（本笔记来源于吾爱以及吾爱坛友，加上本人自己的整理）

一.初识 APK、Dalvik字节码以及Smali

1. apk是什么？
apk实质上是一个zip压缩包，将apk后缀修改为zip，解压之后可以看到其内部结构：

2. apk 的组成

assets： 资源目录1

assets 和 res 都是资源目录但有所区别：
res 目录下的资源文件在编译时会自动生成索引文件（R.Java），在Java代码中用R.xxx.yyy来引用；

而asset
目录下的资源文件不需要生成索引，在Java 代码中需要用AssetManager来访问；
一般来说，除了音频和视频资源（需要放在raw或asset下），使用Java开发的Android工程使用到的资源文件都
会放在res下；

使用C++游戏引擎（或使用 Lua Unity3D等）的资源文件均需要放在 assets 下。
lib： so 库存放位置，一般由NDK编译得到，常见于使用游戏引擎或 JNI native调用的工程中
META-INF： 存放工程一些属性文件，例如 Manifest.MF
res： 资源目录2
AndroidManifest.xml： Android工程的基础配置属性文件
classes.dex： Java代码编译得到的 Dalvik VM 能直接执行的文件
resources.arsc： 对res 目录下的资源的一个索引文件，保存了原工程中 strings.xml等文件内

apktool.yml - 重新打包必须文件
lib - native 动态库 so
META-INF -签名

3. Dalvik字节码（重点来了）

Dalvik 是 google 专门为 Android 操作系统设计的一个虚拟机，经过深度优化。虽然 Android 上的程序是使用java 来开发的，但是 Dalvik 和标准的 java 虚拟机 JVM 还是两回事。

Dalvik VM 是基于寄存器的，而 JVM 是基于栈的；

Dalvik有专属的文件执行格式 dex （dalvik executable），而 JVM 则执行的是 java 字节码。

Dalvik VM 比 JVM 速度更快，占用空间更少。
通过 Dalvik 的字节码我们不能直接看到原来的逻辑代码，这时需要借助如 Apktool 或 dex2jar+jd-gui 工具来帮助查看。但是，我们最终修改 APK 需要操作的文件是 .smali 文件，而不是导出来的 Java 文件重新编译。

4. Smali（破解的重点。好吧还是重点）

1）Smali，Baksmali 分别是指安卓系统里的 Java 虚拟机（Dalvik）所使用的一种 dex 格式文件的汇编器，反汇编器。其语法是一种宽松式的 Jasmin/dedexer 语法，而且它实现了 .dex 格式所有功能（注解，调试信息，线路信息等）
当我们对 APK 文件进行反编译后，便会生成此类文件。在Davlik字节码中，寄存器都是32位的，能够支持任何类型，64位类（Long/Double）用2个寄存器表示；Dalvik字节码有两种类型：原始类型；引用类型（包括对象和数组）

2）原始类型：
B---byte
C---char
D---double
F---float
I---int
J---long
S---short
V---void
Z---boolean
[XXX---array
Lxxx/yyy---object
这里解析下最后两项，数组的表示方式是：在基本类型前加上前中括号“[”，例如 int 数组和 float 数组分别表示为：[I、[F；

对象的表示则以 L 作为开头，格式是 LpackageName/objectName;（注意必须有个分号跟在最后），例如 String 对象在 smali 中为：Ljava/lang/String;，

其中 java/lang 对应 java.lang包，String 就是定义在该包中的一个对象。

内部类又如何在 smali 中：LpackageName/objectName$subObjectName;也就是在内部类前加“$”符号。

3）方法的定义
Func-Name (Para-Type1Para-Type2Para-Type3...)Return-Type注意参数与参数之间没有任何分隔符，举例如下：
A ()V   这就是void A()。
B (II)Z  这个则是boolean B(int, int)。
C (Z[I[ILjava/lang/String;J)Ljava/lang/String;    这是String C (boolean, int[], int[], String, long) 。

