安卓逆向（一）--Smali基礎

時間 2020-02-11

標籤逆向 smali 基礎欄目 Android 简体版

原文原文鏈接

安卓逆向（一）--Smali基礎

標籤（空格分隔）：安卓逆向java

APK的組成

文件夾	做用
asset文件夾	資源目錄1：asset和res都是資源目錄但有所區別，見下面說明
lib文件夾	so庫存放位置，通常由NDK編譯獲得，常見於使用遊戲引擎或JNI native調用的工程中
META-INF文件夾	存放工程一些屬性文件，例如Manifest.MF
res文件夾	資源目錄2：asset和res都是資源目錄但有所區別，見下面說明
AndroidManifest.xml	Android工程的基礎配置屬性文件
classes.dex	Java代碼編譯獲得的DalvikVM能直接執行的文件，下面有介紹
resources.arsc	對res目錄下的資源的一個索引文件，保存了原工程中strings.xml等文件內容
其餘文件夾	etc.

asset資源目錄和res資源目錄的不一樣之處：

res目錄下的資源文件在編譯時會自動生成索引文件（R.java），在Java代碼中用R.xxx.yyy來引用；
而asset目錄下的資源文件不須要生成索引，在Java代碼中須要用AssetManager來訪問；
通常來講，除了音頻和視頻資源（須要放在raw或asset下），使用Java開發的Android工程使用到的資源文件都會放在res下；使用C++遊戲引擎（或使用Lua Unity3D等）的資源文件均須要放在asset下。android

其中在Davlik字節碼中，寄存器都是32位的，可以支持任何類型，64位類型（Long/Double）用2個寄存器表示；Dalvik字節碼有兩種類型：原始類型；引用類型（包括對象和數組）數組

原始類型：

B---byte
C---char
D---double
F---float
I---int
J---long
S---short
V---void
Z---boolean
[XXX---array
Lxxx/yyy---object

數組的表示方式是：在基本類型前加上前中括號「[」，例如int數組和float數組分別表示爲：[I、[F；對象的表示則以L做爲開頭，格式是LpackageName/objectName;（注意必須有個分號跟在最後），例如String對象在smali中爲：Ljava/lang/String;，其中java/lang對應java.lang包，String就是定義在該包中的一個對象。或許有人問，既然類是用LpackageName/objectName;來表示，那類裏面的內部類又如何在smali中引用呢？答案是：LpackageName/objectName$subObjectName;。也就是在內部類前加「$」符號，關於「$」符號更多的規則將在後面談到。app

方法：

方法的定義通常爲：Func-Name (Para-Type1Para-Type2Para-Type3...)Return-Type
注意參數與參數之間沒有任何分隔符，一樣舉幾個例子就容易明白了函數

hello ()V。
沒錯，這就是void hello()
hello (III)Z。
這個則是boolean hello(int, int, int)
hello (Z[I[ILjava/lang/String;J)Ljava/lang/String;
看出來這是String hello (boolean, int[], int[], String, long) 了嗎？ui

Smali基本語法:

.field private isFlag:z　　定義變量
.method　　方法
.parameter　　方法參數
.prologue　　方法開始
.line 123　　此方法位於第123行
invoke-super　　調用父函數
const/high16 v0, 0x7fo3　　把0x7fo3賦值給v0
invoke-direct　　調用函數
return-void　　函數返回void
.end method　　函數結束
new-instance　　建立實例
iput-object　　對象賦值
iget-object　　調用對象
invoke-static　　調用靜態函數this

條件跳轉分支：

"if-eq vA, vB, :cond_**" 若是vA等於vB則跳轉到:cond_**
"if-ne vA, vB, :cond_**" 若是vA不等於vB則跳轉到:cond_**
"if-lt vA, vB, :cond_**"   若是vA小於vB則跳轉到:cond_**
"if-ge vA, vB, :cond_**" 若是vA大於等於vB則跳轉到:cond_**
"if-gt vA, vB, :cond_**" 若是vA大於vB則跳轉到:cond_**
"if-le vA, vB, :cond_**"   若是vA小於等於vB則跳轉到:cond_**
"if-eqz vA, :cond_**" 若是vA等於0則跳轉到:cond_**
"if-nez vA, :cond_**" 若是vA不等於0則跳轉到:cond_**
"if-ltz vA, :cond_**"   若是vA小於0則跳轉到:cond_**
"if-gez vA, :cond_**" 若是vA大於等於0則跳轉到:cond_**
"if-gtz vA, :cond_**" 若是vA大於0則跳轉到:cond_**
"if-lez vA, :cond_**"   若是vA小於等於0則跳轉到:cond_**翻譯

