this.IsRegistered=(上面说过,在非static函数中p0代表的是“this”,在这里就是 com.aaa 实例)。
5. Smali中的成员变量
成员变量格式是:.field public/private [static] [final] varName:&类型&。
对于不同的成员变量也有不同的指令。
一般来说,获取的指令有:iget、sget、iget-boolean、sget-boolean、iget-object、sget-object等。
操作的指令有:iput、sput、iput-boolean、sput-boolean、iput-object、sput-object等。
没有“-object”后缀的表示操作的成员变量对象是基本数据类型,带“-object”表示操作的成员变量是对象类型,特别地,boolean 类型则使用带“-boolean”的指令操作。
6. Smali成员变量指令简析
(1) 简析一 sget-object v0, Lcom/-&ID:Ljava/lang/S
sget-object就是用来获取变量值并保存到紧接着的参数的寄存器中,本例中,它获取ID这个String类型的成员变量并放到v0这个寄存器中。
注意:前面需要该变量所属的类的类型,后面需要加一个冒号和该成员变量的类型,中间是“-&”表示所属关系。
(2) 简析二 iget-object v0, p0, Lcom/-&view:Lcom/aaa/
可以看到iget-object指令比sget-object多了一个参数,就是该变量所在类的实例,在这里就是p0即“this”。
获取array的话我们用aget和aget-object,指令使用和上述一致
(3) 简析三(put指令的使用和get指令是统一的) const/4 v3, 0x0sput-object v3, Lcom/-&timer:Lcom/aaa/
相当于:this.timer=
注意,这里因为是赋值object 所以是null,若是boolean的话,大家想应该相当于什么呢?
(4) 简析四 .local v0, args:Landroid/os/Mconst/4 v1, 0x12iput v1, v0, Landroid/os/M-&what:I
相当于:args.what = 18;(args 是 Message 的实例)
四、Smali函数分析
1. Smali中函数的调用
smali中的函数和成员变量一样也分为两种类型,分别为direct和virtual之分。那么direct method和virtual method有什么区别呢?
简单来说,direct method 就是 private 函数,其余的 public 和 protected 函数都属于 virtual method。所以在调用函数时,有invoke-direct,invoke-virtual,另外还有invoke-static、invoke-super以及invoke-interface等几种不同的指令。当然其实还有invoke-XXX/range 指令的,这是参数多于4个的时候调用的指令,比较少见,了解下即可。
(1).invoke-static:用于调用static函数,例如:
invoke-static {}, Lcom/-&CheckSignature()Z
这里注意到 invoke-static 后面有一对大括号“{}”,其实是调用该方法的实例+参数列表,由于这个方法既不需参数也是static的,所以{}内为空,再看一个: const-string v0, &NDKLIB& invoke-static {v0}, Ljava/lang/S-&loadLibrary(Ljava/lang/S)V
这个是调用 static void System.loadLibrary(String) 来加载 NDK 编译的 so 库用的方法,同样也是这里 v0 就是参数”NDKLIB”了。
(2).invoke-super:调用父类方法用的指令,一般用于调用onCreate、onDestroy等方法。
(3).invoke-direct:调用private函数:
invoke-direct {p0}, Landroid/app/TabA-&&init&()V
这里init()就是定义在TabActivity中的一个private函数
(4).invoke-virtual:用于调用 protected 或 public 函数,同样注意修改smali时不要错用 invoke-direct 或 invoke-static:
