APK反编译教程新手第一课:安卓基础知识

APK、Dalvik字节码和smali文件

学习路线

请点击查看博客文章

逆向常用工具

手机上有:

mt管理器.开个vip更好使.支持bin大佬

电脑端上面有:

AndroidKillern

jadx-gui-1.0.0

APK文件基本结构

• assets\                        <资源目录1：assets，存放一些加载的资源.对于一些常见的脚本编写工具更是如此比如autojs,andlua,easyclick等>
• lib\                             <so库存放位置，一般由Android NDK编译得到，常见于使用游戏引擎或JNI native调用的工程中,对于初学者不建议研究so>
• |---armeabi\                |---<so库文件分为不同的CPU架构>
• |---armeabi-v7a           <so库文件分为不同的CPU架构.x86,arm
• META-INF\                  <存放工程一些签名文件，例如Manifest.MF.可以用v1签名bug过签名验证>
• res\                           <资源目录2：存放的一般为图片和布局xml文件>
• |---drawable\               |---<图片和对应的xml资源>
• |---layout\                   |---<定义布局的xml资源>
• |---...
• AndroidManifest.xml     <Android工程的基础配置属性文件.通常可以修改app包名>
• classes.dex                 <Java代码编译得到的Dalvik VM虚拟机能直接执行的文件，下面有介绍>
• resources.arsc             <对res目录下的资源的一个索引文件，通常可以修改app名字>

注：asset和res资源目录的不同在于：
一般来说，除了音频和视频资源（需要放在raw或asset下），使用Java开发的Android工程使用到的资源文件都会放在res下

Dalvik字节码
Dalvik是google专门为Android操作系统设计的一个虚拟机，经过深度的优化。虽然Android上的程序是使用java来开发的，但是Dalvik和标准的java虚拟机JVM还是两回事。Dalvik VM是基于寄存器的，而JVM是基于栈的；Dalvik有专属的文件执行格式dex（dalvik executable），而JVM则执行的是java字节码。Dalvik VM比JVM速度更快，占用空间更少。当然现在用的更多的是art虚拟机.不同的是
ART（Android RunTime）虚拟机，采用的是 AOT（Ahead-Of-Time）技术，在应用程序安装的时候就转换成机器语言（运行前），不再是执行时解释，从而优化了应用运行的速度。
Dalvik 是 Android4.4 之前使用的虚拟机，使用的是 JIT（Just-In-Time）技术来进行代码转译，每次执行应用的时候（运行时），才编译为机器语言执行。
在逆向上,区别不算太大.同时Dalvik能查到的资料最多.方便大家理解,所以我们直接用Dalvik来讲

需要注意的是:
通过Dalvik的字节码我们不能直接看到原来的逻辑代码，这时需要借助如Apktool或dex2jar+jd-gui工具来帮助查看。但是，注意的是最终我们修改APK需要操作的文件是.smali文件，而不是导出来的Java文件重新编译（况且这基本上不可能）。

smali文件

下面介绍重点：smali及其语法

一个重点:有人说
smali可以转java,那样我们是否可以直接转java后重新打包即可运行呢?
不可以,转的java是伪代码.不能直接用的,你会发现大部分是跑不起来的.需要修改后才能运行.
转出来的其实主要是帮助我们进行分析
简单的说，smali就是Dalvik VM内部执行的核心代码。它有自己的一套语法，下面即将介绍，如果有JNI开发经验的童鞋则能够很快明白。
一、smali的数据类型
在smali中，数据类型和Android中的一样，只是对应的符号有变化：

Smali基本语法

.field private isFlag:z　　定义变量
.method　　方法
.parameter　　方法参数
.prologue　　方法开始
.line 12　　此方法位于第12行
invoke-super　　调用父函数
const/high16  v0, 0x7fo3　　把0x7fo3赋值给v0
invoke-direct　　调用函数
return-void　　函数返回void
.end method　　函数结束
new-instance　　创建实例
iput-object　　对象赋值
iget-object　　调用对象
invoke-static　　调用静态函数
＝＝＝＝＝＝＝＝＝＝＝＝
条件跳转分支(最常用。)：
nez改eqz，eq改ne这类，逻辑取反，实现破解的目的。
其中eq等于
ne不等于
z是zero(0)的简写
所以eqz是等于0
nez是不等于0
"if-eq vA, vB, :cond**"   如果vA等于vB则跳转到:cond**
"if-ne vA, vB, :cond**"   如果vA不等于vB则跳转到:cond**
"if-lt vA, vB, :cond**"    如果vA小于vB则跳转到:cond**
"if-ge vA, vB, :cond**"   如果vA大于等于vB则跳转到:cond**
"if-gt vA, vB, :cond**"   如果vA大于vB则跳转到:cond**
"if-le vA, vB, :cond**"    如果vA小于等于vB则跳转到:cond**
"if-eqz vA, :cond**"   如果vA等于0则跳转到:cond**
"if-nez vA, :cond**"   如果vA不等于0则跳转到:cond**
"if-ltz vA, :cond**"    如果vA小于0则跳转到:cond**
"if-gez vA, :cond**"   如果vA大于等于0则跳转到:cond**
"if-gtz vA, :cond**"   如果vA大于0则跳转到:cond**
"if-lez vA, :cond**"    如果vA小于等于0则跳转到:cond**
＝＝＝＝＝＝＝＝＝＝＝＝＝
if函数的java代码：
private boolean ifSense(){
boolean tempFlag = ((3-2)==1)? true : false;
if (tempFlag) {
return true;
}else{
return false;
}
}
if函数分析：
.method private ifSense()Z
.locals 2
.prologue
.line 22
const/4 v0, 0x1     // v0赋值为1
.line 24
.local v0, tempFlag:Z
if-eqz v0, :cond_0            // 判断v0是否等于0, 不符合条件向下走, 符合条件执行cond_0分支
.line 25
const/4 v1, 0x1            // 符合条件分支
.line 27
:goto_0
return v1
:cond_0
const/4 v1, 0x0            // cond_0分支
goto :goto_0
.end method
###文字描述：如果符合if分支则程序往下走，最终return ; 而如果条件不符合则会走到 :cond_0分支 , 最终执行 goto :goto_0走回 :goto_0返回
＝＝＝＝＝＝＝＝＝＝＝＝
for函数java代码：
private void forSense(){
listStr = new ArrayList(COUNT);
for (int i = 0; i < COUNT; i++) {
listStr.add("现在轮到我上场乐");
}
}
for函数分析：
.line 40
const/4 v0, 0x0
.local v0, i:I
:goto_0
if-lt v0, v3, :cond_0            //  if-lt判断数值v0小于v3 ,    如不符合往下走, 符合执行分支 :cond_0
.line 43
return-void
.line 41
:cond_0                // 标签
iget-object v1, p0, Lcom/example/smalidemo/MainActivity;->listStr:Ljava/util/List;                // 引用对象
const-string v2, "\u73b0\u5728\u8f6e\u5230\u6211\u4e0a\u573a\u4e50"
invoke-interface {v1, v2}, Ljava/util/List;->add(Ljava/lang/Object;)Z        // List是接口, 所以执行接口方法add
.line 40
add-int/lit8 v0, v0, 0x1　　　　// 将第二个v0寄存器中的值，加上0x1的值放入第一个寄存器中, 实现自增长
goto :goto_0                // 回去:goto_0标签const/4 v0, 0x0     在上面，使用了v0本地寄存器，并把值0x0存到v0中 0x0即为0,通常逆向时候呢,是赋值为0x1

完整的语法我们已经整理为文档了.有兴趣的可以直接下载