轉(zhuǎn)載自吾愛破解安卓逆向入門教程
APK的組成
| 文件夾 | 作用 |
|---|---|
| asset文件夾 | 資源目錄1:asset和res都是資源目錄但有所區(qū)別败京,見下面說明 |
| lib文件夾 | so庫存放位置监嗜,一般由NDK編譯得到俘闯,常見于使用游戲引擎或JNI native調(diào)用的工程中 |
| META-INF文件夾 | 存放工程一些屬性文件,例如Manifest.MF |
| res文件夾 | 資源目錄2:asset和res都是資源目錄但有所區(qū)別混萝,見下面說明 |
| AndroidManifest.xml | Android工程的基礎(chǔ)配置屬性文件 |
| classes.dex | Java代碼編譯得到的DalvikVM能直接執(zhí)行的文件妖混,下面有介紹 |
| resources.arsc | 對res目錄下的資源的一個索引文件,保存了原工程中strings.xml等文件內(nèi)容 |
| 其他文件夾 | etc. |
asset資源目錄和res資源目錄的不同之處:
res目錄下的資源文件在編譯時會自動生成索引文件(R.java)章郁,在Java代碼中用R.xxx.yyy來引用枉氮;
而asset目錄下的資源文件不需要生成索引,在Java代碼中需要用AssetManager來訪問驱犹;
一般來說嘲恍,除了音頻和視頻資源(需要放在raw或asset下),使用Java開發(fā)的Android工程使用到的資源文件都會放在res下雄驹;使用C++游戲引擎(或使用Lua Unity3D等)的資源文件均需要放在asset下佃牛。
其中在Davlik字節(jié)碼中,寄存器都是32位的医舆,能夠支持任何類型俘侠,64位類型(Long/Double)用2個寄存器表示;Dalvik字節(jié)碼有兩種類型:原始類型蔬将;引用類型(包括對象和數(shù)組)
原始類型:
B---byte
C---char
D---double
F---float
I---int
J---long
S---short
V---void
Z---boolean
[XXX---array
Lxxx/yyy---object
數(shù)組的表示方式是:在基本類型前加上前中括號“[”爷速,例如int數(shù)組和float數(shù)組分別表示為:[I、[F霞怀;對象的表示則以L作為開頭惫东,格式是LpackageName/objectName;(注意必須有個分號跟在最后),例如String對象在smali中為:Ljava/lang/String;毙石,其中java/lang對應(yīng)java.lang包廉沮,String就是定義在該包中的一個對象⌒炀兀或許有人問滞时,既然類是用LpackageName/objectName;來表示,那類里面的內(nèi)部類又如何在smali中引用呢滤灯?答案是:LpackageName/objectName$subObjectName;坪稽。也就是在內(nèi)部類前加“”符號更多的規(guī)則將在后面談到鳞骤。
方法:
方法的定義一般為:Func-Name (Para-Type1Para-Type2Para-Type3...)Return-Type
注意參數(shù)與參數(shù)之間沒有任何分隔符窒百,同樣舉幾個例子就容易明白了
-
hello ()V。
沒錯豫尽,這就是void hello() -
hello (III)Z贝咙。
這個則是boolean hello(int, int, int) -
hello (Z[I[ILjava/lang/String;J)Ljava/lang/String;
看出來這是String hello (boolean, int[], int[], String, long)了嗎?
Smali基本語法:
.field private isFlag:z 定義變量
.method 方法
.parameter 方法參數(shù)
.prologue 方法開始
.line 123 此方法位于第123行
invoke-super 調(diào)用父函數(shù)
const/high16 v0, 0x7fo3 把0x7fo3賦值給v0
invoke-direct 調(diào)用函數(shù)
return-void 函數(shù)返回void
.end method 函數(shù)結(jié)束
new-instance 創(chuàng)建實例
iput-object 對象賦值
iget-object 調(diào)用對象
invoke-static 調(diào)用靜態(tài)函數(shù)
條件跳轉(zhuǎn)分支:
"if-eq vA, vB, :cond_\**" 如果vA等于vB則跳轉(zhuǎn)到:cond_**
"if-ne vA, vB, :cond_\**" 如果vA不等于vB則跳轉(zhuǎn)到:cond_**
"if-lt vA, vB, :cond_\**" 如果vA小于vB則跳轉(zhuǎn)到:cond_**
"if-ge vA, vB, :cond_\**" 如果vA大于等于vB則跳轉(zhuǎn)到:cond_**
"if-gt vA, vB, :cond_\**" 如果vA大于vB則跳轉(zhuǎn)到:cond_**
"if-le vA, vB, :cond_\**" 如果vA小于等于vB則跳轉(zhuǎn)到:cond_**
"if-eqz vA, :cond_\**" 如果vA等于0則跳轉(zhuǎn)到:cond_**
"if-nez vA, :cond_\**" 如果vA不等于0則跳轉(zhuǎn)到:cond_**
"if-ltz vA, :cond_\**" 如果vA小于0則跳轉(zhuǎn)到:cond_**
"if-gez vA, :cond_\**" 如果vA大于等于0則跳轉(zhuǎn)到:cond_**
"if-gtz vA, :cond_\**" 如果vA大于0則跳轉(zhuǎn)到:cond_**
"if-lez vA, :cond_\**" 如果vA小于等于0則跳轉(zhuǎn)到:cond_**
Smali中的包信息:
.class public Lcom/aaaaa;
.super Lcom/bbbbb;
.source "ccccc.java"
這是一個由ccccc.java編譯得到的smali文件(第3行)
它是com.aaaaa這個package下的一個類(第1行)
繼承自com.bbbbb這個類(第2行)
關(guān)于寄存器的知識補充:
在smali里的所有操作都必須經(jīng)過寄存器來進行:本地寄存器用v開頭數(shù)字結(jié)尾的符號來表示拂募,如v0庭猩、v1、v2陈症。
參數(shù)寄存器則使用p開頭數(shù)字結(jié)尾的符號來表示蔼水,如p0、p1录肯、p2趴腋、...
