| title | Android反编译-小米桌面逆向过程记录 |
|---|---|
| date | 2017-02-09 14:57:05 |
| tags | [Android,反编译,安全] |
| categories | Android |
本文中提到的方法,思路以及资料,仅供学习交流。
场景介绍
分析小米桌面的起因,是由于负责的两个项目,都有在桌面创建快捷方式的需求,两份功能代码基本完全一致,可是,在一款MI3,系统基于6.0.1的MIUI7的手机上,A产品可以正常申请权限,创建快捷方式,B产品却不可以。在测试过程中发现,如果把B产品包名修改一下,创建快捷方式的功能就是正常的。由此我们怀疑,在创建快捷方式控制的地方,我们的B产品被拉进了黑名单,不要问我为什么会被拉黑,因为我是无辜的。大致场景就是这个样子。
创建快捷方式的流程
关于桌面快捷方式,不了解的可以参考下 eclipse_xu的Android快捷方式解密这篇文章,详细介绍了如何创建快捷方式,创建快捷方式的几种方法。项目已经开源ShortcutHelper,可以参考。
无论使用何种方法,创建的这个操作,都是通过下面这段代码完成的。
public static final String ACTION_ADD_SHORTCUT = "com.android.launcher.action.INSTALL_SHORTCUT";
public static void addShortcut(Context context, Intent actionIntent, String name, boolean allowRepeat, Bitmap iconBitmap) {
Intent addShortcutIntent = new Intent(ACTION_ADD_SHORTCUT);
// 是否允许重复创建
addShortcutIntent.putExtra("duplicate", allowRepeat);
// 快捷方式的标题
addShortcutIntent.putExtra(Intent.EXTRA_SHORTCUT_NAME, name);
// 快捷方式的图标
addShortcutIntent.putExtra(Intent.EXTRA_SHORTCUT_ICON, iconBitmap);
// 快捷方式的动作
addShortcutIntent.putExtra(Intent.EXTRA_SHORTCUT_INTENT, actionIntent);
context.sendBroadcast(addShortcutIntent);
}
通过发送广播,交给广播接收者,根据发送者提供的信息,创建快捷方式。
同样是上面的代码,产品A和产品B执行的结果不一样,影响因素只可能是产品的包名了。
验证创建失败原因
为了确认产品A和B是由于包名不一致,导致快捷方式创建的结果不同,做了如下测试。
| 测试内容 | 测试结果 |
|---|---|
| A包名修改为B | 不可以 |
| B包名改为A | 可以 |
| A包名改为C | 可以 |
| ShortCutHelperDemo | 可以 |
| ShortCutHelperDemo 改为B | 不可以 |
上面的表格,可以猜测出来,肯定和包名有关。具体有什么关系,要找到 ACTION_ADD_SHORTCUT 这个Action的接收者,也就是MIUIHome,拿到其中代码,才能知道。
寻找MIUIHome.APK
小米的桌面负责创建快捷方式,但我们发现,应用市场上并不能找到最新版或者是MIUI7上的小米桌面App,作为系统级App,小米是没有上线其他市场的。
找一款root的小米手机,到 system/priv-app 目录下,找到 miuihome.apk。然后使用 adb pull 命令,导出到电脑上。
adb pull system/priv-app/MiuiHome/MiuiHome.apk ~/Desktop/
反编译apk
反编译apk的一般过程,这里就不再赘述,可以参考之前的文章跟着小强学Android反编译
解压之后傻眼了啊,根本没有 dex 文件
没有dex,java 代码在哪里执行的呢?总不能全部都直接做在ROM里面吧?从网上下载一个MIUI7的ROM,解压之后也没有发现对应的JAVA代码,第三方APP中之后一个smartHome.apk,看着有点关系(其实没有一点卵用,这个是弯路)。
还是回到手机的目录中,逐个查找。
闪现的odex
在 system/priv-app/MiuiHome 目录下,同时还有个 oat 文件夹,这个里面放置的是一个odex文件。关于 odex 介绍。
odex是同名apk经系统优化后的dex文件,原生ROM中apk和odex文件是配对的,对应的apk文件中没有了dex(比正常可安装的apk小)。
这样的好处:
1.加快程序的装载与运行
2.防止系统程序的简单复制,针对不同的ROM,odex文件是变化的,不可混用的,否则程序就不能政策运行。与odex配对的apk文件又因为缺少dex无法单独安装和使用。
3.节省data分区资源(这个我的理解是原始apk解压需要占用data分区资源,odex可直接执行)
参考Android apk dex与odex
拿到了odex,我们开始反编译 odex。
反编译 odex
工具很重要
反编译odex 需要用到的工具
baksmali.jar
smali.jar
dex2jar.jar
jd-gui
以上工具,建议大家使用最新的稳定版本,我就是因为使用了老版本,导致逆向的时候遇到了很多莫名的错误。
odex的逆向,主要使用 baksmali.jar 的 de 命令。
java -jar baksmali.jar de miuihome.odex
如果成功,会生成 out 目录,里面是 smali 代码。历史的经验告诉我们,往往不会这么顺利。
Error occurred while loading class path files. Aborting.
