前言
本文目标:
- 工具:介绍反编译需要用到的工具
- 原理:反编译基本原理
- 实践:替换一个未混淆&未加固apk的启动页面
工具
1.Android Studio
版本:Android Studio Dolphin | 2021.3.1 Patch 1
2.Jadx Class Decompiler。
一个集成了jadx-gui的AndroidStudio/IDEA插件。
优点:dex2jar&jd-gui的结合体,使用更方便。
3.apktool
Android apk文件逆向工具。
https://ibotpeaches.github.io/Apktool/
4. jadx
Dex 到 Java 反编译器,用于从 Android Dex 和 Apk 文件生成 Java 源代码的命令行和 GUI 工具。
优点:dex2jar&jd-gui的结合体,有这一个就够了。
缺点:没有mac的可执行程序。
https://github.com/skylot/jadx
5.LibChecker.apk
此应用程序用于查看设备中应用程序使用的第三方库。它可以查看应用程序本机库的ABI体系结构(通常,无论应用程序是64位还是32位)。它还可以查看由The Rule Repository标记的知名库,甚至可以根据库引用的数量对它们进行排序和查看。
非常好用的Android端app分析软件,主要可以用来分析app的基本结构,查看包名等。
https://github.com/LibChecker/LibChecker
6.dex2jar
把dex文件反编译成jar文件。
https://github.com/pxb1988/dex2jar
7.jd-gui
查看jar源码的可执行程序。
http://java-decompiler.github.io/
mac可执行程序在m1上无法运行,可参考:Mac上打不开JD-GUI解决办法
8.java2smali
可以将java&kotlin代码转为smali的AndroidStudio/IDEA插件。
似乎是只能将纯java&kotlin代码编译成smali,据说AndroidX代码会报错,我自己编译Activity也报错了。
9.smali2java
smali2java是一个将smali代码反编译成java代码的工具。
缺点:没有找到可用mac版本。
http://www.hensence.com/cn/smali2java/
10.J2S2J
java转smali,smali转java工具。
缺点:没有找到可用mac版本。
http://lzonel.cn/3056.html
原理
apk
在AndroidStudio中双击一个apk,打开查看apk内的详情,也可以直接用压缩软件解压。
其中:
- META_INF文件夹:储存的是关于apk的签名信息,在安装apk时,系统会校验apk的签名信息,判断程序完整性。
- res文件夹:存储着apk用到的资源文件。
- assest文件夹:原生资源文件,放在这个文件夹下面的文件不会被R文件编译,dex动态加载等时使用。
- lib文件夹:存储着c++编译成的so库。
- AndroidManifest.xml:存储着apk程序配置信息的清单文件。
- class.dex:DEX文件(DalvikVM executes),顾名思义,是Android Dalvik虚拟机上的执行程序,也就是Dalvik字节码,程序的代码都在里面。
- resources.arsc:编译后的二进制资源文件。
apktool
反编译apk的核心工具apktool。
一个逆向工程第三方,封闭,二进制Android应用程序的工具。
它可以将资源解码为接近原始的形式,并在进行一些修改后重新构建它们。
它还使应用程序的工作更容易,因为项目,如文件结构和自动化的一些重复性任务,如构建apk等。
dex作为包含程序代码的文件,Android程序的启动运行都是通过类加载器ClassLoader读取dex中的代码运作的。
因此如何修改dex中的代码是反编译的关键所在,而apktool可以将dex反编译成smali文件,我们通过修改smali文件完成“目标”。
因此反编译的大致流程是:
Smali
Smali,Baksmali分别是指安卓系统里的Java虚拟机(Dalvik)所使用的一种.dex格式文件的汇编器,反汇编器。
其语法是一种宽松式的Jasmin/dedexer语法,而且它实现了.dex格式所有功能(注解,调试信息,线路信息等)。
修改Smali有三种方式:
- 懂Smali语法,打开直接撸。
- 用上述提到的工具转为java代码后修改。
- 创建一个新AndroidStudio项目,包名与目标apk完全一致,添加想要类的代码,修改完后打包成debug apk,然后使用apktool反编译拿到对应的smali文件,复制到目标apk的反编译文件中替换对应的smali。
实践
由于我不会smali语法,也没有找到适合mac的smali转换工具,因此采用上述第三种修改Smali的方式。
首先自己打包一个未混淆&未加固的apk作为目标apk。
1.用AndroidStudio打开
在AndroidStudio打开目标apk,打开AndroidManifest.xml,读取包名&启动Activity。
如上图可知:
包名为:com.demon.demonnewest
启动Activity为:com.demon.demonnewest.module.StartActivity
2.根据上述包名创建一个AndroidStudio新项目
添加测试代码:
TestActivity.kt
package com.demon.demonnewest
import android.content.Intent
import android.os.Bundle
import android.widget.Button
import android.widget.LinearLayout
import android.widget.TextView
import android.widget.Toast
import androidx.appcompat.app.AppCompatActivity
class TestActivity : AppCompatActivity() {
override fun onCreate(savedInstanceState: Bundle?) {
super.onCreate(savedInstanceState)
