APK反編譯之一：基礎知識

APK、Dalvik字節碼和smali文件

APK文件

    你們都應該知道APK文件其實就是一個MIME爲ZIP的壓縮包，咱們修改ZIP後綴名方式能夠看到內部的文件結構，例如修改後綴後用RAR打開鱷魚小頑皮APK能看到的是（Google Play下載的完整版版本）：

     Where's My Water.zip\

• asset\                        <資源目錄1：asset和res都是資源目錄但有所區別，見下面說明>
• lib\                             <so庫存放位置，通常由NDK編譯獲得，常見於使用遊戲引擎或JNI native調用的工程中>
• |---armeabi\                |---<so庫文件分爲不一樣的CPU架構>
• |---armeabi-v7a\
• META-INF\                  <存放工程一些屬性文件，例如Manifest.MF>
• res\                           <資源目錄2：asset和res都是資源目錄但有所區別，見下面說明> 
• |---drawable\               |---<圖片和對應的xml資源>
• |---layout\                   |---<定義佈局的xml資源>
• |---... 
• AndroidManifest.xml     <Android工程的基礎配置屬性文件>
• classes.dex                 <Java代碼編譯獲得的Dalvik VM能直接執行的文件，下面有介紹>
• resources.arsc             <對res目錄下的資源的一個索引文件，保存了原工程中strings.xml等文件內容>

     可有可無地注：asset和res資源目錄的不一樣在於：

     1. res目錄下的資源文件在編譯時會自動生成索引文件（R.java），在Java代碼中用R.xxx.yyy來引用；而asset目錄下的資源文件不須要生成索引，在Java代碼中須要用AssetManager來訪問；

     2. 通常來講，除了音頻和視頻資源（須要放在raw或asset下），使用Java開發的Android工程使用到的資源文件都會放在res下；使用C++遊戲引擎（或使用Lua binding等）的資源文件均須要放在asset下。

     由於Where's My Water是使用迪斯尼公司自家的DMO遊戲引擎開發，因此遊戲中用到的全部資源文件都存放在asset下，除了應用圖標這些資源仍須要放在res下。

Dalvik字節碼

      Dalvik是google專門爲Android操做系統設計的一個虛擬機，通過深度的優化。雖然Android上的程序是使用java來開發的，可是Dalvik和標準的java虛擬機JVM仍是兩回事。Dalvik VM是基於寄存器的，而JVM是基於棧的；Dalvik有專屬的文件執行格式dex（dalvik executable），而JVM則執行的是java字節碼。Dalvik VM比JVM速度更快，佔用空間更少。

      經過Dalvik的字節碼咱們不能直接看到原來的邏輯代碼，這時須要藉助如Apktool或dex2jar+jd-gui工具來幫助查看。可是，注意的是最終咱們修改APK須要操做的文件是.smali文件，而不是導出來的Java文件從新編譯（何況這基本上不可能）。

smali文件

      好了，對Dalvik有必定認識後，下面介紹重點：smali，及其語法。

      簡單的說，smali就是Dalvik VM內部執行的核心代碼。它有本身的一套語法，下面即將介紹，若是有JNI開發經驗的童鞋則可以很快明白。

      1、smali的數據類型

      在smali中，數據類型和Android中的同樣，只是對應的符號有變化：

• B---byte
• C---char
• D---double
• F---float
• I---int
• J---long
• S---short
• V---void
• Z---boolean
• [XXX---array
• Lxxx/yyy---object

     這裏解析下最後兩項，數組的表示方式是：在基本類型前加上前中括號「[」，例如int數組和float數組分別表示爲：[I、[F；對象的表示則以L做爲開頭，格式是LpackageName/objectName;（注意必須有個分號跟在最後），例如String對象在smali中爲：Ljava/lang/String;，其中java/lang對應java.lang包，String就是定義在該包中的一個對象。

      或許有人問，既然類是用LpackageName/objectName;來表示，那類裏面的內部類又如何在smali中引用呢？答案是：LpackageName/objectName$subObjectName;。也就是在內部類前加「$」符號，關於「$」符號更多的規則將在後面談到。

