博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
[Android Security] Smali和逆向分析
阅读量:6477 次
发布时间:2019-06-23

本文共 5238 字,大约阅读时间需要 17 分钟。

copy : https://blog.csdn.net/u012573920/article/details/44034397

1.Smali简介

Smali是Dalvik的寄存器语言,它与Java的关系,简单理解就是汇编之于C。假如你对汇编有足够的驾驭能力,那你可以通过修改汇编代码来改变C/C++代码的走向。当然,学过汇编的都清楚,汇编比还难学,更不用说去反编译修改了。

但是Smali有一点不一样,就是它很简单,只有一点点的语法,只要你会java,了解Android的相关知识,那你完全可以通过修改Smali代码来反向修改java代码,虽然绕了一点,但是在某些情况下你不得不这么做。还好,Smali很简单。

2.apktool

说了这么多,还没有说Smali哪来?没错。Smali代码是安卓APK反编译而来的,所以Smali文件和Java文件一一对应。获取Smali文件,我们需要下载一个辅助工具:。apktool这个命令行工具如果详细使用功能参数是比较多的,但是这里我们只需要用到2个最基础的功能:

一个是反编译decode:

apktool d xxx.apk

另一个是打包build:

apktool b

这里要注意的是路径问题,apktool如果没有加入到环境变量中,记得cd到apktool的目录去使用它。另一个是打包,如果只是简单的使用参数b,那要求是要在反编译出来的项目目录下执行,而打包好的文件会保存在这个项目目录下的dist目录。

这是一个HelloWorld的应用程序反编译和打包的目录结构:

3.Smali语法

(1)数据类型

 

dalvik字节码有两种类型,原始类型和引用类型。对象和数组是引用类型,其它都是原始类型。

smali数据类型都是用一个字母表示,如果你熟悉Java的数据类型,你会发现表示smali数据类型的字母其实是Java基本数据类型首字母的大写,除boolean类型外,在smail中用大写的”Z”表示boolean类型。

V void,只能用于返回值类型
Z boolean
B byte
S short
C char
I int
J long (64 bits)
F float
D double (64 bits)

 对象以Lpackage/name/ObjectName;的形式表示。前面的L表示这是一个对象类型,package/name/是该对象所在的包,ObjectName是对象的名字,“;”表示对象名称的结束。相当于java中的package.name.ObjectName。

例如:Ljava/lang/String;相当于java.lang.String

 

数组的表示形式

[I——表示一个整型一维数组,相当于java中的int[]。对于多维数组,只要增加[就行了。[[I相当于int[][],[[[I相当于int[][][]。注意每一维的最多255个。

 对象数组的表示

[Ljava/lang/String;表示一个String对象数组。

(2)方法

 

方法通常必须详细的指定方法类型(?the type that contains the method) 方法名,参数类型,返回类型,所有这些信息都是为虚拟机是能够找到正确的方法并执行。

方法表示形式:Lpackage/name/ObjectName;->MethodName(III)Z

在上面的例子中,Lpackage/name/ObjectName;表示类型,MethodName是方法名。III为参数(在此是3个整型参数),Z是返回类型(bool型)。

方法的参数是一个接一个的,中间没有隔开。

一个更复杂的例子:method(I[[IILjava/lang/String;[Ljava/lang/Object;)Ljava/lang/String;

在java中则为:String method(int, int[][], int, String, Object[])

一个比较全面的例子:

.class public interface abstract Lcom/kit/network/CachableImage;  .super Ljava/lang/Object;  .source "SourceFile"    # virtual methods  .method public abstract getIsLarge()Z  .end method    .method public abstract getUrl()Ljava/lang/String;  .end method    .method public abstract getViewContext()Landroid/content/Context;  .end method    .method public abstract setBitmap(Landroid/graphics/Bitmap;Z)V  .end method    .method public abstract setIsLarge(Z)V  .end method    .method public abstract setUrl(Ljava/lang/String;)V  .end method

上面的smali代码还原后的java代码为:

 
//#注:在实际代码中我们还必须引入相关的包  import android.content.Context;  import android.graphics.Bitmap;    public interface CachableImage {        public abstract boolean getIsLarge();        public abstract String getUrl();        public abstract Context getViewContext();        public abstract void setBitmap(Bitmap bitmap);        public abstract void setIsLarge(boolean islarge);        public abstract void setUrl(String url);  }

  

 

 (3)字段

 

表示形式:Lpackage/name/ObjectName;->FieldName:Ljava/lang/String;即包名,字段名和各字段类型。 eg:

 
.field private _requestLayout:Z    .field public isLarge:Z    .field public resize:Z    .field public thumbnailSize:I    .field public url:Ljava/lang/String;

  

还原后的java代码为:
 
public boolean _requestLayout;  public boolean isLarge;  public boolean resize;  public int thumbnailSize;  public String url;

  

