前言
Dalvik指令語法詳解
該篇文章為本人的學習筆記,如有不對之處,請指教.
附參考鏈接:smali文件語法參考
類型
字節碼類型描述符
| 語法 | 含義 |
|---|---|
V |
void,只用于返回值類型 |
Z |
boolean |
B |
byte |
S |
short |
C |
char |
I |
int |
J |
long |
F |
float |
D |
double |
L |
java類類型 |
[ |
數組類型 |
其中L類型可以表示Java類型中的任何類.
例如
java.lang.String
在smali語法中表示為:
Ljava.lang.String;
注意后面有個分號,L類型最后的分號表示對象名結束.
[類型可以表示所有基本類型的數組. [后面緊跟基本數據類型描述符. 如[I 相當于Java中的int[],即一維數組. [[I相當于Java中的int[][],即二維數組.
三維、四維等等數值以此類推. 注意多維數組的維數最大為255個.
L 與 [ 可以同時使用用來表示對象數組. 如[Ljava.lang.String;就表示這是一個String類型的數組.
方法及字段
方法的表現格式如下
Lpackage/name/ObjectName;->MethodName(III)Z
其中 Lpackage/name/ObjectName;應該理解為該方法所在的類,MethodName為具體方法名,(III)Z 這是方法具體的傳參和返回部分,其中括號內的III為方法參數(在這里是表示三個int類型的參數),Z表示方法多維返回值(在這里返回值為boolean類型).
字段的格式和方法很像,只是方法的括號、括號里面的參數及返回值,這些字段都是沒有的,后面取而代之的是字段自己的類型.字段格式如下
Lpackage/name/ObjectName;->FieldName:Ljava/lang/String;
其中Lpackage/name/ObjectName;不用說還是該字段所在的類,FieldName為字段名,Ljava/lang/String;為字段類型.其中字段名與字段類型之間用冒號:隔開.
Dalvik指令
首先咱們來解析一條指令
move-wide/from16 vAA,vBBBB
move為基礎字節碼,即操作符 . wide為名稱后綴,標識操作的數組為64位. from16位字節碼的后綴,標識源操作數是一個16位寄存器引用變量. vAA為目的寄存器,他始終在源寄存器的前面.
vBBBB為源寄存器. 若沒有wide后綴,默認為32位.
move指令
move 指令的作用是將源寄存器的值賦值給目的寄存器,即
move vA,vB
move-wide作用同上,只是賦值的為64位.</br> move-object是為對象賦值.
move-result 指令的作用是將上一個invoke類型指令的操作結果賦值給目的寄存器,即
move-result vAA
move-result-wide作用同上,只是賦值的為64位. </br> move-object同上,只是賦值為對象類型.
返回指令
return-void表示函數從一個void方法返回.
return 表示函數返回一個32位非對象的值.
return-wide 表示函數返回一個64位非對象的值.
return-object 表示函數返回一個對象類型.
數據定義
const常用來定義程序中用到是常量、字符串、類等數據.</br> const 、const/4、const/16給寄存器賦值基本數據類型.即
const/4 v1, 0x2
當const-string給寄存器賦字符串,即
const-string v0, "\u60a8\u7684\u8bd5"
</br>const-class給寄存器賦值一個類引用.
鎖指令
鎖指令用于在多線程程序中對同一對象的操作.
monitor-enter v0
為指定的對象獲取鎖.
monitor-exit v0
釋放指定對象的鎖.
實例操作指令
- 類型轉換指令
check-cast v0,type@BBBB
將v0寄存器轉換成指定的類型.
- 檢查指令
instance-of v0,v1,type@BBBB
檢測v1是否可以轉換成指定類型,可以轉換v0賦值為1,否則賦值 0.
- 創建指令
new-instance v0,type@BBBB
構造一個指定類型的實例,并把實例對象的引用賦值給v0.類型符 type指定類型不能為數組.
數組操作指令
- 創建數組
new-array v0,v1,type@BBBB
構造指定類型的數組,v1表示數組的大小,并將數組賦值給v0.
filed-new-array {v1,v2,v3},type@BBBB
構造數組的另一種方式,即相當于Java中的
int[] arrays= {1,2,3,4};
- 獲取數組長度
array-length v0,v1
獲取v1寄存器中的數組長度,并賦值給v0寄存器.
跳轉指令
- goto指令
goto +AA
無條件跳轉到指定偏移量處,偏移量不能為0.
- switch指令
packed-switch v0,+BBBB
分支跳轉,v0寄存器為switch分支中的判斷值,+BBBB指向的是packed-switch-payload格式的偏移表,表中的值是有規律的.
sparse-switch v0,+BBBB
作用同上,唯一不同是偏移表中的值是無規律的.
- if指令
if指令格式如下
if-eq(此處可替換) v0,v1,+BBBB
比較兩個寄存器的值,符合條件進行跳轉.
| 操作符 | 作用 | 對應java語句 |
|---|---|---|
if-eq |
如果v0等于v1則跳轉. |
if(v0==v1) |
if-ne |
如果v0不等于v1則跳轉. |
if(v0!=v1) |
if-lt |
如果v0小于v1則跳轉. |
if(v0<v1) |
if-gt |
如果v0大于v1則跳轉. |
if(v0>v1) |
if-le |
如果v0小于等于v1則跳轉. |
if(v0<=v1) |
if-ge |
如果v0大于等于v1則跳轉. |
if(v0>=v1) |
if-eq(此處可替換) v0,+BBBB
用寄存器中的值和0進行比較,符合跳轉跳轉.
| 操作符 | 作用 | 對應java語句 |
|---|---|---|
if-eqz |
如果v0等于0則跳轉. |
if(v0==0) |
if-nez |
如果v0不等于0則跳轉. |
if(v0!=0) |
if-ltz |
如果v0小于0則跳轉. |
if(v0<0) |
if-gtz |
如果v0大于0則跳轉. |
if(v0>0) |
if-lez |
如果v0小于等于0則跳轉. |
if(v0<=0) |
if-gez |
如果v0大于等于0則跳轉. |
if(v0>=0) |
比較指令
用于比較兩個寄存器的值(浮點型或長整型),比較結果放到v0寄存器中.
