Smali是Dalvik的寄存器语言,它与Java的关系,简单理解就是汇编之于C。假如你对汇编有足够的驾驭能力,那你可以通过修改汇编代码来改变C/C++代码的走向。当然,学过汇编的都清楚,汇编比BrainFuck还难学,更不用说去反编译修改了。
但是Smali有一点不一样,就是它很简单,只有一点点的语法,只要你会java,了解Android的相关知识,那你完全可以通过修改Smali代码来反向修改java代码,虽然绕了一点,但是在某些情况下你不得不这么做。还好,Smali很简单。
说了这么多,还没有说Smali哪来?没错。Smali代码是安卓APK反编译而来的,所以Smali文件和Java文件一一对应。获取Smali文件,我们需要下载一个辅助工具:ApkTool。apktool这个命令行工具如果详细使用功能参数是比较多的,但是这里我们只需要用到2个最基础的功能:
一个是反编译decode:
apktool d xxx.apk
另一个是打包build:
apktool b
这里要注意的是路径问题,apktool如果没有加入到环境变量中,记得cd到apktool的目录去使用它。另一个是打包,如果只是简单的使用参数b,那要求是要在反编译出来的项目目录下执行,而打包好的文件会保存在这个项目目录下的dist目录。
这是一个HelloWorld的应用程序反编译和打包的目录结构:
dalvik字节码有两种类型,原始类型和引用类型。对象和数组是引用类型,其它都是原始类型。
smali数据类型都是用一个字母表示,如果你熟悉Java的数据类型,你会发现表示smali数据类型的字母其实是Java基本数据类型首字母的大写,除boolean类型外,在smail中用大写的”Z”表示boolean类型。
V | void,只能用于返回值类型 |
Z | boolean |
B | byte |
S | short |
C | char |
I | int |
J | long (64 bits) |
F | float |
D | double (64 bits) |
对象以Lpackage/name/ObjectName;的形式表示。前面的L表示这是一个对象类型,package/name/是该对象所在的包,ObjectName是对象的名字,“;”表示对象名称的结束。相当于java中的package.name.ObjectName。
例如:Ljava/lang/String;相当于java.lang.String
数组的表示形式
[I——表示一个整型一维数组,相当于java中的int[]。 对于多维数组,只要增加[就行了。[[I相当于int[][],[[[I相当于int[][][]。注意每一维的最多255个。
对象数组的表示
[Ljava/lang/String;表示一个String对象数组。
(2)方法
方法通常必须详细的指定方法类型(?the type that contains the method) 方法名,参数类型,返回类型,所有这些信息都是为虚拟机是能够找到正确的方法并执行。
方法表示形式:Lpackage/name/ObjectName;->MethodName(III)Z
在上面的例子中,Lpackage/name/ObjectName;表示类型,MethodName是方法名。III为参数(在此是3个整型参数),Z是返回类型(bool型)。
方法的参数是一个接一个的,中间没有隔开。
一个更复杂的例子:method(I[[IILjava/lang/String;[Ljava/lang/Object;)Ljava/lang/String;
在java中则为:String method(int, int[][], int, String, Object[])
一个比较全面的例子:
.class public interface abstract Lcom/kit/network/CachableImage; .super Ljava/lang/Object; .source "SourceFile" # virtual methods .method public abstract getIsLarge()Z .end method .method public abstract getUrl()Ljava/lang/String; .end method .method public abstract getViewContext()Landroid/content/Context; .end method .method public abstract setBitmap(Landroid/graphics/Bitmap;Z)V .end method .method public abstract setIsLarge(Z)V .end method .method public abstract setUrl(Ljava/lang/String;)V .end method
上面的smali代码还原后的java代码为:
//#注:在实际代码中我们还必须引入相关的包 import android.content.Context; import android.graphics.Bitmap; public interface CachableImage { public abstract boolean getIsLarge(); public abstract String getUrl(); public abstract Context getViewContext(); public abstract void setBitmap(Bitmap bitmap); public abstract void setIsLarge(boolean islarge); public abstract void setUrl(String url); }
(3)字段
表示形式:Lpackage/name/ObjectName;->FieldName:Ljava/lang/String;即包名,字段名和各字段类型。 eg:
.field private _requestLayout:Z .field public isLarge:Z .field public resize:Z .field public thumbnailSize:I .field public url:Ljava/lang/String;
还原后的java代码为:
public boolean _requestLayout; public boolean isLarge; public boolean resize; public int thumbnailSize; public String url;
这里仍然以一个默认的HelloWorld的应用程序进行解释吧。新建一个HelloWorld安卓项目,在MainActivity中只保留onCreate函数。代码如下:
