Java源文件通过Java编译器生成CLASS文件，再通过dx工具转换为classes.dex文件。

DEX文件从整体上来看是一个索引的结构，类名、方法名、字段名等信息都存储在常量池中，这样能够充分减少存储空间，相较于Java字节码文件更适合手机设备。

DEX文件的相关结构声明定义在/dalvik/libdex/DexFile.h文件中，下面我们先来看一下DEX文件中使用到的数据结构。

表1 dex文件使用到的数据结构

类型

含义

u1

等同于uint8_t，表示1字节的无符号数

u2

等同于uint16_t，表示2字节的无符号数

u4

等同于uint32_t，表示4字节的无符号数

u8

等同于uint64_t，表示8字节的无符号数

sleb128

有符号LEB128，可变长度1~5字节

uleb128

无符号LEB128，可变长度1~5字节

uleb128p1

无符号LEB128加1，可变长度1~5字节

DEX文件的基本结构如下图所示：

header

string_ids

type_ids

proto_ids

field_ids

method_ids

class_def

data

link_data

图1 DEX文件结构

header是DEX文件头，包含magic字段、alder32校验值、SHA-1哈希值、string_ids的个数以及偏移地址等。DEX文件的头结构很固定，占用0x70个字节，具体定义代码如下所示(摘自DexFile.h)：

/*

* Direct-mapped "header_item" struct.

*/

struct DexHeader {

u1 magic[8]; /* includes version number */

u4 checksum; /* adler32 checksum */

u1 signature[kSHA1DigestLen]; /* SHA-1 hash */

u4 fileSize; /* length of entire file */

u4 headerSize; /* offset to start of next section */

u4 endianTag;

u4 linkSize;

u4 linkOff;

u4 mapOff;

u4 stringIdsSize;

u4 stringIdsOff;

u4 typeIdsSize;

u4 typeIdsOff;

u4 protoIdsSize;

u4 protoIdsOff;

u4 fieldIdsSize;

u4 fieldIdsOff;

u4 methodIdsSize;

u4 methodIdsOff;

u4 classDefsSize;

u4 classDefsOff;

u4 dataSize;

u4 dataOff;

};

magic[8]：共8个字节。目前为固定值dexn035。

checksum：文件校验码，使用alder32算法校验文件除去magic、checksum外余下的所有文件区域，用于检查文件错误。

signature：使用 SHA-1算法hash除去magic，checksum和signature外余下的所有文件区域 ，用于唯一识别本文件 。

fileSize：DEX文件的长度。

headerSize：header大小，一般固定为0x70字节。

endianTag：指定了DEX运行环境的cpu字节序，预设值ENDIAN_CONSTANT等于0x12345678，表示默认采用Little-Endian字节序。

linkSize和linkOff：指定链接段的大小与文件偏移，大多数情况下它们的值都为0。link_size：LinkSection大小,如果为0则表示该DEX文件不是静态链接。link_off用来表示LinkSection距离DEX头的偏移地址，如果LinkSize为0，此值也会为0。

mapOff：DexMapList结构的文件偏移。

stringIdsSize和stringIdsOff：DexStringId结构的数据段大小与文件偏移。

typeIdsSize和typeIdsOff：DexTypeId结构的数据段大小与文件偏移。

protoIdsSize和protoIdsSize：DexProtoId结构的数据段大小与文件偏移。

fieldIdsSize和fieldIdsSize：DexFieldId结构的数据段大小与文件偏移。

methodIdsSize和methodIdsSize：DexMethodId结构的数据段大小与文件偏移。

classDefsSize和classDefsOff：DexClassDef结构的数据段大小与文件偏移。

dataSize和dataOff：数据段的大小与文件偏移。

下面我们来看某apk中classes.dex的解析结果，确实与上面的结构一致：

2.DexMapList区段(大纲)

Dalvik虚拟机解析DEX文件的内容，最终将其映射成DexMapList数据结构，它实际上包含所有其他区段的结构大纲。DexHeader中的mapOff字段指明了DexMapList结构在DEX文件中的偏移。具体定义代码如下所示：

struct DexMapList {

u4 size; /* DexMapItem的个数 */

DexMapItem list[1]; /* DexMapItem的结构 */

};

struct DexMapItem {

u2 type; /* kDexType开头的类型 */

u2 unused; /* 未使用，用于字节对齐 */

u4 size; /* type指定类型的个数，它们在dex文件中连续存放 */

u4 offset; /* 指定类型数据的文件偏移 */

};

