图文详解 | Android APK反编译实战

1. 为什么要反编译？

---

场景一

产品经理：xxx，反编译xxx的播放器，看看他们是怎么实现的？

场景二

测试：这个APP怎么一在我们手机上运行就会crash呀，xxx手机就不会

场景三

APP用户：这个APP有汉化版的吗？

为什么要反编译

• 在日常工作中，遇到最多的情况应该就是这三种了。接下来以第二种情况为例，来看下通过反编译APK分析和解决Bug的过程。

---

2. 问题描述

使用硬件版本为T2的手机运行StabilityTest.apk进行'CPU+GPU STABLITY TEST'测试，每隔一段时间就会弹'Preparing scene.Please wait...'的提示框，而使用T1的硬件，不会出现该问题。

Preparing scene.Please wait...的提示框

从问题描述上来看，应该是硬件差异导致的，和软件无关。那为什么这个提示框总是一直弹出呢？一直弹也很讨厌啦。由于是第三方APK，没有源码无法分析，所以先要对StabilityTest.apk进行反编译，才能查看Dialog调用的流程。

---

3. 反编译流程

• 反编译的整体流程

反编译的整体流程

3.1 准备工具

1. 工具介绍

反编译工具

2. Tip

除了上面提到的工具，还需要保证Java 1.7已经安装成功，并且环境变量配置正确。

3. 获取方法

• ApkTool
  组成:
  由apktool.jar & apktool.bat两支文件组成

  HomePage: http://ibotpeaches.github.io/Apktool/
  官网上有最新apktool.jar可供下载，apktool.bat需要到Install Instructions页面下载。

  

  HomePage

Install Instructions: https://ibotpeaches.github.io/Apktool/install/
apktool.bat其实就是一个用来运行apktool.jar的脚本，按照Install Instructions里面提示下载即可。

获取apktool.bat

• dex2jar
  说明: 前面有提到dex2jar是可选的工具，dex2jar是和JD-GUI配合使用的，将smali代码转换为可读的java代码，如果你能看懂smali代码就不需要获取dex2jar了。

获取地址: https://sourceforge.net/projects/dex2jar/

下载dex2jar最新版本

• JD-GUI
  HomePage: http://jd.benow.ca/
  和dex2jar一样，JD-GUI为可选软件。从官网上获取最新JD-GUI版本。
  

  

  下载对应JD-GUI版本

• signAPK
  获取路径: https://github.com/appium/sign
  在github上去下载sign.jar，然后执行java -jar sign.jar my.apk就可以进行签名。

Tip: 你也可以下载signapk.jar，但是在签名时需要执行的命令不一样：

java -jar SignApk.jar testkey.x509.pem testkey.pk8 my.apk my.s.apk

这组命令和上面的命令是等价，相比之下，java -jar sign.jar my.apk要简单得多。

signAPK

3.2 使用Apktool反解APK

• 执行命令apktool.bat d apk名称
  反解成功后，我们就可以得到AndroidManifest.xml、smali源码和res等文件

• smali是Android Dalvik虚拟机内部执行的核心代码
  

  

  apktool.bat d StabilityTest.apk

• 目录结构

反解后的目录结构

---

3.3 使用dex2jar将classes.dex转换为jar包

通过第一步反编译出来的是smali文件，没有smali语法基础，阅读起来很晦涩。通常我们会先去查看java代码，然后再去对比看相应的smali文件，要轻松得多。

• 用压缩软件打开StabilityTest.apk，然后解压出位于根目录下的classes.dex

解压apk得到classes.dex

• 使用dex2jar将classes.dex转换为jar包，我是直接把classes.dex放到dex2jar-2.0目录下的，然后执行命令：
  d2j-dex2jar.bat classes.dex

d2j-dex2jar.bat classes.dex

• 生成的classes-dex2jar.jar就在dex2jar-2.0目录下
  
  

  classes-dex2jar.jar

---

3.4 使用jd-gui打开classes-dex2jar.jar

• 如果觉得jd-gui查看代码不方便，还可以通过File->Save All Sources导出一个classes-dex2jar.src.zip，将classes-dex2jar.src.zip解压以后，导入到Sublime阅读代码。

Save All Sources

3.5 分析代码 & log

• 在代码中搜字符串
  在整个工程中搜索关键字Preparing scene.Please wait...定位到dismiss和show Dialog都是在TestGPU.java里的handleMessage中处理，只有在onSurfaceChanged时才会发message去显示dialog

• 分析log
  只从上面定位到的代码，好像也看不出来什么原因才会一直去调onSurfaceChanged。
  只有先去看下log了，看看程序本身会不会打印出一些异常信息。果然log中报了一个异常，而且是不断地在打印这个异常。

  

  log

• 再次check代码
  发现这些log是在获取系统频率TestGPU.update()出错时打印，导致屏幕上还
  会提示"bogomips"的信息，一直在调update。

调用过程：
TestGPU.update->getFrequencyCore0->eventLoop.sleep(500L)->TestGPU.update()

但是，这个看起来好像还是和onSurfaceChanged没有关系。观察弹提示框时，会显示一个异常的字符串，正常情况应该会显示cpu频率。

bogomips

搜索这个字符串，发现也是和update有关，在获取cpu频率失败后，会去
cat proc/loadavg，然后将得到的结果设置给bogomipsTextView，就出现了这个字符串。

• 找到疑点
  怀疑是由于bogomipsTextView显示的内容太长，上面灰色区域显示不下，导致影响了下面的3D显示区域，然后去调用了onSurfaceChanged方法发送"load" message给handler，handler接收到message以后，一直会去显示提示框。

---

3.6 修改smali源码

• 为了验证上面的猜测，试着设置一个短的字符串给bogomipsTextView，看看还会不会有这种情况
  将反解以后的smali文件导入到Sublime，通过搜索字串"bogomipsTextView"，找到TextView赋值的地方，将"BogoMIPS"赋值给这个TextView。
  修改方法如下图，只需要添加一句代码：

const-string v3, "BogoMIPS"

smali源码

对应java代码其实只有这么几句：

对应java代码

• Tip： 有细心的朋友会发现JAVA代码里面有这么一句

self.getText(2130968587)

那2130968587对应字符串的值怎么找？

Step 1. 在classes-dex2jar.src.zip里面搜索"2130968587"

在classes-dex2jar.src.zip里面搜索"2130968587"

Step 2. 在反解后的apk目录里面搜"cpu_text"，最后发现cpu_text的
id = 0x7f04000b，转为10进制，就是2130968587

String id.png

Step 3. 结论: 213096858的值为"bogomips:"

---

3.7 重新生成apk

• 修改完smali源码后，使用apktool重新打包生成apk
  执行命令：apktool.bat b 反解后的apk文件夹名称

apktool.bat b StabilityTest

• 打包后的apk位于StabilityTest\dist目录下
  
  

  打包后的apk.png

---

3.8 apk签名

• 使用sign.jar进行签名
  执行java -jar sign.jar xxxx.apk就可以进行签名，签名以后的APK被重命名为xxxx.s.apk
  
  

  java -jar sign.jar StabilityTest.apk

---

3.9 验证效果

• 必须要卸载掉之前的apk，然后再安装新的apk。可以看到修改已经生效，没有再弹出提示框，证明了我们的猜测是正确的。

验证效果

参考

• Smali语法可以参考《Android软件安全与逆向分析》这本书
• 为Sublime Text安装smali代码语法高亮插件
• 常用android的smali注入代码