特別注意的是,p0不一定是函數(shù)中的第一個參數(shù)论咏,在非static函數(shù)中优炬,p0代指“this”,p1表示函數(shù)的第一個參數(shù)厅贪,p2代表函數(shù)中的第二個參數(shù)…而在static函數(shù)中p0才對應(yīng)第一個參數(shù)(因為Java的static方法中沒有this方法蠢护。
寄存器簡單實例分析:
iput-boolean v0, p0, Lcom/aaa;->IsRegistered:Z
我們來分析一下上面的兩句smali代碼,首先它使用了v0本地寄存器养涮,并把值0x1存到v0中葵硕,然后第二句用iput-boolean這個指令把v0中的值存放到com.aaa.IsRegistered這個成員變量中。
即相當(dāng)于:this.IsRegistered = true;(上面說過贯吓,在非static函數(shù)中p0代表的是“this”懈凹,在這里就是com.aaa實例)。
smali中的成員變量
成員變量格式是:
.field public/private [static] [final] varName:<類型>
對于不同的成員變量也有不同的指令悄谐。
一般來說介评,獲取的指令有:
iget、sget爬舰、iget-boolean们陆、sget-boolean、iget-object洼专、sget-object等棒掠。
操作的指令有:
iput、sput屁商、iput-boolean烟很、sput-boolean、iput-object蜡镶、sput-object等雾袱。
沒有“-object”后綴的表示操作的成員變量對象是基本數(shù)據(jù)類型,帶“-object”表示操作的成員變量是對象類型官还,特別地芹橡,boolean類型則使用帶“-boolean”的指令操作。
Smali成員變量指令簡析:
sget-object v0, Lcom/aaa;->ID:Ljava/lang/String;
sget-object就是用來獲取變量值并保存到緊接著的參數(shù)的寄存器中望伦,本例中林说,它獲取ID這個String類型的成員變量并放到v0這個寄存器中煎殷。
注意:前面需要該變量所屬的類的類型,后面需要加一個冒號和該成員變量的類型腿箩,中間是“->”表示所屬關(guān)系豪直。
iget-object v0, p0, Lcom/aaa;->view:Lcom/aaa/view;
可以看到iget-object指令比sget-object多了一個參數(shù),就是該變量所在類的實例珠移,在這里就是p0即“this”.
獲取array的話我們用aget和aget-object弓乙,指令使用和上述一致
put指令的使用和get指令是統(tǒng)一的如下:
const/4 v3, 0x0
sput-object v3, Lcom/aaa;->timer:Lcom/aaa/timer;
相當(dāng)于:this.timer = null;
注意,這里因為是賦值object 所以是null钧惧,若是boolean的話暇韧,大家想應(yīng)該相當(dāng)于什么呢?
.local v0, args:Landroid/os/Message;
const/4 v1, 0x12
iput v1, v0, Landroid/os/Message;->what:I
相當(dāng)于:args.what = 18;(args是Message的實例)
Smali中函數(shù)的調(diào)用:
smali中的函數(shù)和成員變量一樣也分為兩種類型浓瞪,分別為direct和virtual之分懈玻。
那么direct method和virtual method有什么區(qū)別呢?