     2、函數的定義

     函數的定義通常爲：

     Func-Name (Para-Type1Para-Type2Para-Type3...)Return-Type

     注意參數與參數之間沒有任何分隔符，一樣舉幾個例子就容易明白了：

     1. foo ()V

         沒錯，這就是void foo()。

     2. foo (III)Z

         這個則是boolean foo(int, int, int)。

     3. foo (Z[I[ILjava/lang/String;J)Ljava/lang/String;

         看出來這是String foo (boolean, int[], int[], String, long) 了嗎？

   

      3、smali文件內容具體介紹

      下面開始進一步分析smali中的具體例子，取鱷魚小頑皮中的WMWActivity.smali來分析（怎麼得到請參考下一節的APK反編譯之二：工具介紹，暫時先介紹smali語法），它的內容大概是這樣子的：

[plain]  view plain copy

1. .class public Lcom/disney/WMW/WMWActivity;   
2. .super Lcom/disney/common/BaseActivity;  
3. .source "WMWActivity.java"  
4.    
5. # interfaces  
6. .implements Lcom/burstly/lib/ui/IBurstlyAdListener;  
7.    
8. # annotations  
9. .annotation system Ldalvik/annotation/MemberClasses;  
10.     value = {  
11.         Lcom/disney/WMW/WMWActivity$MessageHandler;,  
12.         Lcom/disney/WMW/WMWActivity$FinishActivityArgs;  
13.     }  
14. .end annotation  
15.    
16.    
17. # static fields  
18. .field private static final PREFS_INSTALLATION_ID:Ljava/lang/String; = "installationId"  
19. //...  
20.    
21.    
22. # instance fields  
23. .field private _activityPackageName:Ljava/lang/String;  
24. //...  
25.    
26.    
27. # direct methods  
28. .method static constructor <clinit>()V  
29.     .locals 3  
30.    
31.     .prologue  
32.     //...  
33.    
34.     return-void  
35. .end method  
36.    
37. .method public constructor <init>()V  
38.     .locals 3  
39.    
40.     .prologue  
41.     //...  
42.    
43.     return-void  
44. .end method  
45.    
46. .method static synthetic access$100(Lcom/disney/WMW/WMWActivity;)V  
47.     .locals 0  
48.     .parameter "x0"  
49.    
50.     .prologue  
51.     .line 37  
52.     invoke-direct {p0}, Lcom/disney/WMW/WMWActivity;->initIap()V  
53.    
54.     return-void  
55. .end method  
56.    
57. .method static synthetic access$200(Lcom/disney/WMW/WMWActivity;)Lcom/disney/common/WMWView;  
58.     .locals 1  
59.     .parameter "x0"  
60.    
61.     .prologue  
62.     .line 37  
63.     iget-object v0, p0, Lcom/disney/WMW/WMWActivity;->_view:Lcom/disney/common/WMWView;  
64.    
65.     return-object v0  
66. .end method  
67.    
68. //...  
69.    
70. #virtual methods  
71. .method public captureScreen()V  
72.     .locals 4  
73.    
74.     .prologue  
75.     //...  
76.    
77.     goto :goto_0  
78. .end method  
79.    
80. .method public didScreenCaptured()V  
81.     .locals 6  
82.    
83.     .prologue  
84.     //...  
85.    
86.     goto :goto_0  
87. .end method  

 

      看得一頭霧水的話那是正常的。如今我將逐一解析， 理解這些符號的含義令你在後面注入代碼的時候事半功倍。

       一、smali中的繼承、接口、包信息

      首先看看開頭的幾行：

  1] .class public Lcom/disney/WMW/WMWActivity; 

  2] .super Lcom/disney/common/BaseActivity;

  3] .source "WMWActivity.java"

  4]

  5] # interfaces

  6] .implements Lcom/burstly/lib/ui/IBurstlyAdListener;

  7]

  8] # annotations

  9] .annotation system Ldalvik/annotation/MemberClasses;

10]     value = {

11]        Lcom/disney/WMW/WMWActivity$MessageHandler;,

12]        Lcom/disney/WMW/WMWActivity$FinishActivityArgs;

