1. 為什么要反編譯?
場景一
產品經理:xxx,反編譯xxx的播放器,看看他們是怎么實現的?
場景二
測試:這個APP怎么一在我們手機上運行就會crash呀,xxx手機就不會
場景三
APP用戶:這個APP有漢化版的嗎?
- 在日常工作中,遇到最多的情況應該就是這三種了。接下來以第二種情況為例,來看下通過反編譯APK分析和解決Bug的過程。
2. 問題描述
使用硬件版本為T2的手機運行StabilityTest.apk進行'CPU+GPU STABLITY TEST'測試,每隔一段時間就會彈'Preparing scene.Please wait...'的提示框,而使用T1的硬件,不會出現該問題。
從問題描述上來看,應該是硬件差異導致的,和軟件無關。那為什么這個提示框總是一直彈出呢?一直彈也很討厭啦。由于是第三方APK,沒有源碼無法分析,所以先要對StabilityTest.apk進行反編譯,才能查看Dialog調用的流程。
3. 反編譯流程
- 反編譯的整體流程
3.1 準備工具
1. 工具介紹
2. Tip
除了上面提到的工具,還需要保證Java 1.7已經安裝成功,并且環境變量配置正確。
3. 獲取方法
-
ApkTool
組成:
由apktool.jar & apktool.bat兩支文件組成HomePage: http://ibotpeaches.github.io/Apktool/
官網上有最新apktool.jar可供下載,apktool.bat需要到Install Instructions頁面下載。HomePage
Install Instructions: https://ibotpeaches.github.io/Apktool/install/
apktool.bat其實就是一個用來運行apktool.jar的腳本,按照Install Instructions里面提示下載即可。
-
dex2jar
說明: 前面有提到dex2jar是可選的工具,dex2jar是和JD-GUI配合使用的,將smali代碼轉換為可讀的java代碼,如果你能看懂smali代碼就不需要獲取dex2jar了。
獲取地址: https://sourceforge.net/projects/dex2jar/
-
JD-GUI
HomePage: http://jd.benow.ca/
和dex2jar一樣,JD-GUI為可選軟件。從官網上獲取最新JD-GUI版本。
下載對應JD-GUI版本 signAPK
獲取路徑: https://github.com/appium/sign
在github上去下載sign.jar,然后執行java -jar sign.jar my.apk就可以進行簽名。
Tip: 你也可以下載signapk.jar,但是在簽名時需要執行的命令不一樣:
java -jar SignApk.jar testkey.x509.pem testkey.pk8 my.apk my.s.apk
這組命令和上面的命令是等價,相比之下,java -jar sign.jar my.apk要簡單得多。
![]()
signAPK
3.2 使用Apktool反解APK
執行命令apktool.bat d apk名稱
反解成功后,我們就可以得到AndroidManifest.xml、smali源碼和res等文件-
smali是Android Dalvik虛擬機內部執行的核心代碼
apktool.bat d StabilityTest.apk 目錄結構
3.3 使用dex2jar將classes.dex轉換為jar包
通過第一步反編譯出來的是smali文件,沒有smali語法基礎,閱讀起來很晦澀。通常我們會先去查看java代碼,然后再去對比看相應的smali文件,要輕松得多。
- 用壓縮軟件打開StabilityTest.apk,然后解壓出位于根目錄下的classes.dex
- 使用dex2jar將classes.dex轉換為jar包,我是直接把classes.dex放到dex2jar-2.0目錄下的,然后執行命令:
d2j-dex2jar.bat classes.dex
-
生成的classes-dex2jar.jar就在dex2jar-2.0目錄下
classes-dex2jar.jar
3.4 使用jd-gui打開classes-dex2jar.jar
- 如果覺得jd-gui查看代碼不方便,還可以通過File->Save All Sources導出一個classes-dex2jar.src.zip,將classes-dex2jar.src.zip解壓以后,導入到Sublime閱讀代碼。
3.5 分析代碼 & log
在代碼中搜字符串
在整個工程中搜索關鍵字Preparing scene.Please wait...定位到dismiss和show Dialog都是在TestGPU.java里的handleMessage中處理,只有在onSurfaceChanged時才會發message去顯示dialog-
分析log
只從上面定位到的代碼,好像也看不出來什么原因才會一直去調onSurfaceChanged。
只有先去看下log了,看看程序本身會不會打印出一些異常信息。果然log中報了一個異常,而且是不斷地在打印這個異常。log 再次check代碼
發現這些log是在獲取系統頻率TestGPU.update()出錯時打印,導致屏幕上還
會提示"bogomips"的信息,一直在調update。
調用過程:
TestGPU.update->getFrequencyCore0->eventLoop.sleep(500L)->TestGPU.update()
但是,這個看起來好像還是和onSurfaceChanged沒有關系。觀察彈提示框時,會顯示一個異常的字符串,正常情況應該會顯示cpu頻率。
搜索這個字符串,發現也是和update有關,在獲取cpu頻率失敗后,會去
cat proc/loadavg,然后將得到的結果設置給bogomipsTextView,就出現了這個字符串。
-
找到疑點
懷疑是由于bogomipsTextView顯示的內容太長,上面灰色區域顯示不下,導致影響了下面的3D顯示區域,然后去調用了onSurfaceChanged方法發送"load" message給handler,handler接收到message以后,一直會去顯示提示框。
3.6 修改smali源碼
-
為了驗證上面的猜測,試著設置一個短的字符串給bogomipsTextView,看看還會不會有這種情況
將反解以后的smali文件導入到Sublime,通過搜索字串"bogomipsTextView",找到TextView賦值的地方,將"BogoMIPS"賦值給這個TextView。
修改方法如下圖,只需要添加一句代碼:
const-string v3, "BogoMIPS"
對應java代碼其實只有這么幾句:
- Tip: 有細心的朋友會發現JAVA代碼里面有這么一句
self.getText(2130968587)
那2130968587對應字符串的值怎么找?
Step 1. 在classes-dex2jar.src.zip里面搜索"2130968587"
Step 2. 在反解后的apk目錄里面搜"cpu_text",最后發現cpu_text的
id = 0x7f04000b,轉為10進制,就是2130968587
Step 3. 結論: 213096858的值為"bogomips:"
3.7 重新生成apk
-
修改完smali源碼后,使用apktool重新打包生成apk
執行命令:apktool.bat b 反解后的apk文件夾名稱
-
打包后的apk位于StabilityTest\dist目錄下
打包后的apk.png
3.8 apk簽名
-
使用sign.jar進行簽名
執行java -jar sign.jar xxxx.apk就可以進行簽名,簽名以后的APK被重命名為xxxx.s.apk
java -jar sign.jar StabilityTest.apk
3.9 驗證效果
- 必須要卸載掉之前的apk,然后再安裝新的apk。可以看到修改已經生效,沒有再彈出提示框,證明了我們的猜測是正確的。
![]()
驗證效果
參考
- Smali語法可以參考《Android軟件安全與逆向分析》這本書
- 為Sublime Text安裝smali代碼語法高亮插件
- 常用android的smali注入代碼