package com.fusijie.helloworld; import android.app.Activity; import android.os.Bundle; public class MainActivity extends Activity { @Override protected void onCreate(Bundle savedInstanceState) { super.onCreate(savedInstanceState); setContentView(R.layout.activity_main); } }
反编译后的Smali文件如下:
.class public Lcom/fusijie/helloworld/MainActivity; .super Landroid/app/Activity; .source "MainActivity.java" # direct methods .method public constructor ()V .locals 0 .prologue .line 14 invoke-direct {p0}, Landroid/app/Activity;->()V return-void .end method # virtual methods .method protected onCreate(Landroid/os/Bundle;)V .locals 1 .parameter "savedInstanceState" .prologue .line 18 invoke-super {p0, p1}, Landroid/app/Activity;->onCreate(Landroid/os/Bundle;)V .line 19 const/high16 v0, 0x7f03 invoke-virtual {p0, v0}, Lcom/fusijie/helloworld/MainActivity;->setContentView(I)V .line 20 return-void .end method
对比一下,可以比较清楚的看出来,smali代码其实就是对java代码一个翻译,只是没有java看起来那么简单,smali把很多应该复杂的东西还原成复杂的状态了。简单解释下这段代码。
对比了Java代码和Smali代码,可以很清楚的看到,原本只有几行的代码到了Smali,内容被大大扩充了。Smali还原了Java隐藏的东西,同时显式地指定了很多细节。这还只是个最基本的HelloWorld的onCreate函数,如果有内部类,还会分文件显示。
这样看来,其实Smali只能说复杂,不能说难。如果想全面了解smali语法,这里给出几个链接,算是总结的相对好一点的(其实我都没看到有系统总结的。。。如果你有好的资料,欢迎跟帖分享)
这里顺便提供2个利器:
了解了Smali的基本语法,那我们要动手试一下,Smali能做什么?仍然以HelloWorld为例,假如我们没有Android项目的源代码,只有一个APK,给他加个新功能吧!
这个功能很简单,只是在HelloWorld中输出一个“Hello, Smali”。
(1)第一步还是先使用apktool来反编译HelloWorld.apk。
(2)打开smali下的com/fusijie/helloworld/MainActivity.smali文件。
(3)原本我们在Java中要写的代码是:
Toast.makeText(this, "Hello, Smali", Toast.LENGTH_LONG).show();
翻译成Smali就是:
.line xx const-string v0, "Hello, Smali" const/4 v1, 0x1 invoke-static {p0, v0, v1}, Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/CharSequence;I)Landroid/widget/Toast; move-result-object v0 invoke-virtual {v0}, Landroid/widget/Toast;->show()V
(4)最后在插入Smali的时候,我们需要修改2个地方:
(5)使用apktool打包成apk,因为打包完后原有的密钥会丢失,所以需要重新打上我们自己的密钥,可以参考很早以前我写的一个帖子。
(6)最后的效果是这样的。
从上面一个例子对Smali的用途就很清楚了,没错,Smali注入。现在常见的除了测试以外的用途,Smali注入明显是带有黑客性质的,小的如破解游戏,替换游戏广告,大的甚至利用漏洞去破解密码,偷窃个人资料,财产等等。对Smali,安卓逆向分析,安卓系统安全比较清楚的,这些事其实都不算事。
我这里以一个实际上线的游戏破解为例,看看我们平时在写代码时要注意哪些问题,避免辛辛苦苦写游戏,却在帮人家数钱。这里的破解不是重点,反破解才是重点。
以市场上很火的一款单机游戏《消灭小星星》为例,下载地址是:http://apk.91.com/Soft/Android/com.brianbaek.popstar-340.html
相同的方法反编译,在/smali/com/zplay/android/sdk/pay/ZplayPay.smali文件的dopay函数开头,注入如下代码:
const/4 v0, 0x1 invoke-static {v0}, Lcom/zplay/iap/ZplayJNI;->sendMessage(I)V return-void
原理很简单,这个游戏使用了Zplay的支付系统,在Java层的处理了支付逻辑,如果觉得Smali读起来费劲,那么直接使用dex2jar就能很清楚的看到,支付提醒甚至是中文的。Java层处理完支付逻辑后会给C++层丢个消息,调用C++层的代码去处理游戏逻辑,比如成功支付,那么幸运星就会相应地增加。这里使用native方法进行处理。
所以注入的代码是,一旦进入支付逻辑,直接返回成功,同时强制返回函数,这就实现了支付的破解。当然作为一个有节操,有逼格的游戏从业者,这里就不放出破解版了(不过说得也够明白了)。查找注入点这东西靠的是耐心,细心和运气。
为了方便,一般会先用正常的java写一些调试类,然后反编译出静态的smali放入目标文件夹中以供调试使用。
再放张图,星星用不完了:
就像上面说的,Smali能做的不仅仅是这些。有兴趣的可以看看这篇文章《支付宝钱包手势密码破解实战》,我没有去验证过真伪,但是如作者所描述的应该是可行无误。这里用到的一个更高级的功能是将支付宝的加密解密逻辑Smali的jar包导入自己新建的工程,进而直接在自己的程序中集成支付宝的加密解密功能。
在逆向分析游戏的过程中,我也发现了几个重要的点能帮助开发者提高自己程序的安全性。
首先,完全避免破解是不可能的,我们能做的工作就是尽最大可能去妨碍破解者破解游戏,提高破解成本。