Android 反編譯初探 應用是如何被注入廣告的

本文由個人微信公衆號：鴻洋（hongyangAndroid）原創首發。

1、概述

最近和朋友聊天，發現一些灰色產業鏈經過批量反編譯市場上的apk，而後進行注入廣告，再從新打包上渠道。

我想你們都不但願本身家的產品或者本身的app那麼容易被「佔據」，可是想要自身可以防護，首先要知道對方的手段。因此本篇博客的目的不是教你們如何破解別人的app，而是讓你們提高安全防護意識，對咱們的應用作一些必要的防禦，讓本身的app不會那麼容易被「佔領」。

由於是初探，也不須要掌握太多的技術，主要是各類工具的使用了~~

2、工具

幾個重要的工具，注意使用最新版本。

• ibotpeaches.github.io/Apktool/
• jd.benow.ca/
• sourceforge.net/projects/de…

相信就是爲了學習，你們或多或少都使用過上述幾個工具了:

• apktools主要用戶反編譯和打包；
• JD-GUI 主要用於對.class文件展現爲源碼（好比jar文件）
• dex2jar 主要用於將dex文件轉化爲jar文件

若是沒有的話，自行下載，儘量的下載最新版本。

題目是注入廣告，那麼咱們選擇一類廣告注入，大多數app都有閃屏廣告，那麼咱們就模擬：反編譯一個apk，加入咱們的閃屏廣告頁，而後從新打包。

3、步驟

首先須要準備一個apk，咱們隨便寫一個簡單的demo。

package com.zhy.decompile;

import android.support.v7.app.AppCompatActivity;
import android.os.Bundle;

public class MainActivity extends AppCompatActivity {

    @Override
    protected void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        setContentView(R.layout.activity_main);
    }
}複製代碼

app的樣子是這樣的，湊合截個圖，聽說沒圖不利於閱讀。

而後點擊run，拿debug的apk就能夠，固然不嫌麻煩能夠本身簽名拿個混淆的apk，也能夠隨便下載一個小衆的app。

1.反編譯一個app

./apktool d app.apk複製代碼

其中res目錄爲資源目錄，smali目錄下能夠認爲是源碼目錄，不過都是對應的smali文件。

若是你對smali的語法比較清晰，能夠直接在代碼中添加邏輯。

咱們這裏就算了，不過咱們這裏能夠打開res目錄，找到activity_main的佈局文件，而後修改裏面的字符串爲：This is hacked app!，這裏本身玩。

對了，咱們要注入閃屏廣告。

思考下，閃屏廣告咱們能夠用Activity來呈現，那麼我有個思路是這樣的步驟：

1. 編寫閃屏廣告頁的Activity
2. 修改AndroidManifest.xml中的入口Activity爲咱們閃屏頁Activity
3. 閃屏頁面中，3s後跳轉到原有的入口Activity

那就搞定了。

好像有什麼不對的地方，咱們這裏的源碼都是smali格式的，那麼閃屏頁的Activity我只會java呀，這怎麼轉化，有什麼大力出奇跡的工具麼？

恩，還真有。

工具就是Android Studio，開個玩笑，雖然咱們不會，可是咱們知道smali文件能夠反編譯生成，那麼咱們能夠查看反編譯apk的包名，而後咱們新建一個app，在相同的包名下編寫一個閃屏頁Activity，而後打包成apk。把這個apk再反編譯，提取出閃屏頁對應的Smali文件，粘貼到被反編譯apk的目錄不就行了麼。

2. 新建項目（爲了Smali文件）

內容以下：

package com.zhy.decompile;

public class HackAdActivity extends AppCompatActivity {

    private Handler mHandler = new Handler(Looper.getMainLooper());

    private Runnable mCallback = new Runnable() {
        @Override
        public void run() {
            Intent intent = new Intent();
            intent.setComponent(new ComponentName("com.zhy.decompile",
                    "com.zhy.decompile.MainActivity"));
            startActivity(intent);
        }
    };

    @Override
    protected void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        mHandler.postDelayed(mCallback, 3000);
    }

    @Override
    protected void onDestroy() {
        super.onDestroy();
        mHandler.removeCallbacks(mCallback);
    }
}複製代碼

注意包名必定要和原包名一致&先不要使用到佈局文件，後面會說~~

而後提取出apk，從新進行上面的操做，取到Smali文件。

注意咱們的編寫方式包含內部類，兩個一塊兒copy到反編譯app的目錄。

而後打開AndroidManifest.xml修改入口Activity...