/* type字段为一个枚举常量，通过类型名称很容易判断它的具体类型。 */

/* map item type codes */

enum {

kDexTypeHeaderItem = 0x0000,

kDexTypeStringIdItem = 0x0001,

kDexTypeTypeIdItem = 0x0002,

kDexTypeProtoIdItem = 0x0003,

kDexTypeFieldIdItem = 0x0004,

kDexTypeMethodIdItem = 0x0005,

kDexTypeClassDefItem = 0x0006,

kDexTypeMapList = 0x1000,

kDexTypeTypeList = 0x1001,

kDexTypeAnnotationSetRefList = 0x1002,

kDexTypeAnnotationSetItem = 0x1003,

kDexTypeClassDataItem = 0x2000,

kDexTypeCodeItem = 0x2001,

kDexTypeStringDataItem = 0x2002,

kDexTypeDebugInfoItem = 0x2003,

kDexTypeAnnotationItem = 0x2004,

kDexTypeEncodedArrayItem = 0x2005,

kDexTypeAnnotationsDirectoryItem = 0x2006,

};

下面我们来看一下010Editor对某classes.dex文件的解析出的DexMapList结构。上面DexMapList结构中的size字段表示list数组的成员个数，即DexMapItem结构的数量：图中是11h，表示共有17个DexMapItem结构，与图中的list数组大小相符。

然后我们再来看下DexMapItem的结构。例如对于下图中的DexMapItem的第一项来说，type等于0说明其是kDexTypeHeaderItem类型的结构；unused一般都为0；size为1代表该结构仅有一个，即只有一个Dex文件头；offset为0代表Dex文件头从0h开始。喎�"/kf/ware/vc/" target="_blank" class="keylink">vcD4NCjxwPjxpbWcgYWx0PQ=="image" src="/uploadfile/Collfiles/20160627/20160627092154831.png" title="" />

最后我们将所有DexMapItem结构整理成下表：

类型(type)

个数(size)

偏移(offset)

kDexTypeHeaderItem(0x0000)

0x1

0x0

kDexTypeStringIdItem(0x0001)

0xA115

0x70

kDexTypeTypeIdItem(0x0002)

0x1D38

0x284C4

kDexTypeProtoIdItem(0x0003)

0x2505

0x2F9A4

kDexTypeFieldIdItem(0x0004)

0x9FB9

0x4B5E0

kDexTypeMethodIdItem(0x0005)

0xC344

0x9B3A8

kDexTypeClassDefItem(0x0006)

0x189D

0xFCDC8

kDexTypeAnnotationSetItem(0x1003)

0x10E0

0x12E168

kDexTypeCodeItem(0x2001)

0x96DB

0x138A34

kDexTypeAnnotationsDirectoryItem(0x2006)

0xCE6

0x4A3EEC

kDexTypeTypeList(0x1001)

0x1620

0x4B9894

kDexTypeStringDataItem(0x2002)

0xA115

0x4C74CA

kDexTypeDebugInfoItem(0x2003)

0x8FCC

0x5C8544

kDexTypeAnnotationItem(0x2004)

0x101C

0x63FBC1

kDexTypeEncodedArrayItem(0x2005)

0x10E

0x653536

kDexTypeClassDataItem(0x2000)

0x184F

0x65B97A

kDexTypeMapList(0x1000)

0x1

0x6B8828

可以看出，其中区段的offset与header中的off是完全相等的。

3.DexStringId区段(字符串)

struct DexStringId {

u4 stringDataOff; /* 字符串数据偏移 */

}

DexStringId结构只有一个stringDataOff字段，直接指向字符串数据。这个区段中包含了DEX文件中用到的所有字符串。

4.DexTypeId区段(类名/类型名称字符串)

struct DexTypeId {

u4 descriptorIdx; /* 指向 DexStringId列表的索引 */

};

descriptorIdx为指向DexStringId列表的索引，它对应的字符串代表了具体类的类型(DEX文件中用到的所有基本数据类型和类的名称)。如下图中的第一项值为0xAEB，表示其是DexStringId中第0xAEB(2795)项；而第8项值为0x1969，表示其是DexStringId中第0x1969(6505)项。经过我们的验证，以上分析是正确的。

