Android逆向破解入门

作者：xiaoyuer 合天智(🤼)汇

前年的时候搞过一点Android逆向，好久没搞了，最近有个哥们让我(🍟)帮他做个Android逆向的小题目，于是拾起来Android逆向的知识重新来搞搞吧，这个(😜)apk十分简单，属于入门级的Android逆向分析程序，所以本文面向的对象主要是想涉足Android逆向的读者，让读者能够了解一下Android逆向是怎么回事。我这里附上apk文件，感兴趣的最好下载下来实操一下:

链接：https://pan.baidu.com/s/17d7zKMjh8rKjj9mUl3J_0Q 提取码：htrx

Android程序(💟)一般是使用Java语言开发，通过生成一个apk文件安装到Android手机上来运行，apk我们很容(🐪)易获得，我们通过使用一些反汇编工具可以得知apk文件内部的逻辑，甚至得到他最初的Java源代码（不完全等同(🥒)于开发时的源(🥥)代码，但是大体上相同）。同时，也可以通(♿)过反(🚃)汇编工具得到(🎧)类似于smali代码，smali代码是一种类似于汇编语言的代码，适合机器执行，但对于程序(🛡)员来说就相对晦涩难懂了。

首先，使用apktools和jad-gui工具或(🍋)者Androidkiller得到反汇编后的smali代码和java代码，这两款工具可以很容易在网上搜到，使用方法也很简单，这里就不赘述了。下面开始进入代码分析阶段，java代码比较容(🤬)易看(🎭)懂，所以这里就先(⏮)上java代码(⛵)吧：

通过上述两款工具得到的MainActivity的java源码如下所示：

package com.a.sample.androidtest;import android.content.Context;import android.os.Bundle;import android.support.v7.app.AppCompatActivity;import android.view.View;import android.view.View.OnClickListener;import android.widget.EditText;import android.widget.Toast;public class MainActivity extends AppCompatActivity {    private EditText editText;    private byte[] s = new byte[]{(byte) 113, (byte) 123, (byte) 118, (byte) 112, (byte) 108, (byte) 94, (byte) 99, (byte) 72, (byte) 38, (byte) 68, (byte) 72, (byte) 87, (byte) 89, (byte) 72, (byte) 36, (byte) 118, (byte) 100, (byte) 78, (byte) 72, (byte) 87, (byte) 121, (byte) 83, (byte) 101, (byte) 39, (byte) 62, (byte) 94, (byte) 62, (byte) 38, (byte) 107, (byte) 115, (byte) 106};    public boolean check() {        byte[] chars = this.editText.getText().toString().getBytes();        if (chars.length != this.s.length) {            return false;        }        int i = 0;        while (i < this.s.length && i < chars.length) {            if (this.s[i] != (chars[i] ^ 23)) {                return false;            }            i++;        }        return true;    }    protected void onCreate(Bundle savedInstanceState) {        super.onCreate(savedInstanceState);        setContentView((int) R.layout.activity_main);        final Context context = this;        this.editText = (EditText) findViewById(R.id.edit_text);        findViewById(R.id.button).setOnClickListener(new OnClickListener() {            public void onClick(View v) {                if (MainActivity.this.check()) {                    Toast.makeText(context, "You got the flag!", 1).show();                } else {                    Toast.makeText(context, "Sorry your flag is wrong", 1).show();                }            }        });    }}

猛一看这一段代码可能有点懵，没那个耐心去看这段代码(🐰)在干嘛，这里可以先尝试使用安卓模拟器运行后观察一下程序的运行逻辑，打开后发(👤)现是一个输入框，然后一个check按钮。如图所示(📪)：

再结合代码进行分析可知，当点击check按钮时，会触发onClick函数，即如下代码段：

if (MainActivity.this.check()) {                    Toast.makeText(context, "You got the flag!", 1).show();                } else {                    Toast.makeText(context, "Sorry your flag is wrong", 1).show();

由此可知如(🤝)果check函数返回true，会提示You got the flag! 否则，提示Sorry your flag is wrong。下面对check函数进行(🕳)分析：

public boolean check() {        byte[] chars = this.editText.getText().toString().getBytes();        if (chars.length != this.s.length) {            return false;        }        int i = 0;        while (i < this.s.length && i < chars.length) {            if (this.s[i] != (chars[i] ^ 23)) {                return false;            }            i++;        }        return true;    }

其中，this.s是一个byte型的数组：

private byte[] s = new byte[]{(byte) 113, (byte) 123, (byte) 118, (byte) 112, (byte) 108, (byte) 94, (byte) 99, (byte) 72, (byte) 38, (byte) 68, (byte) 72, (byte) 87, (byte) 89, (byte) 72, (byte) 36, (byte) 118, (byte) 100, (byte) 78, (byte) 72, (byte) 87, (byte) 121, (byte) 83, (byte) 101, (byte) 39, (byte) 62, (byte) 94, (byte) 62, (byte) 38, (byte) 107, (byte) 115, (byte) 106};