sget-object v0, Lcom/-&bbb:Lcom/invoke-virtual {v0, v1}, Lcom/-&Messages(Ljava/lang/O)V
这里相信大家都已经很清楚了:
v0是bbb:Lcom/ccc
v1是传递给Messages方法的Ljava/lang/Object参数。
(5).invoke-xxxxx/range:当方法的参数多于5个时(含5个),不能直接使用以上的指令,而是在后面加上“/range”,range表示范围,使用方法也有所不同:
invoke-direct/range {v0 .. v5}, Lcmb/pb/ui/PBContainerA-&h(ILjava/lang/CharSLjava/lang/SLandroid/content/II)Z
需要传递v0到v5一共6个参数,这时候大括号内的参数采用省略形式,且需要连续。
2. Smali中函数返回结果操作
在Java代码中调用函数和返回函数结果可以用一条语句完成,而在Smali里则需要分开来完成,在使用上述指令后,如果调用的函数返回非void,那么还需要用到move-result(返回基本数据类型)和move-result-object(返回对象)指令:
const-string v0, &Eric&invoke-static {v0}, Lcmb/-&t(Ljava/lang/S)Ljava/lang/Smove-result-object v2
v2保存的就是调用t方法返回的String字符串。
3. Smali中函数实体分析–if函数分析
.method private ifRegistered()Z
.locals 2 //在这个函数中本地寄存器的个数
const/4 v0, 0x1 // v0赋值为1
.local v0, tempFlag:Z
if-eqz v0, :cond_0 // 判断v0是否等于0,等于0则跳到cond_0执行
const/4 v1, 0x1 // 符合条件分支
:goto_0 //标签
return v1 //返回v1的值
:cond_0 //标签
const/4 v1, 0x0 // cond_0分支
goto :goto_0 //跳到goto_0执行 即返回v1的值 这里可以改成return v1 也是一样的
.end method
1. Smali中函数实体分析–if函数分析 const/4 v0, 0x0 //vo =0;.local v0, i:I:goto_0if-lt v0, v3, :cond_0 // v0小于v3 则跳到cond_0并执行分支 :cond_0return-void :cond_0 // 标签iget-object v1, p0, Lcom/aaa/MainA-&listStrings:Ljava/util/L // 引用对象const-string v2, &Eric&invoke-interface {v1, v2}, Ljava/util/L-&add(Ljava/lang/O)Z // List是接口, 执行接口方法addadd-int/lit8 v0, v0, 0x1 // 将第二个v0寄存器中的值,加上0x1的值放入第一个寄存器中, 实现自增长goto :goto_0 // 回去:goto_0标签
2. Smali课后习题,翻译成Java代码 .locals 4const/4 v2, 0x1const/16 v1, 0x10.local v1, &length&:Iif-nez v1, :cond_1:cond_0:goto_0return v2:cond_1const/4 v0, 0x0.local v0, &i&:I:goto_1if-lt v0, v1, :cond_2const/16 v3, 0x28if-le v1, v3, :cond_0const/4 v2, 0x0goto :goto_0:cond_2xor-int/lit8 v1, v1, 0x3badd-int/lit8 v0, v0, 0x1goto :goto_1
笔记内容略
[1] 吾爱破解安卓逆向入门教程(五)—Smali实战分析
[2] 第五课所讲的目标软件原版,“求破”,欢迎分享各种破解手段
以上是的内容，更多
的内容，请您使用右上方搜索功能获取相关信息。
若你要投稿、删除文章请联系邮箱：zixun-group@service.aliyun.com,工作人员会在五个工作日内给你回复。
云服务器 ECS
