Android逆向破解入门

作者：xiaoyuer 合(🍕)天智汇

前年的(🗝)时候搞过一点Android逆向，好久没搞了，最近有个哥们让我帮他做(🌂)个Android逆(🌩)向的小题目，于是拾起来Android逆向的知识重新来搞搞吧，这个apk十分简单，属于入门级的Android逆向分析程序(⚓)，所以本文面向的对象主要是想涉足Android逆向的读者，让读者能(🔖)够了解一下Android逆向是怎么回事。我这里附上(🐢)apk文件，感兴趣的最好下载下来实操一下:

链接：https://pan.baidu.com/s/17d7zKMjh8rKjj9mUl3J_0Q 提取码：htrx

Android程序一般(👟)是使用Java语言开发，通过(🗳)生成一个apk文件安装到Android手(🔦)机上(✈)来运行，apk我们很容易获得，我们通过使用一些反汇编工具可以得知apk文件内部的逻辑，甚至得到他最初的Java源代码（不完全等同于开发时的源代码，但是大体上相同）。同时，也可以通过反汇编工具得到类似于smali代(🛣)码，smali代码是一种类似于汇编语言的代码，适合机器执行，但对于程序员来说就相对晦涩难懂了。

首先，使用apktools和jad-gui工具或者Androidkiller得到反(🙆)汇编后的smali代码和java代码，这(🌰)两款(😌)工具可以(🍝)很容(🤸)易在网上搜到，使用方法也很简单，这里就不赘述了。下面开始进入代(👡)码分析阶段，java代码比较容易看懂，所以这里就先上java代码吧：

通过上述两款工具得到的MainActivity的java源码如下所示：

package com.a.sample.androidtest;import android.content.Context;import android.os.Bundle;import android.support.v7.app.AppCompatActivity;import android.view.View;import android.view.View.OnClickListener;import android.widget.EditText;import android.widget.Toast;public class MainActivity extends AppCompatActivity {    private EditText editText;    private byte[] s = new byte[]{(byte) 113, (byte) 123, (byte) 118, (byte) 112, (byte) 108, (byte) 94, (byte) 99, (byte) 72, (byte) 38, (byte) 68, (byte) 72, (byte) 87, (byte) 89, (byte) 72, (byte) 36, (byte) 118, (byte) 100, (byte) 78, (byte) 72, (byte) 87, (byte) 121, (byte) 83, (byte) 101, (byte) 39, (byte) 62, (byte) 94, (byte) 62, (byte) 38, (byte) 107, (byte) 115, (byte) 106};    public boolean check() {        byte[] chars = this.editText.getText().toString().getBytes();        if (chars.length != this.s.length) {            return false;        }        int i = 0;        while (i < this.s.length && i < chars.length) {            if (this.s[i] != (chars[i] ^ 23)) {                return false;            }            i++;        }        return true;    }    protected void onCreate(Bundle savedInstanceState) {        super.onCreate(savedInstanceState);        setContentView((int) R.layout.activity_main);        final Context context = this;        this.editText = (EditText) findViewById(R.id.edit_text);        findViewById(R.id.button).setOnClickListener(new OnClickListener() {            public void onClick(View v) {                if (MainActivity.this.check()) {                    Toast.makeText(context, "You got the flag!", 1).show();                } else {                    Toast.makeText(context, "Sorry your flag is wrong", 1).show();                }            }        });    }}

猛一看这一段代码可能有点懵，没那个耐心去看这段代码在干嘛，这里可以先尝试使用安卓模拟器运行后观察一下程序的运行逻(🌹)辑，打开后发(🔡)现是一个输入框，然后(👭)一个check按钮。如图所示：

再结合代码进行分析可(🈷)知，当点击check按钮时(🚦)，会触发onClick函数，即如下代码段：

if (MainActivity.this.check()) {                    Toast.makeText(context, "You got the flag!", 1).show();                } else {                    Toast.makeText(context, "Sorry your flag is wrong", 1).show();

由此可知如果(🖱)check函数返(📢)回true，会提示You got the flag! 否则，提示Sorry your flag is wrong。下面对check函数进行分析：

public boolean check() {        byte[] chars = this.editText.getText().toString().getBytes();        if (chars.length != this.s.length) {            return false;        }        int i = 0;        while (i < this.s.length && i < chars.length) {            if (this.s[i] != (chars[i] ^ 23)) {                return false;            }            i++;        }        return true;    }

其中，this.s是一个byte型的数组：

private byte[] s = new byte[]{(byte) 113, (byte) 123, (byte) 118, (byte) 112, (byte) 108, (byte) 94, (byte) 99, (byte) 72, (byte) 38, (byte) 68, (byte) 72, (byte) 87, (byte) 89, (byte) 72, (byte) 36, (byte) 118, (byte) 100, (byte) 78, (byte) 72, (byte) 87, (byte) 121, (byte) 83, (byte) 101, (byte) 39, (byte) 62, (byte) 94, (byte) 62, (byte) 38, (byte) 107, (byte) 115, (byte) 106};

