1. 为什么要反编译?
场景一
产品经理:xxx,反编译xxx的播放器,看看他们是怎么实现的?
场景二
测试:这个APP怎么一在我们手机上运行就会crash呀,xxx手机就不会。
场景三
APP用户:这个APP有汉化版的吗?
为什么要反编译
- 在日常工作中,遇到最多的情况应该就是这三种了。接下来以第二种情况为例,来看下通过反编译APK分析和解决Bug的过程。
2. 问题描述
使用硬件版本为T2的手机运行StabilityTest.apk进行'CPU+GPU STABLITY TEST'测试,每隔一段时间就会弹'Preparing scene.Please wait...'的提示框,而使用T1的硬件,不会出现该问题。
Preparing scene.Please wait...的提示框
从问题描述上来看,应该是硬件差异导致的,和软件无关。那为什么这个提示框总是一直弹出呢?一直弹也很讨厌啦。由于是第三方APK,没有源码无法分析,所以先要对StabilityTest.apk进行反编译,才能查看Dialog调用的流程。
3. 反编译流程
-
反编译的整体流程
反编译的整体流程
3.1 准备工具
1. 工具介绍
反编译工具
2. Tip
除了上面提到的工具,还需要保证Java 1.7已经安装成功,并且环境变量配置正确。
3. 获取方法
-
ApkTool
组成:
由apktool.jar & apktool.bat两支文件组成HomePage: ibotpeaches.github.io/Apktool/
官网上有最新apktool.jar可供下载,apktool.bat需要到Install Instructions页面下载。
HomePageInstall Instructions: ibotpeaches.github.io/Apktool/ins…
apktool.bat其实就是一个用来运行apktool.jar的脚本,按照Install Instructions里面提示下载即可。
获取apktool.bat -
dex2jar
说明: 前面有提到dex2jar是可选的工具,dex2jar是和JD-GUI配合使用的,将smali代码转换为可读的java代码,如果你能看懂smali代码就不需要获取dex2jar了。获取地址: sourceforge.net/projects/de…
下载dex2jar最新版本 -
JD-GUI
HomePage: jd.benow.ca/
和dex2jar一样,JD-GUI为可选软件。从官网上获取最新JD-GUI版本。
下载对应JD-GUI版本 -
signAPK
获取路径: github.com/appium/sign
在github上去下载sign.jar,然后执行java -jar sign.jar my.apk就可以进行签名。Tip: 你也可以下载signapk.jar,但是在签名时需要执行的命令不一样:
java -jar SignApk.jar testkey.x509.pem testkey.pk8 my.apk my.s.apk
这组命令和上面的命令是等价,相比之下,java -jar sign.jar my.apk要简单得多。
signAPK
3.2 使用Apktool反解APK
-
执行命令apktool.bat d apk名称
反解成功后,我们就可以得到AndroidManifest.xml、smali源码和res等文件 -
smali是Android Dalvik虚拟机内部执行的核心代码
apktool.bat d StabilityTest.apk -
目录结构
反解后的目录结构
3.3 使用dex2jar将classes.dex转换为jar包
通过第一步反编译出来的是smali文件,没有smali语法基础,阅读起来很晦涩。通常我们会先去查看java代码,然后再去对比看相应的smali文件,要轻松得多。
-
用压缩软件打开StabilityTest.apk,然后解压出位于根目录下的classes.dex
解压apk得到classes.dex -
使用dex2jar将classes.dex转换为jar包,我是直接把classes.dex放到dex2jar-2.0目录下的,然后执行命令:
d2j-dex2jar.bat classes.dex
d2j-dex2jar.bat classes.dex -
生成的classes-dex2jar.jar就在dex2jar-2.0目录下
classes-dex2jar.jar
3.4 使用jd-gui打开classes-dex2jar.jar
- 如果觉得jd-gui查看代码不方便,还可以通过File->Save All Sources导出一个classes-dex2jar.src.zip,将classes-dex2jar.src.zip解压以后,导入到Sublime阅读代码。
Save All Sources
3.5 分析代码 & log
-
在代码中搜字符串
在整个工程中搜索关键字Preparing scene.Please wait...定位到dismiss和show Dialog都是在TestGPU.java里的handleMessage中处理,只有在onSurfaceChanged时才会发message去显示dialog -
分析log
只从上面定位到的代码,好像也看不出来什么原因才会一直去调onSurfaceChanged。
只有先去看下log了,看看程序本身会不会打印出一些异常信息。果然log中报了一个异常,而且是不断地在打印这个异常。
log -
再次check代码
发现这些log是在获取系统频率TestGPU.update()出错时打印,导致屏幕上还
会提示"bogomips"的信息,一直在调update。调用过程:
TestGPU.update->getFrequencyCore0->eventLoop.sleep(500L)->TestGPU.update()但是,这个看起来好像还是和onSurfaceChanged没有关系。观察弹提示框时,会显示一个异常的字符串,正常情况应该会显示cpu频率。
bogomips搜索这个字符串,发现也是和update有关,在获取cpu频率失败后,会去
cat proc/loadavg,然后将得到的结果设置给bogomipsTextView,就出现了这个字符串。 -
找到疑点
怀疑是由于bogomipsTextView显示的内容太长,上面灰色区域显示不下,导致影响了下面的3D显示区域,然后去调用了onSurfaceChanged方法发送"load" message给handler,handler接收到message以后,一直会去显示提示框。
3.6 修改smali源码
-
为了验证上面的猜测,试着设置一个短的字符串给bogomipsTextView,看看还会不会有这种情况
将反解以后的smali文件导入到Sublime,通过搜索字串"bogomipsTextView",找到TextView赋值的地方,将"BogoMIPS"赋值给这个TextView。
修改方法如下图,只需要添加一句代码:const-string v3, "BogoMIPS"
smali源码对应java代码其实只有这么几句:
对应java代码 -
Tip: 有细心的朋友会发现JAVA代码里面有这么一句
self.getText(2130968587)
那2130968587对应字符串的值怎么找?
Step 1. 在classes-dex2jar.src.zip里面搜索"2130968587"
在classes-dex2jar.src.zip里面搜索"2130968587"Step 2. 在反解后的apk目录里面搜"cpu_text",最后发现cpu_text的
id = 0x7f04000b,转为10进制,就是2130968587
String id.pngStep 3. 结论: 213096858的值为"bogomips:"
3.7 重新生成apk
-
修改完smali源码后,使用apktool重新打包生成apk
执行命令:apktool.bat b 反解后的apk文件夹名称
apktool.bat b StabilityTest -
打包后的apk位于StabilityTest\dist目录下
打包后的apk.png
3.8 apk签名
- 使用sign.jar进行签名
执行java -jar sign.jar xxxx.apk就可以进行签名,签名以后的APK被重命名为xxxx.s.apk
java -jar sign.jar StabilityTest.apk
3.9 验证效果
- 必须要卸载掉之前的apk,然后再安装新的apk。可以看到修改已经生效,没有再弹出提示框,证明了我们的猜测是正确的。
验证效果
参考
- Smali语法可以参考《Android软件安全与逆向分析》这本书
- 为Sublime Text安装smali代码语法高亮插件
- 常用android的smali注入代码