簡單來說追逮,direct method就是private函數(shù)酪刀,其余的public和protected函數(shù)都屬于virtual method。所以在調(diào)用函數(shù)時钮孵,有invoke-direct骂倘,invoke-virtual,另外還有invoke-static巴席、invoke-super以及invoke-interface等幾種不同的指令历涝。
當(dāng)然其實還有invoke-XXX/range 指令的,這是參數(shù)多于4個的時候調(diào)用的指令漾唉,比較少見荧库,了解下即可。
1.invoke-static:用于調(diào)用static函數(shù)的
例如:
invoke-static {}, Lcom/aaa;->CheckSignature()Z
這里注意到invoke-static后面有一對大括號“{}”赵刑,其實是調(diào)用該方法的實例+參數(shù)列表分衫,由于這個方法既不需參數(shù)也是static的,所以{}內(nèi)為空般此,再看一個:
const-string v0, "NDKLIB"
invoke-static {v0}, Ljava/lang/System;->loadLibrary(Ljava/lang/String;)V
這個是調(diào)用static void System.loadLibrary(String)來加載NDK編譯的so庫用的方法蚪战,同樣也是這里v0就是參數(shù)"NDKLIB"了。
2.invoke-super:調(diào)用父類方法用的指令铐懊,一般用于調(diào)用onCreate邀桑、onDestroy等方法。
3.invoke-direct:調(diào)用private函數(shù):
invoke-direct {p0}, Landroid/app/TabActivity;-><init>()V
這里init()就是定義在TabActivity中的一個private函數(shù)
4.invoke-virtual:用于調(diào)用protected或public函數(shù)科乎,同樣注意修改smali時不要錯用invoke-direct或invoke-static:
sget-object v0, Lcom/dddd;->bbb:Lcom/ccc;
invoke-virtual {v0, v1}, Lcom/ccc;->Messages(Ljava/lang/Object;)V
這里相信大家都已經(jīng)很清楚了:
v0是bbb:Lcom/ccc
v1是傳遞給Messages方法的Ljava/lang/Object參數(shù)壁畸。
5.invoke-xxxxx/range:當(dāng)方法的參數(shù)多于5個時(含5個),不能直接使用以上的指令,而是在后面加上“/range”捏萍,range表示范圍太抓,使用方法也有所不同:
invoke-direct/range {v0 .. v5}, Lcmb/pb/ui/PBContainerActivity;->h(ILjava/lang/CharSequence;Ljava/lang/String;Landroid/content/Intent;I)Z
需要傳遞v0到v5一共6個參數(shù),這時候大括號內(nèi)的參數(shù)采用省略形式照弥,且需要連續(xù)腻异。
Smali中函數(shù)返回的結(jié)果的操作:
在Java代碼中調(diào)用函數(shù)和返回函數(shù)結(jié)果可以用一條語句完成,而在Smali里則需要分開來完成这揣,在使用上述指令后,如果調(diào)用的函數(shù)返回非void影斑,那么還需要用到move-result(返回基本數(shù)據(jù)類型)和move-result-object(返回對象)指令:
const-string v0, "Eric"
invoke-static {v0}, Lcmb/pbi;->t(Ljava/lang/String;)Ljava/lang/String;
move-result-object v2
v2保存的就是調(diào)用t方法返回的String字符串给赞。
Smali中函數(shù)實體分析--if函數(shù)分析:
.method private ifRegistered()Z
.locals 2 //在這個函數(shù)中本地寄存器的個數(shù)
.prologue
const/4 v0, 0x1 // v0賦值為1
.local v0, tempFlag:Z
if-eqz v0, :cond_0 // 判斷v0是否等于0,等于0則跳到cond_0執(zhí)行
const/4 v1, 0x1 // 符合條件分支
:goto_0 //標(biāo)簽
return v1 //返回v1的值
:cond_0 //標(biāo)簽
const/4 v1, 0x0 // cond_0分支
goto :goto_0 //跳到goto_0執(zhí)行 即返回v1的值 這里可以改成return v1 也是一樣的
.end method
Smali中函數(shù)實體分析--for函數(shù)分析:
const/4 v0, 0x0 //vo =0;
.local v0, i:I
:goto_0
if-lt v0, v3, :cond_0 // v0小于v3 則跳到cond_0并執(zhí)行分支 :cond_0
return-void
:cond_0 // 標(biāo)簽
iget-object v1, p0, Lcom/aaa/MainActivity;->listStrings:Ljava/util/List; // 引用對象
const-string v2, "Eric"
invoke-interface {v1, v2}, Ljava/util/List;->add(Ljava/lang/Object;)Z // List是接口, 執(zhí)行接口方法add
add-int/lit8 v0, v0, 0x1 // 將第二個v0寄存器中的值矫户,加上0x1的值放入第一個寄存器中, 實現(xiàn)自增長
goto :goto_0 // 回去:goto_0標(biāo)簽
Smali課后習(xí)題片迅,翻譯成Java代碼。
.locals 4
const/4 v2, 0x1
const/16 v1, 0x10
.local v1, "length":I
if-nez v1, :cond_1
:cond_0
:goto_0
return v2
:cond_1
const/4 v0, 0x0
.local v0, "i":I
:goto_1
if-lt v0, v1, :cond_2
const/16 v3, 0x28
if-le v1, v3, :cond_0
const/4 v2, 0x0
goto :goto_0
:cond_2
xor-int/lit8 v1, v1, 0x3b
add-int/lit8 v0, v0, 0x1
goto :goto_1
