图文详解 | Android APK反编译实战

2016-09-21 本文已影响4663人伤口不该结疤

1. 为什么要反编译？

场景一

产品经理：xxx，反编译xxx的播放器，看看他们是怎么实现的？

场景二

测试：这个APP怎么一在我们手机上运行就会crash呀，xxx手机就不会

场景三

APP用户：这个APP有汉化版的吗？

为什么要反编译

在日常工作中，遇到最多的情况应该就是这三种了。接下来以第二种情况为例，来看下通过反编译APK分析和解决Bug的过程。

2. 问题描述

使用硬件版本为T2的手机运行StabilityTest.apk进行'CPU+GPU STABLITY TEST'测试，每隔一段时间就会弹'Preparing scene.Please wait...'的提示框，而使用T1的硬件，不会出现该问题。

Preparing scene.Please wait...的提示框

从问题描述上来看，应该是硬件差异导致的，和软件无关。那为什么这个提示框总是一直弹出呢？一直弹也很讨厌啦。由于是第三方APK，没有源码无法分析，所以先要对StabilityTest.apk进行反编译，才能查看Dialog调用的流程。

3. 反编译流程

反编译的整体流程

反编译的整体流程

3.1 准备工具

1. 工具介绍

反编译工具

2. Tip

除了上面提到的工具，还需要保证Java 1.7已经安装成功，并且环境变量配置正确。

3. 获取方法

ApkTool
**组成: **
由apktool.jar & apktool.bat两支文件组成

HomePage: http://ibotpeaches.github.io/Apktool/
官网上有最新apktool.jar可供下载，apktool.bat需要到Install Instructions页面下载。
HomePage

Install Instructions: https://ibotpeaches.github.io/Apktool/install/
apktool.bat其实就是一个用来运行apktool.jar的脚本，按照Install Instructions里面提示下载即可。

获取apktool.bat

dex2jar
说明: 前面有提到dex2jar是可选的工具，dex2jar是和JD-GUI配合使用的，将smali代码转换为可读的java代码，如果你能看懂smali代码就不需要获取dex2jar了。

获取地址: https://sourceforge.net/projects/dex2jar/

下载dex2jar最新版本

JD-GUI
HomePage: http://jd.benow.ca/
和dex2jar一样，JD-GUI为可选软件。从官网上获取最新JD-GUI版本。

下载对应JD-GUI版本
signAPK
获取路径: https://github.com/appium/sign
在github上去下载sign.jar，然后执行java -jar sign.jar my.apk就可以进行签名。

Tip: 你也可以下载signapk.jar，但是在签名时需要执行的命令不一样：

java -jar SignApk.jar testkey.x509.pem testkey.pk8 my.apk my.s.apk

这组命令和上面的命令是等价，相比之下，java -jar sign.jar my.apk要简单得多。

signAPK

3.2 使用Apktool反解APK

执行命令apktool.bat d apk名称
反解成功后，我们就可以得到AndroidManifest.xml、smali源码和res等文件
smali是Android Dalvik虚拟机内部执行的核心代码

apktool.bat d StabilityTest.apk
目录结构

反解后的目录结构

3.3 使用dex2jar将classes.dex转换为jar包

通过第一步反编译出来的是smali文件，没有smali语法基础，阅读起来很晦涩。通常我们会先去查看java代码，然后再去对比看相应的smali文件，要轻松得多。

用压缩软件打开StabilityTest.apk，然后解压出位于根目录下的classes.dex

解压apk得到classes.dex

使用dex2jar将classes.dex转换为jar包，我是直接把classes.dex放到dex2jar-2.0目录下的，然后执行命令：
d2j-dex2jar.bat classes.dex

d2j-dex2jar.bat classes.dex

生成的classes-dex2jar.jar就在dex2jar-2.0目录下
classes-dex2jar.jar

3.4 使用jd-gui打开classes-dex2jar.jar

如果觉得jd-gui查看代码不方便，还可以通过File->Save All Sources导出一个classes-dex2jar.src.zip，将classes-dex2jar.src.zip解压以后，导入到Sublime阅读代码。

Save All Sources

3.5 分析代码 & log

在代码中搜字符串
在整个工程中搜索关键字Preparing scene.Please wait...定位到dismiss和show Dialog都是在TestGPU.java里的handleMessage中处理，只有在onSurfaceChanged时才会发message去显示dialog
分析log
只从上面定位到的代码，好像也看不出来什么原因才会一直去调onSurfaceChanged。
只有先去看下log了，看看程序本身会不会打印出一些异常信息。果然log中报了一个异常，而且是不断地在打印这个异常。
log
再次check代码
发现这些log是在获取系统频率TestGPU.update()出错时打印，导致屏幕上还
会提示"bogomips"的信息，一直在调update。

调用过程：
TestGPU.update->getFrequencyCore0->eventLoop.sleep(500L)->TestGPU.update()

但是，这个看起来好像还是和onSurfaceChanged没有关系。观察弹提示框时，会显示一个异常的字符串，正常情况应该会显示cpu频率。

bogomips

搜索这个字符串，发现也是和update有关，在获取cpu频率失败后，会去
cat proc/loadavg，然后将得到的结果设置给bogomipsTextView，就出现了这个字符串。

找到疑点
怀疑是由于bogomipsTextView显示的内容太长，上面灰色区域显示不下，导致影响了下面的3D显示区域，然后去调用了onSurfaceChanged方法发送"load" message给handler，handler接收到message以后，一直会去显示提示框。

3.6 修改smali源码

为了验证上面的猜测，试着设置一个短的字符串给bogomipsTextView，看看还会不会有这种情况
将反解以后的smali文件导入到Sublime，通过搜索字串"bogomipsTextView"，找到TextView赋值的地方，将"BogoMIPS"赋值给这个TextView。
修改方法如下图，只需要添加一句代码：