可弹性伸缩、安全稳定、简单易用
&40.8元/月起
预测未发生的攻击
&24元/月起
邮箱低至5折
推荐购买再奖现金，最高25%
&200元/3月起
你可能还喜欢
你可能感兴趣
阿里云教程中心为您免费提供
吾爱破解安卓逆向入门教程相关信息，包括
的信息，所有吾爱破解安卓逆向入门教程相关内容均不代表阿里云的意见！投稿删除文章请联系邮箱：zixun-group@service.aliyun.com，工作人员会在五个工作日内答复
售前咨询热线
支持与服务
资源和社区
关注阿里云
International学习反汇编，程序逆向分析等需要掌握哪些知识_百度知道
学习反汇编，程序逆向分析等需要掌握哪些知识
我有更好的答案
需要掌握以下知识：●接口设计。由于互操作性，逆向工程被用来找出系统之间的协作协议。●军事或商业机密。窃取敌人或竞争对手的最新研究或产品原型。●改善文档。当原有的文档有不充分处，又当系统被更新而原设计人员不在时，逆向工程被用来获取所需数据，以补充说明或了解系统的最新状态。●软件升级或更新。出于功能、合规、安全等需求更改，逆向工程被用来了解现有或遗留软件系统，以评估更新或移植系统所需的工作。●制造没有许可/未授权的副本。●学术/学习目的。●去除复制保护和伪装的登录权限。●文件丢失：采取逆向工程的情况往往是在某一个特殊设备的文件已经丢失了（或者根本就没有），同时又找不到工程的负责人。完整的系统时常需要基于陈旧的系统上进行再设计，这就意味着想要集成原有的功能进行项目的唯一方法，便是采用逆向工程的方法，分析已有的碎片进行再设计。●产品分析：用于调查产品的运作方式，部件构成，估计预算，识别潜在的侵权行为。
采纳率：85%
来自团队：
为您推荐：
其他类似问题
勃兰兑斯的相关知识
换一换
回答问题，赢新手礼包
个人、企业类
违法有害信息,请在下方选择后提交
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。想学好软件逆向有什么好书可推荐？ - 知乎60被浏览<strong class="NumberBoard-itemValue" title="分享邀请回答254 条评论分享收藏感谢收起《加密与解密》第三版；《琢石成器—Windows环境下32位汇编语言程序设计》.罗云彬.第三版；《windows高级编程》；《C++反汇编与逆向分析技术解密》；《windows编程循序渐进》《程序员密码学》
1添加评论分享收藏感谢收起写回答&&|&&&&|&&&&|&&&&|&&&&|&&&&|&&&&|&&&&|&&&&|&&&&|&&&&|&&
电脑模拟逆向破解 让核心技术应用大型工程
　　 不需要漫长的工程经验积累，而是利用电脑模拟技术，逆向破解国外先进技术，在获取了关键参数后，将核心技术从实验室阶段直接应用于大型工程项目。
　　这种创新技术转化方式乍听像天方夜谭，但日前却在江苏太仓发电厂2台135万千瓦发电机组的烟气脱硫项目中成功实现，其脱硫效率达到国际先进水平，一举突破了国内自主技术难以大型化的困局。
　　太仓发电厂使用的湿法烟气脱硫核心技术（OI2-WFGD）具有我国自主知识产权。该项技术的发明人、苏源环保公司总工程师孙克勤告诉记者，湿法烟气脱硫是国外普遍采用的脱硫方法，因为脱硫效率高，被发达国家超过90％的电厂采用。孙克勤于1997年作为中方技术代表，参与中日合作试点―――扬州火电厂烟气脱硫项目建设，他与同事运用先进的计算机模拟技术，“逆向”破解核心技术，获得关键的技术参数。还与东南大学等几家高校合作，在一些关键技术上获得实验室与中试阶段的突破，最终开发出具有自主知识产权的核心技术。他说，用“逆向工程”破解技术难题，实质就是在国际先进技术的基础上搞自主开发，相当于站在巨人的肩膀上攀登，能够实现技术跨越。目前，湿法烟气脱硫核心技术（OI2-WFGD）已经申请了7项国家专利，成功应用于太仓发电厂，近日通过了省级鉴定。
　　国内著名烟气除尘专家、南京理工大学教授钟泰认为，孙克勤领导研发烟气脱硫核心技术获得成功，采用的是技术研发依托工程，工程建设促进技术研发的策略，为我国其它行业的技术研究和大型化提供了蓝本。
特别声明：本站注明稿件来源为其他媒体的文/图等稿件均为转载稿，本站转载出于非商业性的教育和科研之目的，并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题，请作者在两周内速来电或来函联系。
版权所有：中国教育和科研计算机网网络中心
Copyright &
,,京ICP备号,
| 有任何问题与建议请联络：