13]    }

14] .end annotation

 

       1-3行定義的是 基本信息：這是一個由WMWActivity.java編譯獲得的smali文件（第3行），它是com.disney.WMW這個package下的一個類（第1行），繼承自com.disney.common.BaseActivity（第2行）。

       5-6行定義的是 接口信息：這個WMWActivity實現了一個com.burstly.lib.ui這個package下（一個廣告SDK）的IBurstyAdListener接口。

       8-14行定義的則是 內部類：它有兩個成員內部類——MessageHandler和FinishActivityArgs，內部類將在後面小節中會有說起。

 

      分析完smali文件開頭的這些信息，咱們已經能在大腦中構造出一個大概這樣的Java文件：

 

[java]  view plain copy

1. class WMWActivity extends BaseActivity implements IBurstlyAdListener{  
2.     //...  
3.     class MessageHandler {  
4.         //...  
5.     }  
6.     class FinishActivityArgs{  
7.         //...  
8.     }  
9. }  

 

      沒錯，這就是原本WMWActivity.java的大概框架了，成員變量和函數信息？別急，下面正要分析。

        

      在繼續分析以前，有些東西須要先說明一下。前面說過，Dalvik VM與JVM的最大的區別之一就是Dalvik VM是基於寄存器的。基於寄存器是什麼意思呢？也就是說，在smali裏的全部操做都必須通過寄存器來進行：本地寄存器用v開頭數字結尾的符號來表示，如v0、v一、v二、...參數寄存器則使用p開頭數字結尾的符號來表示，如p0、p一、p二、...特別注意的是，p0 不必定是函數中的第一個參數，在 非static函數中，p0 代指「this」，p1表示函數的第一個參數，p2表明函數中的第二個參數…而 在static函數中p0纔對應第一個參數（由於Java的static方法中沒有this方法）。本地寄存器沒有限制，理論上是能夠任意使用的，下面是例子：      

[plain]  view plain copy

1. const/4 v0, 0x0  
2. iput-boolean v0, p0, Lcom/disney/WMW/WMWActivity;->isRunning:Z  

      在上面的兩句中，使用了v0本地寄存器，並把值0x0存到v0中，而後第二句用iput-boolean這個指令把v0中的值存放到com.disney.WMW.WMWActivity.isRunning這個成員變量中。即至關於：this.isRunning = false;（上面說過，在非static函數中p0表明的是「this」，在這裏就是com.disney.WMW.WMWActivity實例）。關於這兩句話的具體指令和含義暫可不用理會，先把Dalvik VM的機制弄明白就能夠了，其實語法上和彙編語言很是類似，具體的指令會在後面逐一介紹。

 

        二、smali中的成員變量

      下面繼續介紹有關成員變量的內容：

 

1 ] # static fields

2 ] .field private static final PREFS_INSTALLATION_ID:Ljava/lang/String; = "installationId"

3 ] //...

4 ] 

5 ]

6 ] # instance fields

7 ] .field private _activityPackageName:Ljava/lang/String;

8 ] //...

 

      上面定義的static fields和instance fields均爲成員變量，格式是：.field public/private [static] [final] varName:<類型>。然而static fields和instance fields仍是有區別的，固然區別很明顯，那就是static fields是static的，而instance則不是。根據這個區別來獲取這些不一樣的成員變量時也有不一樣的指令。通常來講，獲取的指令有：iget、sget、iget-boolean、sget-boolean、iget-object、sget-object等，操做的指令有：iput、sput、iput-boolean、sput-boolean、iput-object、sput-object等。沒有「-object」後綴的表示操做的成員變量對象是基本數據類型，帶「-object」表示操做的成員變量是對象類型，特別地，boolean類型則使用帶「-boolean」的指令操做。

 

      （1）、獲取static fields的指令相似是：

[plain]  view plain copy

1. sget-object v0, Lcom/disney/WMW/WMWActivity;->PREFS_INSTALLATION_ID:Ljava/lang/String;  

      sget-object就是用來獲取變量值並保存到緊接着的參數的寄存器中，在這裏，把上面出現的PREFS_INSTALLATION_ID這個String成員變量獲取並放到v0這個寄存器中， 注意：前面須要該變量所屬的類的類型，後面須要加一個冒號和該成員變量的類型，中間是「->」表示所屬關係 。

