Android逆向破解入门
作者:xiaoyuer 合天智(🤼)汇
前年的时候搞过一点Android逆向,好久没搞了,最近有个哥们让我(🍟)帮他做个Android逆向的小题目,于是拾起来Android逆向的知识重新来搞搞吧,这个(😜)apk十分简单,属于入门级的Android逆向分析程序,所以本文面向的对象主要是想涉足Android逆向的读者,让读者能够了解一下Android逆向是怎么回事。我这里附上apk文件,感兴趣的最好下载下来实操一下:
链接:https://pan.baidu.com/s/17d7zKMjh8rKjj9mUl3J_0Q 提取码:htrx
引言Android程序(💟)一般是使用Java语言开发,通过生成一个apk文件安装到Android手机上来运行,apk我们很容(🐪)易获得,我们通过使用一些反汇编工具可以得知apk文件内部的逻辑,甚至得到他最初的Java源代码(不完全等同(🥒)于开发时的源(🥥)代码,但是大体上相同)。同时,也可以通(♿)过反(🚃)汇编工具得到(🎧)类似于smali代码,smali代码是一种类似于汇编语言的代码,适合机器执行,但对于程序(🛡)员来说就相对晦涩难懂了。
首先,使用apktools和jad-gui工具或(🍋)者Androidkiller得到反汇编后的smali代码和java代码,这两款工具可以很容易在网上搜到,使用方法也很简单,这里就不赘述了。下面开始进入代码分析阶段,java代码比较容(🤬)易看(🎭)懂,所以这里就先(⏮)上java代码(⛵)吧:
通过java得到flag通过上述两款工具得到的MainActivity的java源码如下所示:
package com.a.sample.androidtest;import android.content.Context;import android.os.Bundle;import android.support.v7.app.AppCompatActivity;import android.view.View;import android.view.View.OnClickListener;import android.widget.EditText;import android.widget.Toast;public class MainActivity extends AppCompatActivity { private EditText editText; private byte[] s = new byte[]{(byte) 113, (byte) 123, (byte) 118, (byte) 112, (byte) 108, (byte) 94, (byte) 99, (byte) 72, (byte) 38, (byte) 68, (byte) 72, (byte) 87, (byte) 89, (byte) 72, (byte) 36, (byte) 118, (byte) 100, (byte) 78, (byte) 72, (byte) 87, (byte) 121, (byte) 83, (byte) 101, (byte) 39, (byte) 62, (byte) 94, (byte) 62, (byte) 38, (byte) 107, (byte) 115, (byte) 106}; public boolean check() { byte[] chars = this.editText.getText().toString().getBytes(); if (chars.length != this.s.length) { return false; } int i = 0; while (i < this.s.length && i < chars.length) { if (this.s[i] != (chars[i] ^ 23)) { return false; } i++; } return true; } protected void onCreate(Bundle savedInstanceState) { super.onCreate(savedInstanceState); setContentView((int) R.layout.activity_main); final Context context = this; this.editText = (EditText) findViewById(R.id.edit_text); findViewById(R.id.button).setOnClickListener(new OnClickListener() { public void onClick(View v) { if (MainActivity.this.check()) { Toast.makeText(context, "You got the flag!", 1).show(); } else { Toast.makeText(context, "Sorry your flag is wrong", 1).show(); } } }); }}
猛一看这一段代码可能有点懵,没那个耐心去看这段代码(🐰)在干嘛,这里可以先尝试使用安卓模拟器运行后观察一下程序的运行逻辑,打开后发(👤)现是一个输入框,然后一个check按钮。如图所示(📪):
再结合代码进行分析可知,当点击check按钮时,会触发onClick函数,即如下代码段:
if (MainActivity.this.check()) { Toast.makeText(context, "You got the flag!", 1).show(); } else { Toast.makeText(context, "Sorry your flag is wrong", 1).show();
由此可知如(🤝)果check函数返回true,会提示You got the flag! 否则,提示Sorry your flag is wrong。下面对check函数进行(🕳)分析:
public boolean check() { byte[] chars = this.editText.getText().toString().getBytes(); if (chars.length != this.s.length) { return false; } int i = 0; while (i < this.s.length && i < chars.length) { if (this.s[i] != (chars[i] ^ 23)) { return false; } i++; } return true; }
其中,this.s是一个byte型的数组:
private byte[] s = new byte[]{(byte) 113, (byte) 123, (byte) 118, (byte) 112, (byte) 108, (byte) 94, (byte) 99, (byte) 72, (byte) 38, (byte) 68, (byte) 72, (byte) 87, (byte) 89, (byte) 72, (byte) 36, (byte) 118, (byte) 100, (byte) 78, (byte) 72, (byte) 87, (byte) 121, (byte) 83, (byte) 101, (byte) 39, (byte) 62, (byte) 94, (byte) 62, (byte) 38, (byte) 107, (byte) 115, (byte) 106};
首先看到check函数先是检查输入的flag和s数组的(🦉)长度是否相等,之后进行while循环,其中if中的判断条(🚋)件为:
this.s[i] != (chars[i] ^ 23)
这里^指的是二进制按位(🔡)异或。这样整个逻辑就分析清楚了,那么如何得到正确的flag呢(🎹)?
