Android逆向入门之常见Davlik字节码解析
作者:北洋~ 发布时间:2023-09-13 02:53:10
破解流程
破解Android程序流程:反编译—>分析–>修改–>回编译–>签名,这些都是在命令行中操作,当然也有集成了这些操作的工具:
macos:Android-Crack-Tool
Windows:Android Killer
相关知识
寄存器
这里解释下寄存器的概念,寄存器是用来存储
寄存器是CPU内部用来存放数据的一些小型存储区域,用来暂时存放参与运算的数据和运算结果。也就是存储来存储数据的。现在所有手机都是用的arm芯片
这里说一些题外话:比较常见的CPU有intel的X86架构的CPU的还有arm架构的CPU,其中intel的X86架构的cpu指令集有复杂指令集和精简指令集,arm中只有精简指令集。
复杂指令集和精简指令集
所谓复杂和简单就是根据是否要根据程序来设计指令来提高计算机的性能,复杂指令集会根据应用程序来增加一些复杂功能的指令集,这样也就导致CPU的指令越来越多越设计越复杂造价也越高,而精简指令集则不会根据程序来设计指令集,那么怎么提高性能?
jvm和davlik的一些区别
翻译成机器码的工作就是由高级语言的编译器来做的,把这些工作交给了编译器。所以两种区别就是复杂指令集会根据程序来增加自己的指令集达到提高计算机性能的作用,精简指令集则是交给了编译器去做指令转换的工作。由于加入了编译器的转换所以运行速度会慢,而且占用的内存也会变多,同样的程序在arm芯片的手机上和intel芯片的电脑上,手机上占用的空间更多。精简指令集的arm架构还有一个特点是其寄存器特别多,而davlik虚拟机利用这个特性对原本java虚拟机进行了改动:
java虚拟机中每个线程都会有一个PC计数器和一个java栈,PC计数器用于记录程序执行到哪个地方,java栈中用来记录java方法的调用记录叫做栈帧,每调用一个方法就会分配一个新栈并压入java栈,每个栈帧都包含局部变量区,求值栈(jvm叫做操作数栈),局部变量区用来存储方法的参数和局部变量,求值栈用于保存求值的中间结果及调用其他方法的参数。方法运算时从栈中的局部变量区取数据进行运算将结果存放在操作数栈中,最后返回的时候从操作数栈中弹出结果
而davlik虚拟机运行时中也为每一个线程维护了一个PC计数器和一个调用栈,不同的是这个调用栈中维护了一个寄存器列表,至于虚拟寄存器分配多少个是根据方法结构体中的registers字段给出,davlik虚拟机根据这个字段创建一份虚拟的寄存器列表。将java栈帧中的局部变量区和操作数栈换成了寄存器列表来存储。所以java虚拟机是基于栈架构,而davlik虚拟机基于寄存器架构
常见Davlik字节码解释
1.常见Davlik字节码:
定义字段类型:
check-cast 寄存器(操作数),定义的类型;
举例:
check-cast v0,Lcom/android/Launcher2/launcherApplication;代表定义v0的类型为LauncherApplication
字段写入字段读取(通用解释)
总结:指令 目的操作数 源操作数
前面代表指令 寄存器中的值(操作数) 所属类 变量名 变量属性
本质上指令操作的还是操作数,根据指令变量是读取还是被赋值
读取get:读取变量赋值给操作数
赋值set:赋值变量的值为操作数的值
静态字段写入:
const 寄存器 ,值所对应的ID(0X0代表为null)
sput-object 寄存器,字段所属的类;->字段名字:字段类型
const/4 v3, 0x0
sput-object v3, Lcom/disney/Class1;->globalIapHandler:Lcom/disney/config/GlobalPurchaseHandler;
将0x00(代表null)存入v3寄存器中
将v3寄存器中的值写入Class1中的globalIapHandler变量,该变量类型为GlobalPurchaseHandler,
也就是Class1.globalIapHandler = null;
静态字段读取:
sget -object 寄存器, 字段所属的类;->字段名称:字段类型
举例:
sget-object v0, Lcom/disney/Class1;->PREFS_INSTALLATION_ID:Ljava/lang/String;
读取Class1中的PREFS_INSTALLATION_ID变量,该变量类型为String
普通字段写入:
.local v0, args:Landroid/os/Message;
const/4 v1, 0x12
iput v1, v0, Landroid/os/Message;->what:I
将args变量存入v0寄存器中
将0X12传入到v1寄存器中
设置Message中的what变量为v1的值
相当于 args.what=18;
普通字段读取:
iget-object 寄存器 p0(代表该变量所在类的示例即this), 字段所属的类;->字段名字:zidaun1:字段类型
举例:
iget-object v0, p0, Lcom/disney/Class1;->_view:Lcom/disney/Class2;
从v0寄存器中拿Class1中的_view变量,这个变量类型为Class2
调用方法:
invoke-virtual {寄存器:调用者(p0代表this)和方法参数信息}, 方法所在的类;->方法名(参数) 返回值
举例:
invoke-virtual {p0},Lcom/android/Launcher2/Launcher;_>getApplication()L android/app/Application;
java实现代码为:(this.)getApplication();
调用父类方法:
invoke-super {寄存器 :代表调用者和参数},方法所属的类;->方法名称(参数类型)返回值【V代表无返回值】
invoke-super {p0,p1},Landroid/app/ActivityGroup;->onCreate(Landroid/os/Bundle;)V
调用接口:
invoke-interface {寄存器【和方法一样也是调用者和方法参数信息】}, 方法所属的接口全名;->方法名(参数类型)返回值