 

      （2）、獲取instance fields的指令與static fields的基本同樣，只是因爲不是static變量， 不能僅僅指出該變量所在類的類型，還須要該變量所在類的實例。看例子：

[plain]  view plain copy

1. iget-object v0, p0, Lcom/disney/WMW/WMWActivity;->_view:Lcom/disney/common/WMWView;  

      能夠看到iget-object指令比sget-object多了一個參數，就是該變量所在類的實例，在這裏就是p0即「this」。

 

      （3）、獲取array的還有aget和aget-object，指令使用和上述相似，不細述。

 

      （4）、put指令的使用和get指令是統一的，直接看例子不解釋：

[plain]  view plain copy

1. const/4 v3, 0x0  
2. sput-object v3, Lcom/disney/WMW/WMWActivity;->globalIapHandler:Lcom/disney/config/GlobalPurchaseHandler;  

      至關於：this.globalIapHandler = null;（null = 0x0）

 

[plain]  view plain copy

1. .local v0, wait:Landroid/os/Message;  
2. const/4 v1, 0x2  
3. iput v1, v0, Landroid/os/Message;->what:I  

       至關於：wait.what = 0x2;（wait是Message的實例）

        三、smali中的函數調用

      smali中的函數和成員變量同樣也分爲兩種類型，可是不一樣成員變量中的static和instance之分，而是direct和virtual之分。那麼direct method和virtual method有什麼區別呢？直白地講，direct method就是private函數，其他的public和protected函數都屬於virtual method。因此在調用函數時，有invoke-direct，invoke-virtual，另外還有invoke-static、invoke-super以及invoke-interface等幾種不一樣的指令。固然其實還有invoke-XXX/range 指令的，這是參數多於4個的時候調用的指令，比較少見，瞭解下便可。

      （1）、invoke-static：顧名思義就是調用static函數的，由於是static函數，因此比起其餘調用少一個參數，例如：

[plain]  view plain copy

1. invoke-static {}, Lcom/disney/WMW/UnlockHelper;->unlockCrankypack()Z  

      這裏注意到invoke-static後面有一對大括號「{}」，實際上是調用該方法的實例+參數列表，因爲這個方法既不需參數也是static的，因此{}內爲空，再看一個例子：

[plain]  view plain copy

1. const-string v0, "fmodex"  
2. invoke-static {v0}, Ljava/lang/System;->loadLibrary(Ljava/lang/String;)V<span style="font-family: Verdana, sans-serif; "> </span>  

      這個是調用static void System.loadLibrary(String)來加載NDK編譯的so庫用的方法，一樣也是這裏v0就是參數"fmodex"了。

      （2）、invoke-super：調用父類方法用的指令，在onCreate、onDestroy等方法都能看到，略。

      （3）、invoke-direct：調用private函數的，例如：

[plain]  view plain copy

1. invoke-direct {p0}, Lcom/disney/WMW/WMWActivity;->getGlobalIapHandler()Lcom/disney/config/GlobalPurchaseHandler;  

      這裏GlobalPurchaseHandler getGlobalIapHandler()就是定義在WMWActivity中的一個private函數，若是修改smali時錯用invoke-virtual或invoke-static將在回編譯後程序運行時引起一個常見的VerifyError（更多錯誤彙總可參照APK反編譯之番外三：常見錯誤彙總）。

      （4）、invoke-virtual：用於調用protected或public函數，一樣注意修改smali時不要錯用invoke-direct或invoke-static，例子：

[plain]  view plain copy

1. sget-object v0, Lcom/disney/WMW/WMWActivity;->shareHandler:Landroid/os/Handler;  
2. invoke-virtual {v0, v3}, Landroid/os/Handler;->removeCallbacksAndMessages(Ljava/lang/Object;)V  