val layout = LinearLayout(this)
layout.orientation = LinearLayout.VERTICAL
val text = TextView(this)
val button = Button(this)
button.text = "Click"
layout.addView(text)
layout.addView(button)
setContentView(layout)
val sb: StringBuilder = StringBuilder()
sb.append("TestActivity\n")
intent.extras?.run {
keySet().forEach {
sb.append("$it=${get(it)}\n")
}
}
text.text = sb.toString()
button.setOnClickListener {
Toast.makeText(this@TestActivity,"Button~",Toast.LENGTH_SHORT).show()
startActivity(Intent(this@TestActivity, TestJavaActivity::class.java))
}
}
}
TestJavaActivity.java
package com.demon.demonnewest;
import android.os.Bundle;
import android.widget.Button;
import android.widget.LinearLayout;
import android.widget.TextView;
import android.widget.Toast;
import androidx.annotation.Nullable;
import androidx.appcompat.app.AppCompatActivity;
public class TestJavaActivity extends AppCompatActivity {
@Override
protected void onCreate(@Nullable Bundle savedInstanceState) {
super.onCreate(savedInstanceState);
TextView tv = new TextView(this);
tv.setText("TestJavaActivity");
Button btn = new Button(this);
btn.setOnClickListener(view -> Toast.makeText(TestJavaActivity.this,"Button~",Toast.LENGTH_SHORT).show());
LinearLayout layout = new LinearLayout(this);
layout.setOrientation(LinearLayout.VERTICAL);
layout.addView(tv);
layout.addView(btn);
setContentView(layout);
}
}
3.将新项目打包
直接gradle---Tasks---other---assembleDebug双击运行,打debug包。
然后在app/build/outputs/apk/debug/app-debug.apk找到打包后的apk。
命令行执行apktool d app-debug.apk反编译,找到需要添加的smali。
4.用apktool对目标apk进行反编译
得到反编译后的app文件夹。
apktool d app.apk
5.修改目标apk反编译后AndroidManifes.xml
编辑器直接打开修改即可。
//...
//修改启动Activty为TestActivity
<activity android:exported="true" android:name="com.demon.demonnewest.TestActivity" android:theme="@style/Theme.Start">
<intent-filter>
<action android:name="android.intent.action.MAIN"/>
<category android:name="android.intent.category.LAUNCHER"/>
</intent-filter>
</activity>
//添加TestJavaActivity
<activity android:name="com.demon.demonnewest.TestJavaActivity"/>
//...
6.添加新增的smali
将第三步中我们新增加代码后得到smali复制到smali_classes文件夹中。
随便找一个包含目标包名:com.demon.demonnewest的目录即可。
7.apktool重新编译
如下指令将修改后的反编译文件夹,编译成new.apk。
apktool b app -o new.apk
得到的apk是未签名的是无法安装的,需要签名。
8.重新签名new.apk
不推荐使用旧版的jarsigner进行签名,只能进行v1签名,高版本手机可能无法安装。
新版的v1&v2 签名工具apksigner在版本>25的SDK\build-tools\中。
//windows
java -jar apksigner.jar sign --ks 你的密钥 --ks-key-alias 别名 --ks-pass pass:密钥密码 --key-pass pass:别名密码 --out 签名后的apk路径 待签名的apk
//mac
./apksigner sign --ks 你的密钥 --ks-key-alias 别名 --ks-pass pass:密钥密码 --key-pass pass:别名密码 --out 签名后的apk路径 待签名的apk
9.安装运行签名后的apk
安装后启动app,启动页已经正常替换,按钮可以正常跳转,初步反编译实践成功。
参考
Android反编译简单实战
![[博士论文]基于图数据的可信赖机器学习](https://img-blog.csdnimg.cn/img_convert/3cd8ad50e2bdce6e62b869486d6009dd.png)