这里仍然以一个默认的HelloWorld的应用程序进行解释吧。新建一个HelloWorld安卓项目,在MainActivity中只保留onCreate函数。代码如下:

package com.fusijie.helloworld;    import android.app.Activity;    import android.os.Bundle;    public class MainActivity extends Activity {    @Override    protected void onCreate(Bundle savedInstanceState) {        super.onCreate(savedInstanceState);        setContentView(R.layout.activity_main);        }    }

 

反编译后的Smali文件如下:

 
.class public Lcom/fusijie/helloworld/MainActivity;  .super Landroid/app/Activity;  .source "MainActivity.java"  # direct methods  .method public constructor ()V    .locals 0    .prologue    .line 14    invoke-direct {p0}, Landroid/app/Activity;->()V    return-void  .end method  # virtual methods  .method protected onCreate(Landroid/os/Bundle;)V    .locals 1    .parameter "savedInstanceState"    .prologue    .line 18    invoke-super {p0, p1}, Landroid/app/Activity;->onCreate(Landroid/os/Bundle;)V    .line 19    const/high16 v0, 0x7f03    invoke-virtual {p0, v0}, Lcom/fusijie/helloworld/MainActivity;->setContentView(I)V    .line 20    return-void  .end method

 

对比一下,可以比较清楚的看出来,smali代码其实就是对java代码一个翻译,只是没有java看起来那么简单,smali把很多应该复杂的东西还原成复杂的状态了。简单解释下这段代码。

  • 前三行指明了类名,父类名,和源文件名。
  • 类名以“L”开头相信熟悉Jni的童鞋都比较清楚。
  • “#”是smali中的注释。
  • “.method”和“.end method”类似于Java中的大括号,包含了方法的实现代码段。
  • 方法的括号后面指明了返回类型,这同样类似与Jni的调用。
  • “.locals”指明了这个方法用到的寄存器数量,当然寄存器可以重复利用,从“V0”起算。
  • “.prologue”指定了代码开始处。
  • “.line”表明这是在java源码中的第几行,其实这个值无所谓是多少,可以任意修改,主要用于调试。
  • “invoke-direct”这是对方法的调用,可以看到这里调用了是Android.app.Activity的init方法,这在java里是隐式调用的。
  • “return-void”表明了返回类型,这和java不一样,即使没有返回值,也需要这样写。
  • 接下来是onCreate方法,“.parameter”指明了参数名,但是一般没有用,需要注意的是p0代表的是this,p1开始代表函数参数,静态函数没有this,所以从p0开始就代表参数。
  • 在实现里先是调用了父类的方法,然后再调用setContentView,注意这里给了一个传参。整形的传参,这个值是先赋给寄存器v0,然后再调用的使用传递进去的。smali中都是这么使用,所有的值必须通过寄存器来中转。这点和汇编很像。

对比了Java代码和Smali代码,可以很清楚的看到,原本只有几行的代码到了Smali,内容被大大扩充了。Smali还原了Java隐藏的东西,同时显式地指定了很多细节。这还只是个最基本的HelloWorld的onCreate函数,如果有内部类,还会分文件显示。

这样看来,其实Smali只能说复杂,不能说难。如果想全面了解smali语法,这里给出几个链接,算是总结的相对好一点的(其实我都没看到有系统总结的。。。如果你有好的资料,欢迎跟帖分享)

这里顺便提供2个利器:

从上面一个例子对Smali的用途就很清楚了,没错,Smali注入。现在常见的除了测试以外的用途,Smali注入明显是带有黑客性质的,小的如破解游戏,替换游戏广告,大的甚至利用漏洞去破解密码,偷窃个人资料,财产等等。对Smali,安卓逆向分析,安卓系统安全比较清楚的,这些事其实都不算事。

转载于:https://www.cnblogs.com/0616--ataozhijia/p/8919878.html

你可能感兴趣的文章
Struts06---通配符的使用
查看>>
javaScript年份下拉列表框内容为当前年份及前后50年
查看>>
关于jquery 集合对象的 each和click方法的 思考 -$(this)的认识
查看>>
性能测试性能分析
查看>>
as3 声明变量
查看>>
Java多线程
查看>>
《javascript模式--by Stoyan Stefanov》书摘--字面量和构造函数
查看>>
js 返回 undefined 值的情况
查看>>
thinphp下拉获取更多瀑布流效果
查看>>
解决Tomcat: Can't load IA 32-bit .dll on a AMD 64-bit platform问题
查看>>
[翻译]简单的实现一个Promise
查看>>
OCP读书笔记(19) - 数据库空间管理
查看>>
Inside SharePoint 2010 (1): SharePoint 2010 HelloWorld
查看>>
【玩转开源】BPI-M64 Android6.0 USB Dongle 4G(EC2X)+GPS功能支持移植
查看>>
es6-正则
查看>>
MySQL AUTO_INCREMENT 简介
查看>>
事件基础(一)
查看>>
sourcetree的免费开源许可证
查看>>
安装 nodejs,npm,pm2
查看>>
4010: [HNOI2015]菜肴制作
查看>>