Android 逆向分析

今日公司有需求，需要破解某知名网站android apk登录原理。进过多天的艰难前行，终于搞定了。现将技术方法记录如下。

原料：

1.需要破解的apk(尽量找之前的低版本破解，混淆程度低，未加壳)

2. dex2jar-2.0

3. jd-gui

4. android studio

5. android 逆向助手

6. apktool

开始破解

1. 将apk后缀改成zip，然后解压
2. 将其中的所有dex 用 dex2jar-2.0工具转换成为jar包，方便查看。转换命令为：

 d2j-dex2jar.bat classes.dex

3. 将转换后的jar包拖到 jd-gui中，定位需要修改的地方。找到该文件的包名及源码
4. 在android studio中新建工程，按照上述文件简历完整包名，并在包下创建同名类，然后将代码全部拷贝到该类中。
5. 添加log代码
6. gradle build
7. 在intermediates/class/.... 中找到编译好的.class文件

此时，就生成了class文件。需要将该class文件覆盖到源代码中。具体方法如下：

8. 将之前生成的jar包，用zip工具打开，比如我用的3456好压打开，打开文件所在目录，可以直接粘贴覆盖。
9. 然后将jar包用dex2jar-2.0工具重新编译生成dex文件，命令如下:

d2j-jar2dex.bat classes-dex2jar.jar

10. 这时需要将apk重新签名打包。如果直接签名打包的话，会安装失败，因为METE-INF文件夹中是用来对apk文件进行加密校验用的。我采用的方法是直接删除该文件夹，然后对剩余的文件全部打包成压缩文件zip。再将zip改成apk，最后用android逆向助手进行签名。就完成了对原有代码的逻辑注入。

5ba1b5a9c52db_5ba1b5a9.png

遇到的缺点：
第六步中，gradle build的过程中，会遇到没有包依赖的情况。这个情况感觉是无解的，即使用javac编译也无法正确编译为.class文件。

方法二：

采用更改smail文件的方法。大家都知道，smail文件是生成.class文件的前一步，通过反编译我们可以得到所有文件的smail文件。方法是:

 apktool.bat d xxx.apk

这时就可以拿到整个apk的smail文件。我们需要对smail语法做一个简单初步的了解。

.local n 表示需要的最少寄存器个数。

Dalvik VM与JVM的最大的区别之一就是Dalvik VM是基于寄存器的。
基于寄存器是什么意思呢？也就是说，在smali里的所有操作都必须经过寄存器来进行：
本地寄存器用v开头数字结尾的符号来表示，如v0、v1、v2、...(本地寄存器没有限制，理论上是可以任意使用的)
参数寄存器则使用p开头数字结尾的符号来表示，如p0、p1、p2、...
特别注意的是，p0不一定是函数中的第一个参数，在非static函数中，p0代指“this”，p1表示函数的第一个参数，p2代表函数中的第二个参数…
而在static函数中p0才对应第一个参数（因为Java的static方法中没有this方法）。

这次我只需要打一个log查看一下原apk的某个参数，因此只需要打一个log即可。其他smail语法请自行百度。
log方法在android中需要两个参数：

Log.e("ivan paramString = ", paramString);

但第二个参数是原程序的，也就是只有第一个参数是新增参数，因此需要增加一个寄存器。修改方法最上面的local变量

.local n+1 表示需要的最少寄存器个数。

然后添加log方法的smail语法：

const-string v1, "ivan paramString ="
invoke-static {v1,p0}, Landroid/util/Log;->v(Ljava/lang/String;Ljava/lang/String;)I

这样就修改好了smail代码。接下来进行打包编译

apktool b xxx -o temp.apk

这样打包出来的temp.apk是没有签名的，安装是失败的。因此还需要借助android 逆向助手进行签名后，即可安装运行，查看到log。

5ba1b5a9c52db_5ba1b5a9.png

有问题可+qq 807736118讨论。