org.jf.dexlib2.analysis.ClassPathResolver$ResolveException: org.jf.dexlib2.analysis.ClassPathResolver$NotFoundException: Could not find classpath entry boot.oat
at org.jf.dexlib2.analysis.ClassPathResolver.(ClassPathResolver.java:136)
at org.jf.dexlib2.analysis.ClassPathResolver.(ClassPathResolver.java:106)
at org.jf.baksmali.AnalysisArguments.loadClassPathForDexFile(AnalysisArguments.java:134)
at org.jf.baksmali.AnalysisArguments.loadClassPathForDexFile(AnalysisArguments.java:91)
at org.jf.baksmali.DisassembleCommand.getOptions(DisassembleCommand.java:204)
at org.jf.baksmali.DeodexCommand.getOptions(DeodexCommand.java:71)
at org.jf.baksmali.DisassembleCommand.run(DisassembleCommand.java:178)
at org.jf.baksmali.Main.main(Main.java:102)
Caused by: org.jf.dexlib2.analysis.ClassPathResolver$NotFoundException: Could not find classpath entry boot.oat
at org.jf.dexlib2.analysis.ClassPathResolver.loadLocalOrDeviceBootClassPathEntry(ClassPathResolver.java:207)
at org.jf.dexlib2.analysis.ClassPathResolver.(ClassPathResolver.java:121)
... 7 more
缺少依赖的 boot.oat
在系统 system/framework/arm 里,导出 boot.oat,再次执行上面的命令,可以看到 out 目录中已经有内容。
smali-->dex
java -jar smali.jar a out -o miuihome.dex
在当前目录下,就会生成一个 miuihome.dex
dex-->jar
java -jar dex2jar.jar miuihome.dex
在当前目录下,会生成一个 miuihome.jar,这个就是我们反编译得到的jar文件。使用 jd-gui 可以打开浏览这个jar
寻找关键点
在 MiuiHome.apk 的 Androidmanifest 中,我们可以确认,快捷方式 Action的接收者是 com.miui.home.launcher.InstallShortcutReceiver 我们要寻找的第一个关键点就是这个类。
public class InstallShortcutReceiver
extends BroadcastReceiver
{
public static final HashSet lb = new HashSet();
static
{
//这个包名对应的是 Google Play
lb.add("com.android.vending");
}
private void c(Context paramContext, Intent paramIntent)
{
LauncherApplication localLauncherApplication = Application.f(paramContext);
Launcher localLauncher = localLauncherApplication.fJ();
if ((localLauncher == null) || (!localLauncher.fq()))
{
Log.e("InstallShortcutReceiver", "Launcher is not ready,process later");
return;
}
//这个是具体的创建逻辑
localLauncher.runOnUiThread(new bD(this, localLauncherApplication, localLauncher, paramIntent, paramContext));
}
public void onReceive(Context paramContext, Intent paramIntent)
{
//这个获取的是包名,Android官方是没有这个方法,小米自己扩展的。
String str = paramIntent.getSender();
if ((!"com.android.launcher.action.INSTALL_SHORTCUT".equals(paramIntent.getAction())) || (lb.contains(str))) {
return;
}
//这里可以接着分析
new bC(this, str, paramContext, paramIntent).start();
}
}
有两个比较关键的注释,已经在代码里了。小米有一套黑名单这样的机制,阻止这些APP 在桌面创建快捷方式,黑名单的主要判断依据,就是包名。