4）Smali基本语法

.field private isFlag:z　　定义变量
.method　　方法
.parameter　　方法参数
.prologue　　方法开始
.line 123　　此方法位于第123行
invoke-super　　调用父函数
const/high16 v0, 0x7fo3　　把0x7fo3赋值给v0
invoke-direct　　调用函数
return-void　　函数返回void
.end method　　函数结束
new-instance　　创建实例
iput-object　　对象赋值
iget-object　　调用对象
invoke-static　　调用静态函数

5）条件跳转分支

"if-eq vA, vB, :cond_**" 如果vA等于vB则跳转到:cond_**
"if-ne vA, vB, :cond_**" 如果vA不等于vB则跳转到:cond_**
"if-lt vA, vB, :cond_**" 如果vA小于vB则跳转到:cond_**
"if-ge vA, vB, :cond_**" 如果vA大于等于vB则跳转到:cond_**
"if-gt vA, vB, :cond_**" 如果vA大于vB则跳转到:cond_**
"if-le vA, vB, :cond_**" 如果vA小于等于vB则跳转到:cond_**
"if-eqz vA, :cond_**" 如果vA等于0则跳转到:cond_**
"if-nez vA, :cond_**" 如果vA不等于0则跳转到:cond_**
"if-ltz vA, :cond_**" 如果vA小于0则跳转到:cond_**
"if-gez vA, :cond_**" 如果vA大于等于0则跳转到:cond_**
"if-gtz vA, :cond_**" 如果vA大于0则跳转到:cond_**
"if-lez vA, :cond_**" 如果vA小于等于0则跳转到:cond_**

二.Smali 文件

1. Smali中的包信息

.class public Lcom/aaaaa; （它是com.aaaaa这个package下的一个类）
.super Lcom/bbbbb; （继承自com.bbbbb这个类）
.source "ccccc.java" （一个由ccccc.java编译得到的smali文件）

2. Smali中的声明

# annotations
.annotation system Ldalvik/annotation/MemberClasses;
value = {
Lcom/aaa$qqq;,
Lcom/aaa$www;
}.
end annotation
//这个声明是内部类的声明：aaa这个类它有两个成员内部类——qqq和www，内部类将在后面小节中会有提及。

3.关于寄存器

寄存器是什么意思呢？在 smali 里的所有操作都必须经过寄存器来进行：本地寄存器用 v 开头，数字结尾的符号来表示，如v0、v1、v2、...

参数寄存器则使用 p 开头，数字结尾的符号来表示，如p0、p1、p2、...

特别注意的是，p0 不一定是函数中的第一个参数，在非 static 函数中，p0 代指“this”，p1 表示函数的第一个参数，p2 代表函数中的第二个参数。

而在 static 函数中 p0 才对应第一个参数（因为 Java 的 static 方法中没有 this 方法。

4. 寄存器简单实例分析

const/4 v0, 0x1
iput-boolean v0, p0, Lcom/aaa;->IsRegistered:Z

我们来分析一下上面的两句 smali 代码，首先它使用了 v0 本地寄存器，并把值 0x1 存到 v0 中，然后第二句用 iput-boolean 这个指令把 v0 中的值存放到 com.aaa.IsRegistered 这个成员变量中。
即相当于：this.IsRegistered= true;（上面说过，在非static函数中p0代表的是“this”，在这里就是
com.aaa 实例）。

5. Smali中的成员变量

成员变量格式是：.field public/private [static] [final] varName:<类型>。
对于不同的成员变量也有不同的指令。
一般来说，获取的指令有：iget、sget、iget-boolean、sget-boolean、iget-object、sget-object等。
操作的指令有：iput、sput、iput-boolean、sput-boolean、iput-object、sput-object等。
没有“-object”后缀的表示操作的成员变量对象是基本数据类型，带“-object”表示操作的成员变量是对象类
型，特别地，boolean 类型则使用带“-boolean”的指令操作。

6. Smali成员变量指令简析

1) 简析一
sget-object v0, Lcom/aaa;->ID:Ljava/lang/String;
sget-object就是用来获取变量值并保存到紧接着的参数的寄存器中，本例中，它获取ID这个String类型的成员变量并放到v0这个寄器中。
注意：前面需要该变量所属的类的类型，后面需要加一个冒号和该成员变量的类型，中间是“->”表示所属关系。
2) 简析二
iget-object v0, p0, Lcom/aaa;->view:Lcom/aaa/view;
可以看到iget-object指令比sget-object多了一个参数，就是该变量所在类的实例，在这里就是p0即“this”。
获取array的话我们用aget和aget-object，指令使用和上述一致
3) 简析三