首先看到check函数先是检查输入的flag和s数组的(🦉)长度是否相等，之后进行while循环，其中if中的判断条(🚋)件为：

this.s[i] != (chars[i] ^ 23)

这里^指的是二进制按位(🔡)异或。这样整个逻辑就分析清楚了，那么如何得到正确的flag呢(🎹)？

有一个需要记住(💾)的实用技巧，就是两次按位异或运算会得到自身，所以我们对s数组再进行一次异或即可得到真实的flag；python脚(🐻)本如(💚)下：

# -*- coding: utf-8 -*-def ascii2str():    asciis=[113,123,118,112,108,94,99,72,38,68,72,87,89,72,36,118,100,78,72,87,121,83,101,39,62,94,62,38,107,115,106]    strs=[]    for ascii in asciis:        str=chr(ascii^23)        strs.append(str)    print(''.join(strs))if __name__ == '__main__':    print("begin!")    ascii2str()    print("finished!")

运行后输出结果为：(🏬)flag{It_1S_@N_3asY_@nDr0)I)1|d}，

输入后可知显示You got the flag! 如图所示：

前面提到除了Java源码，还有smali代码，那既然对Java源码都已经分析清(😣)楚了，为(🛢)啥还要看smali代码？smali的好处(🈹)在于能回编译，实现破解效果，即(🐊)不需要对他(🥏)的算法进行分析，无需知道真实的flag即可让他显(🐳)示You got the flag！那么我们(🥪)就用smali来搞一下；

MainActivity的smali源码check函数如下所示：

.method public check()Z    .locals 5    .prologue    const/4 v2, 0x0    .line 15    iget-object v3, p0, Lcom/a/sample/androidtest/MainActivity;->editText:Landroid/widget/EditText;    invoke-virtual {v3}, Landroid/widget/EditText;->getText()Landroid/text/Editable;    move-result-object v3    invoke-virtual {v3}, Ljava/lang/Object;->toString()Ljava/lang/String;    move-result-object v3    invoke-virtual {v3}, Ljava/lang/String;->getBytes()[B    move-result-object v0    .line 16    .local v0, "chars":[B    array-length v3, v0    iget-object v4, p0, Lcom/a/sample/androidtest/MainActivity;->s:[B    array-length v4, v4    if-eq v3, v4, :cond_1    .line 22    :cond_0    :goto_0    return v2    .line 18    :cond_1    const/4 v1, 0x0    .local v1, "i":I    :goto_1    iget-object v3, p0, Lcom/a/sample/androidtest/MainActivity;->s:[B    array-length v3, v3    if-ge v1, v3, :cond_2    array-length v3, v0    if-ge v1, v3, :cond_2    .line 19    iget-object v3, p0, Lcom/a/sample/androidtest/MainActivity;->s:[B    aget-byte v3, v3, v1    aget-byte v4, v0, v1    xor-int/lit8 v4, v4, 0x17    if-ne v3, v4, :cond_0    .line 18    add-int/lit8 v1, v1, 0x1    goto :goto_1    .line 22    :cond_2    const/4 v2, 0x1    goto :goto_0.end method

看起来比Java源码难懂了很多，其实我们目前只需要知道一些关键语(♑)句的含义就够了，当然后(🛤)面如果想深入学习肯，smali代码越熟悉越好，这里对(🔈)这(🚴)里的部分(🕴)smali进行解释一下，.method public check()Z 中的Z表示这是bool类型的(🛵)函数；.locals 5 表明了在这个函数中最少要用到的本地寄存器(📆)的个数。.line 15 表(🛤)明了该(🛡)代码在原Java文件中的行数。其余的命令我也忘记了不少，为了避免误人子弟，我就大概解释一下主要的内容吧？

invoke-virtual {v3}, Landroid/widget/EditText;->getText()Landroid/text/Editable;

invoke-virtual是调用函数，invoke-static后面有一对大括号“{}”，其实是调用该(🚀)方法的实例+参数列表。对v3进行(🐤)分析就会发现它就是我们输入框输入的flag，v4就是上述数组里的(🚗)s；看到这里：

if-eq v3, v4, :cond_1

其实我们已经找到了(🎤)跳转点，if-eq 也就是v3 v4相等时跳转到某处，那么如果我们把它直接改成不相等时跳转，岂不是输入除真实的flag外的任何值都会提示(🐶)You got the flag! 那我们就来试试(🥦)直接将if-eq改成if-ne，然后使用Androidkiller中的回编译功能，对他进行签(🔯)名，重新安装(🧙)运行，发现随(🕺)便输入都提示You got the flag!

AndroidAPK逆向分(📔)析

apk反编译java代码是进行apk代码分析、修改的基础，也能更好的理解apk的包(🎩)结构。通过本实验，可掌握Android APK文件的逆向反编译过(🐏)程，能够对(🔆)APK文(🏮)件进行简单的分析(🗯)，学习相关工具(🏍)的使用。

http://www.hetianlab.com/expc.do?ec=ECID172.19.104.182014053009520900001

声明：笔者初衷用于分享与普及网络知识，若读者因此作出任何危害网络安全行为后果自负，与合天智汇及原作(🛑)者无关！