格式
cmpl-float(此處可替換) v0,v1,v2
| 操作符 | 作用 |
|---|---|
cmpl-float |
如果v1小于v2則結果為1,相等則結果為0,大于則結果為-1. |
cmpg-float |
如果v1大于v2則結果為1,相等則結果為0,小于則結果為-1. |
cmpl-double |
如果v1小于v2則結果為1,相等則結果為0,大于則結果為-1. |
cmpg-double |
如果v1大于v2則結果為1,相等則結果為0,小于則結果為-1. |
cmp-long |
如果v1大于v2則結果為1,相等則結果為0,小于則結果為-1. |
字段操作指令
字段操作指令分兩大類:普通字段和靜態字段,普通字段指令的前綴為i,靜態字段指令的前綴為s.
字段的讀操作指令為get,寫操作指令為put,因此普通字段的操作指令為iget,iput.靜態字段的操作指令為sget,sput.
指令格式如下
.line 16
iput-object p1, p0, Lcom/view/dialogapplication/PhoneInfo;->context:Landroid/content/Context;
上面是一段iput指令代碼,它所對應的java代碼如下
this.context = context;
沒錯,它就會一個簡單的賦值context的代碼;
由此,可以看出來, p1是要賦值的context,p0是源,而后面的第三個參數
Lcom/view/dialogapplication/PhoneInfo;->context:Landroid/content/Context;
可以看出來是p1的字段名.
此外還有一組以a為前綴的的操作指令,分別為aput和aget,不過它們應該不算在字段的范疇了,應該為數組操作范疇,但因為也是和讀寫操作有關,所以就寫在這里了,具體格式如下
aput-object v2,v1,v0
其具體作用為將v2的值放入到v1數組的v0位置處.所以可以看出,v2為要放入的值,v1代表著存放v2值的數組,而v0則是v2要存放在數組的位置,即v0為index(數組角標).
方法調用指令
方法調用指令賦值調用類實例(也就是對象)的方法,它的基礎指令為invoke.指令格式如下
invoke-virtual(名稱后綴可替換) {v0,v1},method@BBBB(具體的方法)
其中{v0,v1}大括號中第一位放的是調用方法的對象,之后的為方法中的參數.若沒有參數則只需傳入調用方法的對象,即{v0}.
| 指令 | 作用 |
|---|---|
invoke-virtual或invoke-virtual/range
|
調用實例的虛方法. |
invoke-super或invoke-super/range
|
調用實例父類的方法. |
invoke-direct或invoke-direct/range
|
調用實例的直接方法. |
invoke-static或invoke-static/range
|
調用實例的靜態方法. |
invoke-interface或invoke-interface/range
|
調用實例的接口方法. |
數字轉換指令
數據轉換指令用于將一種類型的數值轉換成另一種類型.格式如下
neg-int(可替換如下) v0,v1
指令中,v1存放需要轉換的數據,v0存放轉換后的結果.
| 指令 | 作用 |
|---|---|
neg-int |
對整型輸求補. |
not-int |
對整型輸求反. |
neg-long |
對長整型數求補. |
not-long |
對長整型數求反. |
neg-float |
對單精度浮點型數求補. |
neg-double |
對雙精度浮點數求補. |
int-to-long |
將整型數轉換為長整型. |
int-to-float |
將整型數轉換為單精度浮點型. |
int-to-double |
將整型數轉換為雙精度浮點型. |
long-to-int |
將長整型數轉換位整型. |
long-to-float |
將長整型數轉換為單精度浮點型. |
long-to-double |
將長整型數轉換為雙精度浮點型. |
float-to-int |
將單精度浮點轉換為整型. |
float-to-long |
將單精度浮點型轉換為長整型. |
float-to-double |
將單精度浮點型轉換為雙精度浮點型. |
double-to-int |
將雙精度浮點型轉換為整型. |
double-to-long |
將雙精度浮點型轉換為長整型. |
double-to-float |
將雙精度浮點型轉換為單精度浮點型. |
int-to-byte |
將整型轉換為字節型. |
int-to-char |
將整型轉換為字符串. |
int-to-short |
將整型轉換為短整型. |
數據運算指令
數據運算指令分為算術運算指令和邏輯運算指令,即 加、減、乘、除、取模、位移及與、或、非、異或等.
格式如下
add-int(可替換如下) v0,v1,v2
指令中,將v1和v2進行運算,結果存到v0.
| 指令 | 作用 |
|---|---|
add-type |
將v1和v2進行加法運算,即v1+v2. |
sub-type |
將v1和v2進行減法運算,即v1-v2. |
mul-type |
將v1和v2進行乘法運算,即v1*v2. |
div-type |
將v1和v2進行除法運算,即v1/v2. |
rem-type |
將v1和v2進行取模運算,即v1%v2. |
and-type |
將v1和v2進行與運算,即v1 AND v2. |
or-type |
將v1和v2進行或運算,即v1 OR v2. |
xor-type |
將v1和v2進行異或運算,即v1 XOR v2. |
shl-type |
將v1進行(有符號位)左移v2位,即v1<<v2. |
shr-type |
將v1進行(有符號位)右移v2位,即v1>>v2. |
ushr-type |
將v1進行(無符號位)右移v2位,即v1>>v2. |
其中后面的-type可以是-int、-long、-float、-double.
至此,Dalvik指令集基本就都介紹完了