（put指令的使用和get指令是统一的）
const/4 v3, 0x0
sput-object v3, Lcom/aaa;->timer:Lcom/aaa/timer;
相当于：this.timer= null;
注意，这里因为是赋值object 所以是null
4) 简析四
.local v0, args:Landroid/os/Message;
const/4 v1, 0x12
iput v1, v0, Landroid/os/Message;->what:I
相当于：args.what = 18;（args 是 Message 的实例）

三.Smali函数分析

1. Smali中函数的调用
1）smali中的函数和成员变量一样也分为两种类型，分别为direct和virtual之分。

direct method和virtualmethod的区别：简单来说，direct method 就是 private 函数，其余的 public 和 protected 函数都属于 virtual method。所以在调用函数时，有invoke-direct，invoke-virtual，另外还有invoke-static、invoke-super以及invokeinterface等几种不同的指令。当然其实还有invoke-XXX/range 指令的，这是参数多于4个的时候调用的指令。

2）invoke-static：

用于调用static函数，例如：invoke-static {}, Lcom/aaa;->CheckSignature()Z
这里注意到 invoke-static 后面有一对大括号“{}”，其实是调用该方法的实例+参数列表，由于这个方法既不需参数也是static的，所以{}内为空

再看一个：const-string v0, "NDKLIB"
invoke-static {v0}, Ljava/lang/System;->loadLibrary(Ljava/lang/String;)V
这个是调用 static void System.loadLibrary(String) 来加载 NDK 编译的 so 库用的方法，同样也是这里 v0 就是参数"NDKLIB"了。
3）invoke-super：

调用父类方法用的指令，一般用于调用onCreate、onDestroy等方法。
4）invoke-direct：

调用private函数：invoke-direct {p0}, Landroid/app/TabActivity;->()V
这里init()就是定义在TabActivity中的一个private函数
5）invoke-virtual：

用于调用 protected 或 public 函数，同样注意修改smali时不要错用 invoke-direct或 invoke-static：

sget-object v0, Lcom/dddd;->bbb:Lcom/ccc;
invoke-virtual {v0, v1}, Lcom/ccc;->Messages(Ljava/lang/Object;)V
v0是bbb:Lcom/ccc
v1是传递给Messages方法的Ljava/lang/Object参数。
6）invoke-xxxxx/range：

当方法的参数多于5个时（含5个），不能直接使用以上的指令，而是在后面加上“/range”，range表示范围，使用方法也有所不同：
invoke-direct/range {v0 .. v5}, Lcmb/pb/ui/PBContainerActivity;->h(ILjava/lang/CharSequence;Ljava/lang/String;Landroid/content/需要传递v0到v5一共6个参数，这时候大括号内的参数采用省略形式，且需要连续。
2. Smali中函数返回结果操作
在Java代码中调用函数和返回函数结果可以用一条语句完成，而在Smali里则需要分开来完成，在使用上述指令后，如果调用的函数返回非void，那么还需要用到move-result（返回基本数据类型）和move-result-object（返回对象）指令：
const-string v0, "Eric"
invoke-static {v0}, Lcmb/pbi;->t(Ljava/lang/String;)Ljava/lang/String;
move-result-object v2
v2保存的就是调用t方法返回的String字符串。
3. Smali中函数实体分析--if函数分析
.method private ifRegistered()Z
.locals 2 //在这个函数中本地寄存器的个数
.prologue
const/4 v0, 0x1 // v0赋值为1
.local v0, tempFlag:Z
if-eqz v0, :cond0 // 判断v0是否等于0，等于0则跳到cond0执行
const/4 v1, 0x1 // 符合条件分支
:goto_0 //标签
return v1 //返回v1的值
:cond_0 //标签
const/4 v1, 0x0 // cond_0分支
goto :goto0 //跳到goto0执行 即返回v1的值 这里可以改成return v1 也是一样的
.end method