0x01 前言
静态分析是探索 Android 程序内幕的一种最常见方法,与动态调试一起,能帮助分析人员解决分析时遇到的各类问题0x02 简介
- 静态分析(Static Analysis):在不运行代码的情况下,用词法分析、语法分析等技术手段对程序文件扫描,生成反汇编代码,通过阅读反汇编代码掌握程序功能的一种技术。
- 然而在实际分析上,想要完全不运行程序是不太可能,通常是要先运行目标程序,从中寻找程序的突破口生成反汇编代码的工具称反汇编工具或反编译工具,工具越强大,反汇编效果越好,能事半功倍
0x03 静态分析 Android 程序的方法
- 方法一: 阅读反汇编生成的Dalvik字节码,可以用IDA Pro分析dex文件,或者使用文本编辑器阅读baksmali反编译生成的smali文件;
- 方法二: 阅读反汇编生成的java源码,可以使用dex2jar生成jar文件,然后再使用jd-gui阅读jar文件的代码。
快速定位Android程序的关键代码
- 信息反馈法: 先运行目标程序,然后根据程序运行时给出的反馈信息作为突破口寻找关键代码。
- 顺序查看发: 从软件的启动代码开始,逐行的向下分析,掌握软件的执行流程。
- 代码注入法: 手动修改apk文件的反汇编代码,加入Log输出,配合LogCat查看程序执行到特定点时的状态数据。
- 栈跟踪法: 输出运行时的栈跟踪信息,然后查看栈上的函数调用序列来理解方法的执行流程。
0x04 阅读 smali 代码
那么,问题来了,什么是smali?
不要急,让我为大家一一道来:
要想了解smali,就得先理清APK、Dalvik字节码和smali文件之间的关系
APK文件
首先是apk,即安卓程序的安装包。Apk是一种类似于Symbian Sis或Sisx的文件格式。通过将APK文件直接传到Android模拟器或Android手机中执行即可安装。而apk文件实际上就是一个MIME为ZIP的压缩包,只不过后缀名进行了更改我们直接修改成(.zip)压缩包格式后缀名,打开并解压后就可以看到内部的文件结构,就像下面这样- assets文件夹: 保存一些额外的资源文件,如游戏的声音文件,字体文件等等,在代码中可以用AssetManager获取assets文件夹的资源。
- lib文件夹: 存放用C/C++编写的,用NDK编译生成的so文件,供java端调用。
- META-INF文件夹: 存放apk签名信息,用来保证apk包的完整性和系统的安全。
在IDE编译生成一个apk包时,会对里面所有的文件做一个校验计算,并把计算结果存放在META-INF文件夹内,apk在安装的时候,系统会按照同样的算法对apk包里面的文件做校验,如果结果与META-INF里面的值不一样,系统就不会安装这个apk,这就保证了apk包里的文件不能被随意替换。比如拿到一个apk包后,如果想要替换里面的一幅图片,一段代码, 或一段版权信息,想直接解压缩、替换再重新打包,基本是不可能的。如此一来就给病毒感染和恶意修改增加了难度,有助于保护系 统的安全。 - res文件夹: 存放资源文件,包括icon,xml文件
- AndroidManifest.xml文件: 应用程序配置文件,每个应用都必须定义和包含的,它描述了应用的名字、版本、权限、引用的库文件等信息。
- classes.dex文件: 传统 Class 文件是由一个 Java 源码文件生成的 .Class 文件,而 Android 是把所有 Class 文件进行合并优化,然后生成一个最终的 class.dex 文件。它包含 APK 的可执行代码,是分析 Android 软件时最常见的目标。由于dex文件很难看懂,可通过apktool反编译得到.smali文件,smali文件是对Dalvik虚拟机字节码的一种解释(也可以说是翻译),并非一种官方标准语言。通过对smali文件的解读可以获取源码的信息。
- resources.arsc文件: 二进制资源文件,包括字符串等。
- smali: smali是将Android字节码用可阅读的字符串形式表现出来的一种语言,可以称之为Android字节码的反汇编语言。利用apktool或者Android Killer,反编classes.dex文件,就可以得到以smali为后缀的文件,这些smali文件就是Dalvik的寄存器语言。
简单的说,smali就是Dalvik VM内部执行的核心代码,andorid逆向分析的关键点。
Dalvik字节码
概念: Dalvik是google专门为Android操作系统设计的一个虚拟机,经过深度的优化。虽然Android上的程序是使用java来开发的,但是Dalvik和标准的java虚拟机JVM还是两回事。Dalvik VM是基于寄存器的,而JVM是基于栈的;Dalvik有专属的文件执行格式dex(dalvik executable),而JVM则执行的是java字节码。Dalvik VM比JVM速度更快,占用空间更少。 - Dalvik是andrord虚拟机,即Dalvik VM
- Dalvik的专属文件格式(.dex),就像上面apk文件中的class.dex
- Dalvik VM是基于寄存器的,基于寄存器的意思是,所有操作都必须经过寄存器来进行。
如果我们直接通过分析Dalvik的字节码,我们是不能看到原来的代码逻辑的,这时需要借助如Apktool或Android Killer工具来帮助查看。但是,注意的是最终我们修改APK需要操作的文件是.smali文件。smali文件
概念: smali语言是Davlik的寄存器语言,语法上和汇编语言相似,它拥有特定的格式与语法,smali 语言是对 Dalvik 虚拟机字节码的一种解释。它是逆向分析app的重中之重,一般我们逆向都是在smali文件里进行修改代码,进而实现我们想要的结果。smali文件,我们直接通过解压apk文件是看不到的,需要通过apptool或Android Killer等具备反编译功能工具(网上很多)反编译apk,就可以得到以smali为后缀的文件。你们也许会疑惑,图上这不才俩吗?Dalvik去哪了?从某种方面上讲,这整个框框就是Dalvik,整个过程需要在框里才能运行,脱离了框框,它就。。。understand?,它无处不在。