Smali中的包信息：

.class public Lcom/aaaaa; .super Lcom/bbbbb; .source "ccccc.java"
這是一個由ccccc.java編譯獲得的smali文件（第3行）
它是com.aaaaa這個package下的一個類（第1行）
繼承自com.bbbbb這個類（第2行）code

關於寄存器的知識補充：

在smali裏的全部操做都必須通過寄存器來進行：本地寄存器用v開頭數字結尾的符號來表示，如v0、v一、v2。
參數寄存器則使用p開頭數字結尾的符號來表示，如p0、p一、p二、...
特別注意的是，p0不必定是函數中的第一個參數，在非static函數中，p0代指「this」，p1表示函數的第一個參數，p2表明函數中的第二個參數…而在static函數中p0纔對應第一個參數（由於Java的static方法中沒有this方法。
寄存器簡單實例分析：
const/4 v0, 0x1 iput-boolean v0, p0, Lcom/aaa;->IsRegistered:Z
咱們來分析一下上面的兩句smali代碼，首先它使用了v0本地寄存器，並把值0x1存到v0中，而後第二句用iput-boolean這個指令把v0中的值存放到com.aaa.IsRegistered這個成員變量中。
即至關於：this.IsRegistered = true;（上面說過，在非static函數中p0表明的是「this」，在這裏就是com.aaa實例）。視頻

smali中的成員變量

成員變量格式是：
.field public/private [static] [final] varName:<類型>
對於不一樣的成員變量也有不一樣的指令。
通常來講，獲取的指令有：
iget、sget、iget-boolean、sget-boolean、iget-object、sget-object等。
操做的指令有：
iput、sput、iput-boolean、sput-boolean、iput-object、sput-object等。
沒有「-object」後綴的表示操做的成員變量對象是基本數據類型，帶「-object」表示操做的成員變量是對象類型，特別地，boolean類型則使用帶「-boolean」的指令操做。

Smali成員變量指令簡析:
sget-object v0, Lcom/aaa;->ID:Ljava/lang/String;
sget-object就是用來獲取變量值並保存到緊接着的參數的寄存器中，本例中，它獲取ID這個String類型的成員變量並放到v0這個寄存器中。
注意：前面須要該變量所屬的類的類型，後面須要加一個冒號和該成員變量的類型，中間是「->」表示所屬關係。
iget-object v0, p0, Lcom/aaa;->view:Lcom/aaa/view;
能夠看到iget-object指令比sget-object多了一個參數，就是該變量所在類的實例，在這裏就是p0即「this」.
獲取array的話咱們用aget和aget-object，指令使用和上述一致
put指令的使用和get指令是統一的以下：

const/4 v3, 0x0
sput-object v3, Lcom/aaa;->timer:Lcom/aaa/timer;

至關於：this.timer = null;
注意，這裏由於是賦值object 因此是null，如果boolean的話，你們想應該至關於什麼呢？

.local v0, args:Landroid/os/Message;
const/4 v1, 0x12
iput v1, v0, Landroid/os/Message;->what:I

至關於：args.what = 18;（args是Message的實例）

Smali中函數的調用:

smali中的函數和成員變量同樣也分爲兩種類型，分別爲direct和virtual之分。
那麼direct method和virtual method有什麼區別呢？
簡單來講，direct method就是private函數，其他的public和protected函數都屬於virtual method。因此在調用函數時，有invoke-direct，invoke-virtual，另外還有invoke-static、invoke-super以及invoke-interface等幾種不一樣的指令。
固然其實還有invoke-XXX/range 指令的，這是參數多於4個的時候調用的指令，比較少見，瞭解下便可。

1.`invoke-static`：用於調用static函數的

例如：
invoke-static {}, Lcom/aaa;->CheckSignature()Z
這裏注意到invoke-static後面有一對大括號「{}」，實際上是調用該方法的實例+參數列表，因爲這個方法既不需參數也是static的，因此{}內爲空，再看一個：

const-string v0, "NDKLIB" 
invoke-static {v0}, Ljava/lang/System;->loadLibrary(Ljava/lang/String;)V

