[置顶] 第4章 Android dex文件格式 第三节

第4章 dex文件格式 第三节

 

1、 环境配置

Ubuntu 15.10 系统 IP：192.168.153.130

理解dex文件整体结构

 

一、dex文件整体结构

 

1、 dex文件由7个部分组成。Dex header为dex文件头，它指定了dex文件的一些属性，并记录了其他6部分数据结构在dex文件中的物理偏移。String_ids到class_def结构可以理解为“索引结构区”，真实的数据存放在data数据区，最后link_data为静态链接数据区，对于目前生成dex文件而言，它始终为空。

Dex header

String_ids

Type_ids

Proto_ids

Field_ids

Methon_ids

Class_ids

data

Link_data

 

2、 dex文件结构如下：

structDexFile {

    /* directly-mapped "opt" header*/

    const DexOptHeader* pOptHeader;

 

    /* pointers to directly-mapped structs andarrays in base DEX */

    const DexHeader*    pHeader;

    const DexStringId*  pStringIds;

    const DexTypeId*    pTypeIds;

    const DexFieldId*   pFieldIds;

    const DexMethodId*  pMethodIds;

    const DexProtoId*   pProtoIds;

    const DexClassDef*  pClassDefs;

          const DexLink*      pLinkData;

 

3、 DexHeader结构占用0x70个字节如下：

structDexHeader {

    u1 magic[8];           /* includesversion number */

    u4 checksum;           /* adler32checksum */

    u1 signature[kSHA1DigestLen]; /* SHA-1 hash */

    u4 fileSize;           /* length ofentire file */

    u4 headerSize;         /* offset tostart of next section */

    u4 endianTag;

    u4 linkSize;

    u4 linkOff;

    u4 mapOff;

    u4 stringIdsSize;

    u4 stringIdsOff;

    u4 typeIdsSize;

    u4 typeIdsOff;

    u4 protoIdsSize;

    u4  protoIdsOff;

    u4 fieldIdsSize;

    u4 fieldIdsOff;

    u4 methodIdsSize;

    u4 methodIdsOff;

    u4 classDefsSize;

    u4 classDefsOff;

    u4 dataSize;

    u4 dataOff;

};

 

1)Magic字段标识了一个有效的dex文件，目前它的值固定为“64 65 78 0a 30 33 35 00”，转换为字符串为“dex.035”。

2)chencksum段为dex文件的校验和，通过它来判断dex文件是否被损坏或修改。

3)Signature字段用来识别最佳化之间的dex文件，checksum字段与signature字段将dexopt验证与优化。

4)FileSize字段记录了包括DexHeader在内的整个dex文件的大小。

5)HeaderSize字段记录了DexHeader结构本身占用的字节数，目前它的值为0x70。

6)endianTag字段指定了dex运行环境cpu字节序，预设值ENDIAN_CONSTANT等于0x12345678，表示默认采用Little-Endian字节序。

7)linkSize字段与stringldsOff字段指定链接段的大小与文件偏移，大多数情况下它们的值为0。

8)mapOff字段指定了DexMapList结构的文件偏移。

9)其他字段分别表示DexStringid、DexTypeid、DexProtoid、DexFieldid、DexMethonid、DexClassDef以及数据段的大小与文件偏移。

 

4、 DexHeader结构下面的数据为“索引结构区” 与“数据区”，“索引结构区”中各数据结构的偏移地址都是从DexHeader结构的stringIdsOff~classDefsOff字段的值指定的，它们并非真正的类数据，而是指向dex文件的data数据区的偏移或数据结构索引。(DexData字段，实际上是ubyte字节数组，包含了程序所有使用到的数据)

 

二、dex文件结构分析

 

1、 Dalvik虚拟机解析dex文件的内容，最终将其映射成DexMapList数据结构。DexHeader结构的mapOff字段指明了DexMaplist结构在dex文件中的偏移，声明如下。

 

Struct DexMapList{

          U4  size;                                   /*DexMapItem的个数*/

          DexMapItemlist[1];       /*DexMapItem结构*/

};

 

2、Size 字段表示接下来有多少个DexMapItem结构，DexMapItem的结构声明如下。

 

Struct DexMapItem {

          U2 type;           /*kDexType开头的类型*/

          U2 unused;      /*未使用，用于字节对齐*/

          U4 size;            /*指定类型的个数*/

          U4 offset;                 /*指定类型数据的文件偏移*/

};

 

2、 type字段为一个枚举常量，如下所示名称，通过类型很容易判断它的具体类型。

Enum{

          kDexTypeHeaderItem             = 0x0000,

          kDexTypeStringIdItem             = 0x0001,

          kDexTypeTypeIdItem               = 0x0002,

          kDexTypeProtoIdItem             = 0x0003,

          kDexTypeFieldIdItem               = 0x0004,

          kDexTypeMethodIdItem                 = 0x0005,

          ……….

          ……….

          kDexTypeAnnotationsDirectoryItem     = 0x2006,

};

 

DexMapItem中的size字段指定了特定类型的个数，它们以特定的类型在dex文件中连续存放。Offset为该类型的文件起始偏移地址。以Hello.dex为例，DexHeader结构的mapOff字段为0x290，读取0x290处的一个双字值为0x0d，表明接下来会有13个DexMapItem结构。使用hexdump –C命令打开Hello.dex，如下图：

 

注意：通过DexMapItem定义可以发现：这个定义的像类、字符串、方法等资源和dex文件头里定义的类型有很多是一样的。其实这个map的数据，就是头里类型的重复，完全是为了检验作用而存在的。当andriod系统加载dex文件时，如果比较文件头类型个数与map里类型不一致时，就会停止使用这个dex文件。