能夠看到入口Activity改成咱們新建的Activity了，原來的入口Activity切換爲普通Activity了。

到這裏，咱們的文件就修改完畢了。

而後咱們從新打包，與其打包以後的apk，還能夠安裝，安裝後啓動首先是閃屏廣告頁，而後纔是原來的頁面。

那接下來就是打包了~~

3.打包

./apktool b apk1127 -o app1127_new.apk複製代碼

./apktool b apk1127 -o app1127_new.apk
I: Using Apktool 2.2.0
I: Checking whether sources has changed...
I: Smaling smali folder into classes.dex...
W: Unknown file type, ignoring: apk1127/smali/.DS_Store
W: Unknown file type, ignoring: apk1127/smali/com/.DS_Store
W: Unknown file type, ignoring: apk1127/smali/com/zhy/.DS_Store
I: Checking whether resources has changed...
I: Building resources...
I: Building apk file...
I: Copying unknown files/dir...複製代碼

ok，打包成功後，能夠看到一個新的app1127_new.apk。

這個apk如今是沒法安裝的，安裝後出現下圖結果：

主要是由於沒有簽名。

那麼接下來就開始簽名吧~

4.簽名

簽名的話，咱們須要一個簽名文件，咱們一塊兒來新生成下。

keytool -genkey -alias zhy.keystore -keyalg RSA -validity 20000 -keystore zhy.keystore複製代碼

而後按照提示往下輸入便可。

固然若是你嫌命令太難記，你也能夠利用Android Studio進行可視化生成一個：

點擊Build：

選擇create New，而後在彈出面板填寫就好了，你確定會填。

有了keystore以後呢，咱們能夠利用新生成的keystore來簽名咱們剛纔hack的apk。

jarsigner -verbose -sigalg SHA1withRSA -digestalg SHA1 
-keystore zhy.keystore 
-storepass 123456 
app1127_new.apk 
zhy.keystore複製代碼

記得上述代碼弄成一行去執行：

上面的options其實並很少，文件路徑，密碼，別名呀什麼的，應該能夠看明白，有興趣能夠詳細的搜索下相關文件。

簽名完成以後通常就能夠安裝了，不過咱們通常還會作一個對齊操做。

5.對齊

zipalign 4 app1127_new.apk app1127_new_align.apk複製代碼

此刻運行：

本來只有一個頁面，能夠看到如今被咱們注入了一個I am ad的頁面。

固然了，若是你是一路模擬過來的，由於前面說了，先不要使用資源，因此你應該能看出頁面的跳轉，可是並Ad頁面並無佈局文件。

下面咱們來講使用佈局文件。

4、使用佈局文件

HackAdActivity中添加一行：

setContentView(R.layout.ad);複製代碼

仍是剛纔的活，從新反編譯copy Smali文件，而且把ad這個layout複製到想要注入的app的反編譯後的文件夾中。

而後是否是打包就行了呢？

固然不是，若是是，剛纔就直接說好了。咱們在寫代碼的時候，都知道會生成一個R.layout.ad，那麼這個值，在本來的app裏面確定是沒有的（不考慮重名狀況）。
因此，咱們須要手動加入進去：

打開R$layout.smali文件：

咱們在最後添加一個ad的資源id:

.field public static final ad:I = 0x7f04002e複製代碼

而後保存退出。

別急着打包...

這裏定義完了，咱們的HackAdActivity.smali中還須要修改呢。

你別說smali文件裏面我看不懂怎麼改？

改個id仍是能夠的。

找到setContentView前一行，是否是還蠻容易定位的。

改完以後，從新打包、簽名、對齊就ok了~~

若是你使用了更多的資源，記得基本都要處理。

5、總結

那麼到這裏就完成了反編譯一個apk，而後往裏面注入一個新的Activity而且能夠自定義這個佈局文件，至於這個Activity能看什麼事你們確定都明白。

可是，可是，咱們的目的並非讓你們去反編譯人家的apk，而是知道咱們的apk可以被別人這麼玩。

因此要思考的是：

如何預防這種行爲呢？
歡迎留言說說如何預防？複製代碼

未完待續...

---

微信公衆號：hongyangAndroid
（歡迎關注，不要錯過每一篇乾貨，支持投稿）