5.DexProtoId区段(方法声明=返回类型 + 参数列表)

struct DexProtoId {

u4 shortyIdx; /* 指向DexStringId列表的索引 */

u4 returnTypeIdx; /* 指向DexTypeId列表的索引 */

u4 parametersOff; /* 指向DexTypeList的偏移 */

}

struct DexTypeList {

u4 size; /* 接下来DexTypeItem的个数 */

DexTypeItem list[1]; /* DexTypeItem结构 */

};

struct DexTypeItem {

u2 typeIdx; /* 指向DexTypeId列表的索引 */

};

下面结合实例进行分析：

DexProtoId

shortyIdx：方法声明字符串，具体而言是由方法的返回类型与参数列表组成的一个字符串，并且返回类型位于参数列表的前面。如“III”“V”“VI”“VL”等。在下图的三个方法声明中分别为B、BL、DL。

returnTypeIdx：方法返回类型，指向DexTypeId列表。下图的分别为byte、byte、double。

parametersOff：指向一个DexTypeList结构体，存放了方法的参数类型。下图分别为0、0x4BA78C、0x4BA7BC。值为0表示参数为void。

DexTypeList

size：DexTypeItem的个数，即参数的数量。下图分别为？、1、1，表示后两个方法都只有一个参数。 list：指向size个DexTypeItem项，每一项代表方法的一个参数。

DexTypeItem

typeIdx：指向DexTypeId列表，最终指向参数类型的字符串。如第三图61h(97)项在DexTypeId列表中正好指向”Landroid/content/Context;”类型字符串。

6.DexFieldId区段(字段)

DexFieldId结构中的数据全部是索引值，指明了字段所在的类、字段的类型以及字段名。

struct DexFieldId {

u2 classIdx; /* 类的类型，指向DexTypeId列表的索引 */

u2 typeIdx; /* 字段类型，指向DexTypeId列表的索引 */

u4 nameIdx; /* 字段名，指向DexStringId列表的索引 */

};

如下图，可以看到字段所属类名为MTT.ThirdAppInfoNew，字段类型为int，字段名为iCoreType。

7.DexMethodId区段(方法)

DexMethodId结构中的数据全部是索引值，指明了方法所在的类、方法的声明以及方法名。

struct DexMethodId {

u2 classIdx; /* 类的类型，指向DexTypeId列表的索引 */

u2 protoIdx; /* 声明类型，指向DexProtoId列表的索引 */

u4 nameIdx; /* 方法名，指向DexStringId列表的索引 */

};

如下图，可以看到方法所属类为MTT.ThirdAppInfoNew，方法声明为V，方法名为。

8.DexTypeClassDefItem(类定义)

struct DexClassDef {

u4 classIdx; /* 类的类型，指向DexTypeId列表的索引 */

u4 accessFlags; /* 访问标志 */

u4 superclassIdx; /* 父类类型，指向DexTypeId列表的索引 */

u4 interfacesOff; /* 接口，指向DexTypeList的偏移 */

u4 sourceFileIdx; /* 源文件名，指向DexStringId列表的索引 */

u4 annotationsOff; /* 注解，指向DexAnnotationsDirectoryItem结构 */

u4 classDataOff; /* 指向DexClassData结构的偏移 */

u4 staticValuesOff; /* 指向DexEncodedArray结构的偏移 */

};

struct DexClassData {

DexClassDataHeader header; /* 指定字段与方法的个数 */

DexField* staticFields; /* 静态字段，DexField结构 */

DexField* instanceFields; /* 实例字段，DexField结构 */

DexMethod* directMethods; /* 直接方法，DexMethod结构 */

DexMethod* virtualMethods; /* 虚方法，DexMethod结构 */

struct DexClassDataHeader {

u4 staticFieldsSize; /* 静态字段个数 */

u4 instanceFieldsSize; /* 实例字段个数 */

u4 directMethodsSize; /* 直接方法个数 */

u4 virtualMethodsSize; /* 虚方法个数 */

};