這個是調用static void System.loadLibrary(String)來加載NDK編譯的so庫用的方法，一樣也是這裏v0就是參數"NDKLIB"了。

2.invoke-super：調用父類方法用的指令，通常用於調用onCreate、onDestroy等方法。

3.invoke-direct：調用private函數：

invoke-direct {p0}, Landroid/app/TabActivity;-><init>()V
這裏init()就是定義在TabActivity中的一個private函數

4.invoke-virtual：用於調用protected或public函數，一樣注意修改smali時不要錯用invoke-direct或invoke-static：

sget-object v0, Lcom/dddd;->bbb:Lcom/ccc;
invoke-virtual {v0, v1}, Lcom/ccc;->Messages(Ljava/lang/Object;)V

這裏相信你們都已經很清楚了：
v0是bbb:Lcom/ccc
v1是傳遞給Messages方法的Ljava/lang/Object參數。

5.invoke-xxxxx/range：當方法的參數多於5個時（含5個），不能直接使用以上的指令，而是在後面加上「/range」，range表示範圍，使用方法也有所不一樣：

invoke-direct/range {v0 .. v5}, Lcmb/pb/ui/PBContainerActivity;->h(ILjava/lang/CharSequence;Ljava/lang/String;Landroid/content/Intent;I)Z

須要傳遞v0到v5一共6個參數，這時候大括號內的參數採用省略形式，且須要連續。

Smali中函數返回的結果的操做:

在Java代碼中調用函數和返回函數結果能夠用一條語句完成，而在Smali裏則須要分開來完成，在使用上述指令後，若是調用的函數返回非void，那麼還須要用到move-result（返回基本數據類型）和move-result-object（返回對象）指令：

const-string v0, "Eric"
invoke-static {v0}, Lcmb/pbi;->t(Ljava/lang/String;)Ljava/lang/String;
move-result-object v2

v2保存的就是調用t方法返回的String字符串。

Smali中函數實體分析--if函數分析：

.method private ifRegistered()Z
    .locals 2   //在這個函數中本地寄存器的個數
    .prologue
    const/4 v0, 0x1     // v0賦值爲1
    .local v0, tempFlag:Z   
    if-eqz v0, :cond_0            // 判斷v0是否等於0，等於0則跳到cond_0執行
    const/4 v1, 0x1            // 符合條件分支
    :goto_0 //標籤
    return v1   //返回v1的值
    :cond_0 //標籤
    const/4 v1, 0x0            // cond_0分支
    goto :goto_0    //跳到goto_0執行 即返回v1的值  這裏能夠改爲return v1  也是同樣的
.end method

Smali中函數實體分析--for函數分析：

const/4 v0, 0x0   //vo =0;
.local v0, i:I
:goto_0
if-lt v0, v3, :cond_0     //  v0小於v3 則跳到cond_0並執行分支 :cond_0
return-void
    :cond_0                // 標籤
iget-object v1, p0, Lcom/aaa/MainActivity;->listStrings:Ljava/util/List;        // 引用對象
const-string v2, "Eric"
invoke-interface {v1, v2}, Ljava/util/List;->add(Ljava/lang/Object;)Z    // List是接口, 執行接口方法add
add-int/lit8 v0, v0, 0x1　　　　// 將第二個v0寄存器中的值，加上0x1的值放入第一個寄存器中, 實現自增加
goto :goto_0                // 回去:goto_0標籤

Smali課後習題，翻譯成Java代碼，作完後能夠回帖答案再@我。給CB哦！

.locals 4
    const/4 v2, 0x1
    const/16 v1, 0x10
    .local v1, "length":I
    if-nez v1, :cond_1
    :cond_0
    :goto_0
    return v2
    :cond_1
    const/4 v0, 0x0
    .local v0, "i":I
    :goto_1
    if-lt v0, v1, :cond_2
    const/16 v3, 0x28
    if-le v1, v3, :cond_0
    const/4 v2, 0x0
    goto :goto_0
    :cond_2
    xor-int/lit8 v1, v1, 0x3b
    add-int/lit8 v0, v0, 0x1
    goto :goto_1