      這裏相信你們都已經明白了，主要搞清楚v0是shareHandler:Landroid/os/Handler，v3是傳遞給removeCallbackAndMessage方法的Ljava/lang/Object參數就能夠了。

 

      （5）、invoke-xxxxx/range：當方法的參數多於5個時（含5個），不能直接使用以上的指令，而是在後面加上「/range」，使用方法也有所不一樣： 

[plain]  view plain copy

1. invoke-static/range {v0 .. v5}, Lcn/game189/sms/SMS;->checkFee(Ljava/lang/String;Landroid/app/Activity;Lcn/game189/sms/SMSListener;Ljava/lang/String;Ljava/lang/String;Ljava/lang/String;)Z  

      這個是電信SDK中的付費接口，須要傳遞6個參數，這時候大括號內的參數須要用省略形式，且須要連續（未求證是否須要從v0開始）。

      

      有人也許注意到，剛纔看到的例子都是「調用函數」這個操做而已，貌似沒有取函數返回的結果的操做？

      在Java代碼中調用函數和返回函數結果是一條語句完成的，而在smali裏則須要分開來完成，在使用上述指令後，若是調用的函數返回非void，那麼還須要用到move-result（返回基本數據類型）和move-result-object（返回對象）指令：

[plain]  view plain copy

1. const/4 v2, 0x0  
2. invoke-virtual {p0, v2}, Lcom/disney/WMW/WMWActivity;->getPreferences(I)Landroid/content/SharedPreferences;  
3. move-result-object v1  

      v1保存的就是調用getPreferences(int)方法返回的SharedPreferences實例。

[plain]  view plain copy

1. invoke-virtual {v2}, Ljava/lang/String;->length()I  
2. move-result v2  

      v2保存的則是調用String.length()返回的整型。

       四、smali中函數實體分析

      下面開始介紹函數實體，其實沒有什麼特別的地方，只是在植入代碼時有一點須要特別注意，舉例說明：

[plain]  view plain copy

1. .method protected onDestroy()V  
2.     .locals 0  
3.    
4.     .prologue  
5.     .line 277  
6.     invoke-super {p0}, Lcom/disney/common/BaseActivity;->onDestroy()V  
7.    
8.     .line 279  
9.     return-void  
10. .end method  

      這是onDestroy()函數，它的做用你們都知道。首先看到函數內第一句：.local 0，這句話很重要，標明瞭你 在這個函數中最少要用到的本地寄存器的個數。在這裏，因爲只須要調用一個父類的onDestroy()處理，因此只須要用到p0，因此使用到的本地寄存器數爲0。若是不清楚這個規則，很容易在植入代碼後忘記修改.local 的值，那麼回編譯後運行時將會獲得一個VerifyError錯誤，並且極難發現問題所在。我正是被這個問題困擾了不少次，最後研究發現.local的值有這個規律，因而在文檔查證了一下果真是這個問題。例如我往onDestroy()增長一句：this.existed = true;那麼應該改成（注意修改.local的值爲1——使用到了v0這一個本地寄存器）：

[plain]  view plain copy

1. .method protected onDestroy()V  
2.     .locals 1  
3.    
4.     .prologue  
5.     .line 277  
6.     const/4 v0, 0x1  
7.    
8.     iput-boolean v0, p0, Lcom/disney/WMW/WMWActivity;->exited:Z  
9.    
10.     invoke-super {p0}, Lcom/disney/common/BaseActivity;->onDestroy()V  
11.    
12.     .line 279  
13.     return-void  
14. .end method  

 

      另外注意到.line這個標識，它是標註了該代碼在原Java文件中的行數，它也頗有用，想一想使用eclipse開發時，遇到錯誤崩潰時，在catLog不是有提示哪一個文件哪一行崩潰的麼？Dalvik VM運行到.line XX時就將這個值存起來，若是在這一行運行時出錯了，就往catLog輸出這個值，這樣咱們就能看到具體是哪一行的問題了。jd-gui這個工具也是經過分析這些信息將smali代碼還原成咱們喜聞樂見的Java代碼的。固然，它不是必須的，去掉也沒有關係，只不過爲了方便調試仍是保留一下吧。