struct DexField {

u4 fieldIdx; /* 指向DexFieldId的索引 */

u4 accessFlags; /* 访问标志 */

};

struct DexMethod {

u4 methodIdx; /* 指向DexMethodId的索引 */

u4 accessFlags; /* 访问标志 */

u4 codeOff; /* 指向DexCode结构的偏移 */

};

struct DexCode {

u2 registersSize; /* 使用的寄存器个数 */

u2 insSize; /* 参数个数 */

u2 outsSize; /* 调用其他方法时使用的寄存器个数 */

u2 triesSize; /* Try/Catch个数 */

u4 debugInfoOff; /* 指向调试信息的偏移 */

u4 insnsSize; /*指令集个数，以2字节为单位 */

u2 insns[1]; /* 指令集 */

DexClassDef

classIdx：索引值，表明类的类型。下图中值为0x6，指向类型MTT.ThirdAppInfoNew。 accessFlags：类的访问标志，它是以ACC_开头的一个枚举值。具体定义可以参考这里。下图中值为0x11，表示同时具有ACC_PUBLIC和ACC_FINAL。 superclassIdx：父类类型索引值。下图中值为0x1B13，指向java.lang.Object类。 interfacesOff:如果类中含有接口声明或实现，interfaceOff会指向一个DexTypeList结构，否则这里的值为0。图中值为0x4B9894(4954260)，指向的DexTypeList结构为java.lang.Cloneable。 sourceFileIdx:字符串索引值，表示类所在的源文件名称。图中值为NO_INDEX(0xffffffff)，表示该值丢失。 annotationsOff:指向注解目录结构，根据类型不同会有注解类、注解方法、注解字段与注解参数，如果类中没有注解，这里的值则为0。图中值为0，表示类中没有注解。 classDataOff:指向DexClassData结构，它是类的数据部分。图中为0x65B97A。 staticValuesOff:指向DexEncodedArray结构，记录了类中的静态数据。图中为0，表示类中没有静态数据。

DexClassData

header：一个DexClassDataHeader结构，指定字段与方法的个数。如下图中的staticFieldsSize为0，表示没有静态字段；instanceFieldsSize为0xC，表示有12个实例字段；directMethodsSize为0x1，表示有一个直接方法；virtualMethodsSize为0x0，表示没有虚方法。

staticFields*：指向一个DexField结构，表示静态字段的类型与访问标志。由于本例没有静态字段，因此该结构无效。

directMethods*：指向一个DexField结构，表示实例字段的类型与访问标志。如下图本例中有一个实例字段。

directMethods*：指向一个DexMethod结构，表示直接方法的原型、名称、访问标志、代码数据块。。如下图本例中有12个实例字段。

virtualMethods*：指向一个DexMethod结构，表示虚方法的原型、名称、访问标志、代码数据块。由于本例没有静态字段，因此该结构无效。

DexField

fieldIdx：指向DexFieldId的索引，表示字段的所属类、字段类型和字段名。 accessFlags：访问标志。

DexMethod

methodIdx：指向DexMethodId的索引，表示方法的所在类、方法的声明和方法名。 accessFlags：访问标志。 codeOff：指向DexCode结构的偏移，图中为0x138A34。

DexCode

registersSize：该方法使用的寄存器个数。下图中为3。 insSize：该方法的参数个数，对应smali语法中的”.register”指令。下图中为1。 outsSize：该方法调用其他方法时，对应smali语法中的”.paramter”指令。例如现在有一个方法，使用了5个寄存器，其中有2个为参数，而该方法调用了另一个方法，后者使用了20个寄存器，那么Dalvik虚拟机在分配时，会在分配自身方法寄存器空间时加上那20个寄存器空间。下图中为1。 triesSize：方法中Try/Catch的个数。 debugInfoOff：如果dex文件保留了调试信息，debugInfoOff字段会指向它。 insnsSize：指令个数，以2字节为单位。 insns[1]：真正的指令部分。