invoke-interface {v3,v6,v9},Landroid/content/SharedPreferences;->getBoolean(Ljava/lang/String;Z)Z
java实现代码为:v3.getBoolean(v6,v9);
判断语句:
一,if-nez(与if-eqz相反)
if-nez 寄存器(里面存储的是操作数), :标号处
如果操作数不为null或者不为0或者不相等就跳转到标号处执行代码
举例:
move resule v0 (将上一条命令的结果赋值给v0)
if-nez v0, :cond_0
(判断其值不为0【条件为真】就跳转到cond_0标号处,反之程序继续执行直到执行到return-void指令处)
二,if-eqz
表示在结果为0或者相等时跳转(与if-nez相反)
方法返回:
return-void 没有返回值
破解程序
分析修改smail文件
1.修改完smali文件安装到手机上
重新编译,回编译命令为
apktool b 文件地址
回编译中常见的错误:
1.提示"at brut.androlib.Androlib.buildResourcesFull(Androlib.java:477)"
解释:该问题为打包资源出错,程序使用的的API版本号和apkool中framework-res.apk基于Android的版本不一致导致
举例:程序使用的API版本号为25;而apkttol版本号为2.2.2其对应的framework-res.apk的版本是基于Android6.0的,
其API为23。两者不一致
解决方法为:找一台API和程序使用的API版本号一致的android设备,从中获取framework-res.apk,并把这个apk安装到本地
使用命令:
(1.)获取android设备中的framework-res.apk:
adb pull /system/framework/framework-res.apk
(2.)安装到本地apktool中
apktool if ./framework-res.apk
重新签名
编译完生成的APK文件是没有进行签名的,所以不能安装。
通过signapk对APK文件进行签名
使用命令:
cat /User/android/Program/signapk
#!/bin/sh
java -jar ~/Program/signapk_jar/signapk.jar ~/Program/signapk_jar/testkey.x509.pem ~/Program/signapk_jar/testkey.pk8 $1 signed.apk
这些文件都可以从android源码中提取。
接着完成apk的签名操作:
signapk 编译后未签名的apk文件地址
签名后完成后会在上面的文件地址里面生成sign.apk文件
来源:https://blog.csdn.net/qq_45272690/article/details/121524238
猜你喜欢
- 在项目中我们肯定不能使用Spring自己生成的登录页面,而要用我们自己的登录页面,下面讲一下如何自定义登录页面,先看下配置<sec:h
- 一、问题描述在接受 mq 消息的时候,需要做一个重试次数限制,如果超过 maxNum 就发邮件告警,不再重试。 所以我需
- 本文实例为大家分享了Java实现斗地主的具体代码,供大家参考,具体内容如下import java.util.ArrayList;import
- springboot定时任务在springboot环境下有多种方法,这里记录下使用过的其中两种;1、使用注解,2、通过实现接口的方式。使用注
- 前言 为什么在kotlin要使用协程呢,这好比去了重庆不吃火锅一样的道理。协程的概念并
- Map是键值对的集合,又叫作字典或关联数组等,是最常见的数据结构之一。在java如何让一个map按value排序呢? 看似简单,但却不容易!
- 在做项目时经常会遇到选择本地图片的需求,以前都是懒得写直接调用系统方法来选择图片,但是这样并不能实现多选效果,最近又遇到了,所以还是写一个d
- 我们知道二维数组,是在一维数组的基础上进行了维度的增加。那么在实际使用的过程中,有时候我们所需要的二维数组,它们其中的维度是不同的,这就需要
- 本节我们基于一个发表文章的案例来说明SpringBoot如何elasticsearch集成。elasticsearch本身可以是一个独立的服
- 【说明】 TextView是用来显示文本的组件。以下介绍的是XML代码中的属性,在java代码中同样可通过 ”组件名.setXXX()方法设
- 最近研究C#相关的ORC技术,图像识别一般C和C++这种底层语言做的比较多,C#主要是依托一些封装好的组件进行调用,这里介绍三种身份证识别的
- 1、回顾一下大家有没有注意到,目前讲到的所有 controller 中的方法接收到请求之后,都是有返回值的,返回值主要有 2 种类型:1、
- 基于 springboot+vue 的测试平台(练手项目)开发继续更新。在接口编辑页中点击发送接口请求,除了显示响应体外,还可以显示响应头等
- 1.什么是责任链模式当一个请求可能需要多个对象中的某个进行处理时,将这些对象连成一条链,并沿者这条链传递该请求,知道有一个对象处理它为止。这
- 1. 前言SpringBoot在包扫描时,并不会扫描子模块下的内容,这样就使得我们的子模块中的Bean无法注入到Spring容器中。Spri
- 起因我们先来看一个报错报错很简单,参数 start 没找到。我是在实现一个 API 接口时发现了一个问题,当我不使用 @Param 标签时,
- 让我们来看看这段代码: import java.util.BitSet;import java.util.concurrent.C
- 前言在日常的开发中StringBuilder大家肯定都有用过,甚至用的很多。毕竟大家都知道一个不成文的规范,当需要高频的大量的构建字符串的时
- 引言设计: 嗯? 这个图片点击跳转进详情再返回图片怎么变白闪一下呢?产品: 是啊是啊! 一定是个bug开发: 囧囧囧在开发过程中, 也许你也
- Spring2.5.6开发环境搭建的过程,供大家参考,具体内容如下1、jar 包准备:spring 2.5.6 的 jar 包(链接: ht