有一个需要记住(💾)的实用技巧,就是两次按位异或运算会得到自身,所以我们对s数组再进行一次异或即可得到真实的flag;python脚(🐻)本如(💚)下:
# -*- coding: utf-8 -*-def ascii2str(): asciis=[113,123,118,112,108,94,99,72,38,68,72,87,89,72,36,118,100,78,72,87,121,83,101,39,62,94,62,38,107,115,106] strs=[] for ascii in asciis: str=chr(ascii^23) strs.append(str) print(''.join(strs))if __name__ == '__main__': print("begin!") ascii2str() print("finished!")
运行后输出结果为:(🏬)flag{It_1S_@N_3asY_@nDr0)I)1|d},
输入后可知显示You got the flag! 如图所示:
前面提到除了Java源码,还有smali代码,那既然对Java源码都已经分析清(😣)楚了,为(🛢)啥还要看smali代码?smali的好处(🈹)在于能回编译,实现破解效果,即(🐊)不需要对他(🥏)的算法进行分析,无需知道真实的flag即可让他显(🐳)示You got the flag!那么我们(🥪)就用smali来搞一下;
MainActivity的smali源码check函数如下所示:
.method public check()Z .locals 5 .prologue const/4 v2, 0x0 .line 15 iget-object v3, p0, Lcom/a/sample/androidtest/MainActivity;->editText:Landroid/widget/EditText; invoke-virtual {v3}, Landroid/widget/EditText;->getText()Landroid/text/Editable; move-result-object v3 invoke-virtual {v3}, Ljava/lang/Object;->toString()Ljava/lang/String; move-result-object v3 invoke-virtual {v3}, Ljava/lang/String;->getBytes()[B move-result-object v0 .line 16 .local v0, "chars":[B array-length v3, v0 iget-object v4, p0, Lcom/a/sample/androidtest/MainActivity;->s:[B array-length v4, v4 if-eq v3, v4, :cond_1 .line 22 :cond_0 :goto_0 return v2 .line 18 :cond_1 const/4 v1, 0x0 .local v1, "i":I :goto_1 iget-object v3, p0, Lcom/a/sample/androidtest/MainActivity;->s:[B array-length v3, v3 if-ge v1, v3, :cond_2 array-length v3, v0 if-ge v1, v3, :cond_2 .line 19 iget-object v3, p0, Lcom/a/sample/androidtest/MainActivity;->s:[B aget-byte v3, v3, v1 aget-byte v4, v0, v1 xor-int/lit8 v4, v4, 0x17 if-ne v3, v4, :cond_0 .line 18 add-int/lit8 v1, v1, 0x1 goto :goto_1 .line 22 :cond_2 const/4 v2, 0x1 goto :goto_0.end method
看起来比Java源码难懂了很多,其实我们目前只需要知道一些关键语(♑)句的含义就够了,当然后(🛤)面如果想深入学习肯,smali代码越熟悉越好,这里对(🔈)这(🚴)里的部分(🕴)smali进行解释一下,.method public check()Z 中的Z表示这是bool类型的(🛵)函数;.locals 5 表明了在这个函数中最少要用到的本地寄存器(📆)的个数。.line 15 表(🛤)明了该(🛡)代码在原Java文件中的行数。其余的命令我也忘记了不少,为了避免误人子弟,我就大概解释一下主要的内容吧?
invoke-virtual {v3}, Landroid/widget/EditText;->getText()Landroid/text/Editable;
invoke-virtual是调用函数,invoke-static后面有一对大括号“{}”,其实是调用该(🚀)方法的实例+参数列表。对v3进行(🐤)分析就会发现它就是我们输入框输入的flag,v4就是上述数组里的(🚗)s;看到这里:
if-eq v3, v4, :cond_1
其实我们已经找到了(🎤)跳转点,if-eq 也就是v3 v4相等时跳转到某处,那么如果我们把它直接改成不相等时跳转,岂不是输入除真实的flag外的任何值都会提示(🐶)You got the flag! 那我们就来试试(🥦)直接将if-eq改成if-ne,然后使用Androidkiller中的回编译功能,对他进行签(🔯)名,重新安装(🧙)运行,发现随(🕺)便输入都提示You got the flag!
AndroidAPK逆向分(📔)析
apk反编译java代码是进行apk代码分析、修改的基础,也能更好的理解apk的包(🎩)结构。通过本实验,可掌握Android APK文件的逆向反编译过(🐏)程,能够对(🔆)APK文(🏮)件进行简单的分析(🗯),学习相关工具(🏍)的使用。
http://www.hetianlab.com/expc.do?ec=ECID172.19.104.182014053009520900001
声明:笔者初衷用于分享与普及网络知识,若读者因此作出任何危害网络安全行为后果自负,与合天智汇及原作(🛑)者无关!