Android 逆向分析
今日公司有需求,需要破解某知名网站android apk登录原理。进过多天的艰难前行,终于搞定了。现将技术方法记录如下。
原料:
1.需要破解的apk(尽量找之前的低版本破解,混淆程度低,未加壳)
-
dex2jar-2.0
-
jd-gui
-
android studio
-
android 逆向助手
-
apktool
开始破解
- 将apk后缀改成zip,然后解压
- 将其中的所有dex 用 dex2jar-2.0工具转换成为jar包,方便查看。转换命令为:
d2j-dex2jar.bat classes.dex
- 将转换后的jar包拖到 jd-gui中,定位需要修改的地方。找到该文件的包名及源码
- 在android studio中新建工程,按照上述文件简历完整包名,并在包下创建同名类,然后将代码全部拷贝到该类中。
- 添加log代码
- gradle build
- 在intermediates/class/.... 中找到编译好的.class文件
此时,就生成了class文件。需要将该class文件覆盖到源代码中。具体方法如下:
- 将之前生成的jar包,用zip工具打开,比如我用的3456好压打开,打开文件所在目录,可以直接粘贴覆盖。
- 然后将jar包用dex2jar-2.0工具重新编译生成dex文件,命令如下:
d2j-jar2dex.bat classes-dex2jar.jar
- 这时需要将apk重新签名打包。如果直接签名打包的话,会安装失败,因为METE-INF文件夹中是用来对apk文件进行加密校验用的。我采用的方法是直接删除该文件夹,然后对剩余的文件全部打包成压缩文件zip。再将zip改成apk,最后用android逆向助手进行签名。就完成了对原有代码的逻辑注入。
遇到的缺点:
第六步中,gradle build的过程中,会遇到没有包依赖的情况。这个情况感觉是无解的,即使用javac编译也无法正确编译为.class文件。
方法二:
采用更改smail文件的方法。大家都知道,smail文件是生成.class文件的前一步,通过反编译我们可以得到所有文件的smail文件。方法是:
apktool.bat d xxx.apk
这时就可以拿到整个apk的smail文件。我们需要对smail语法做一个简单初步的了解。
.local n 表示需要的最少寄存器个数。
Dalvik VM与JVM的最大的区别之一就是Dalvik VM是基于寄存器的。
基于寄存器是什么意思呢?也就是说,在smali里的所有操作都必须经过寄存器来进行:
本地寄存器用v开头数字结尾的符号来表示,如v0、v1、v2、...(本地寄存器没有限制,理论上是可以任意使用的)
参数寄存器则使用p开头数字结尾的符号来表示,如p0、p1、p2、...
特别注意的是,p0不一定是函数中的第一个参数,在非static函数中,p0代指“this”,p1表示函数的第一个参数,p2代表函数中的第二个参数…
而在static函数中p0才对应第一个参数(因为Java的static方法中没有this方法)。
这次我只需要打一个log查看一下原apk的某个参数,因此只需要打一个log即可。其他smail语法请自行百度。
log方法在android中需要两个参数:
Log.e("ivan paramString = ", paramString);
但第二个参数是原程序的,也就是只有第一个参数是新增参数,因此需要增加一个寄存器。修改方法最上面的local变量
.local n+1 表示需要的最少寄存器个数。
然后添加log方法的smail语法:
const-string v1, "ivan paramString ="
invoke-static {v1,p0}, Landroid/util/Log;->v(Ljava/lang/String;Ljava/lang/String;)I
这样就修改好了smail代码。接下来进行打包编译
apktool b xxx -o temp.apk
这样打包出来的temp.apk是没有签名的,安装是失败的。因此还需要借助android 逆向助手进行签名后,即可安装运行,查看到log。
5ba1b5a9c52db_5ba1b5a9.png有问题可+qq 807736118讨论。