smali文件结构
smali文件和java中的类都是一一对应的,它有自己的一套语法,指令都是以“.”开头,常用的一些指令如下: | |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
.annotation/.end annotation | |
smali数据类型
Dalvik字节码和Java一样,都只有两种数据类型:基本类型和引用类型,8种基本数据类型,对象和数组是引用类型,Dalvik字节码和Jvm中对数据类型的描述是一致的,- 基础数据类型: Z,B,S,C,I,L,F,D为基本数据类型,从上表可以看出,Dalvik字节码基本类型的描述符基本上是java基本类型的首字母,除了boolean对应为Z外
- 对象类型: L加上类或者接口的全称表示对象类型,即Lpackage/objectName,如String类型描述符为Ljava/lang/String,包com.biyou下面的test类的类型描述符为Lcom/biyou/test
- 数组类型: 基本类型的数组为”[“加上基本类型描述符来表示,一维数组前面是一个”[“,多一个维度前面多加一个”[“,比如int类型,一维是:[I,二维是:[[I,依次类推。
对象类型的数组为”[“加上对象类型表示符来表示,如String类型表示为:[Ljava/lang/String。
java数据类型和Dalvik字节码的数据类型一一对应,对应关系如下表:
.mali文件示例
我们就以 MainActivity.smali
为例.class
与 .super
指令会指明 smali 文件所保存的类的完整签名,和类的父类的完整签名。像上述文件类(Lcom/example/junior/MainActivity)- 像public,protected,private就是所谓的访问权限修饰符,非权限修饰符则指的是final,abstract,static,两者都可以为空。
- 另外如果原java代码有混淆,那一般.class里面的类名和.source的源文件名则不同,以下是经过混淆的
- smali文件的字段的声明使用".field"指令,字段有静态字段和实例字段两种:
1、静态字段格式:
.field 访问权限 static 修饰关键字 字段名 字段类型
.field public static HELLO:Ljava/lang/String
2、实例字段格式:.field 访问权限 修饰关键字 字段名 字段类型
.field prviate button:Landroid/widget/Button
- smali 文件中会自动生成一些注释,:“# instance fields”和“# virtual methods”
“# instance fields”表示实例字段,在它之后,每个类中的字段都会以 .field 指令声明,后面跟着字段的访问权限和完整的签名;“# virtual methods”表示接下来存放的是类的虚方法 - smali 文件只支持单行注释,注释可放在一行开头,也可放在一行的任何地方,使用 # 标识注释的开始,井号后的部分都是注释
- 若类中包含 Java 注解,在 smali 文件中会以“# annotations”注释加以说明,接着会以 .annotation 指令开始,以 .end annotation 指令结束(声明一个注解)。.annotation 指令后跟着注解的类型和完整的签名,若类中有多个注解,则会有多个指令对
- 若一个类实现了接口,会在smali 文件中使用“
.implements
”指令指出,上述图中第六行
表明实现了Executor这个接口
- 用 AndroidKiller 反编译实例 SwitchCase,然后打开反编译后的工程目录中的 smali/com/droider/switchcase/MainActivity.smali 文件,找到 packedSwitch() 的代码:
上述实例每句均带有注释,基本上都做好了分析,大家可对照注释一一学习
0x05 应用——smali插桩
插桩的原理:静态的修改apk的samli文件,然后重新打包。- 在关键部位添加自己的代码,需要遵循smili语法,例如在关键地方打log,输出关键信息
0x06 总结
写得这篇文章,主要是smali的基础知识层面进行阐述,知识点比较多,适合安卓逆向入门级人员,希望对大家有所帮助。0x07 参考链接
https://blog.csdn.net/junjunyanyan/article/details/45726775Tide安全团队正式成立于2019年1月,是新潮信息旗下以互联网攻防技术研究为目标的安全团队,团队致力于分享高质量原创文章、开源安全工具、交流安全技术,研究方向覆盖网络攻防、系统安全、Web安全、移动终端、安全开发、物联网/工控安全/AI安全等多个领域。
团队作为“省级等保关键技术实验室”先后与哈工大、齐鲁银行、聊城大学、交通学院等多个高校名企建立联合技术实验室。团队公众号自创建以来,共发布原创文章370余篇,自研平台达到26个,目有15个平台已开源。此外积极参加各类线上、线下CTF比赛并取得了优异的成绩。如有对安全行业感兴趣的小伙伴可以踊跃加入或关注我们。
文章来源: http://mp.weixin.qq.com/s?__biz=Mzg2NTA4OTI5NA==&mid=2247495608&idx=1&sn=f61d39a16b125b77657ca61628d23594&chksm=ce5dcdd9f92a44cfb22f8042122db24e74e0a446dbeeee8322420df94a64a6c0228074b6da44#rd
如有侵权请联系:admin#unsafe.sh