首先看到check函数先是检查输入的flag和s数组的长度(🎇)是否相等，之后进行while循环，其中if中的判(🐟)断条件为：

this.s[i] != (chars[i] ^ 23)

这里^指的是二进制按位异或。这样整个逻辑就分析清楚了，那么如何得到正确的flag呢？

有(🚉)一个需要记住的实用技巧，就是两次按位异或运算会得到自身，所以(🎅)我们对s数组再进行一次异或即可得到真实的flag；python脚本如下：

# -*- coding: utf-8 -*-def ascii2str():    asciis=[113,123,118,112,108,94,99,72,38,68,72,87,89,72,36,118,100,78,72,87,121,83,101,39,62,94,62,38,107,115,106]    strs=[]    for ascii in asciis:        str=chr(ascii^23)        strs.append(str)    print(''.join(strs))if __name__ == '__main__':    print("begin!")    ascii2str()    print("finished!")

运行后输出结果为：(❌)flag{It_1S_@N_3asY_@nDr0)I)1|d}，

输入后(🥃)可知(🐫)显示You got the flag! 如图所示：

前面提到除了Java源码，还有smali代码，那既然对Java源码都已经(🤹)分析清楚了，为啥还要看smali代码？smali的好处在于能回编译，实现破解效果，即不需要对他的算法进行分析，无需知道真实的flag即(🛵)可(🍉)让他显示You got the flag！那么我们就用smali来搞一(💢)下；

MainActivity的smali源码check函数如下(🧛)所示：

.method public check()Z    .locals 5    .prologue    const/4 v2, 0x0    .line 15    iget-object v3, p0, Lcom/a/sample/androidtest/MainActivity;->editText:Landroid/widget/EditText;    invoke-virtual {v3}, Landroid/widget/EditText;->getText()Landroid/text/Editable;    move-result-object v3    invoke-virtual {v3}, Ljava/lang/Object;->toString()Ljava/lang/String;    move-result-object v3    invoke-virtual {v3}, Ljava/lang/String;->getBytes()[B    move-result-object v0    .line 16    .local v0, "chars":[B    array-length v3, v0    iget-object v4, p0, Lcom/a/sample/androidtest/MainActivity;->s:[B    array-length v4, v4    if-eq v3, v4, :cond_1    .line 22    :cond_0    :goto_0    return v2    .line 18    :cond_1    const/4 v1, 0x0    .local v1, "i":I    :goto_1    iget-object v3, p0, Lcom/a/sample/androidtest/MainActivity;->s:[B    array-length v3, v3    if-ge v1, v3, :cond_2    array-length v3, v0    if-ge v1, v3, :cond_2    .line 19    iget-object v3, p0, Lcom/a/sample/androidtest/MainActivity;->s:[B    aget-byte v3, v3, v1    aget-byte v4, v0, v1    xor-int/lit8 v4, v4, 0x17    if-ne v3, v4, :cond_0    .line 18    add-int/lit8 v1, v1, 0x1    goto :goto_1    .line 22    :cond_2    const/4 v2, 0x1    goto :goto_0.end method

看起来比Java源码难懂(💓)了很多，其实我们目前只需要知道一些关键语句的含义就够了，当然后面如果想深(🚃)入学习肯，smali代(📳)码越(💷)熟悉越好，这里对这里的部分smali进(💂)行解释一下(🐁)，.method public check()Z 中的Z表示这是bool类型的函数(🛌)；.locals 5 表明了在这个函数中最少要用到的本地寄存器的个数(🏸)。.line 15 表明了该代码在原Java文件中的行数。其(🔬)余的(🍯)命令我也忘记了不少，为了避免误人子弟，我就大概解释一下主要的内容吧？

invoke-virtual {v3}, Landroid/widget/EditText;->getText()Landroid/text/Editable;

invoke-virtual是调用函数，invoke-static后面(😃)有一对大括号(💺)“{}”，其(💯)实是调用该方法的实例+参数列表。对v3进行分析就会发现它就是我们输入框输入的flag，v4就是上述数组里的s；看到这里：

if-eq v3, v4, :cond_1

其实我们已(⏬)经找到(🥣)了跳转点，if-eq 也就是(🚵)v3 v4相等时跳转到某处，那么(💋)如果我们(👚)把它直接改成不相等时跳转，岂不是输入除真实的flag外的任何值都会提示You got the flag! 那我们就来试试直接将if-eq改成if-ne，然后使用Androidkiller中的回编译功能，对他进行签名(🛅)，重新安装运行，发现(🧝)随便输入都(🙈)提示You got the flag!

AndroidAPK逆向分析

apk反编译java代码是进行apk代码分析、修改的基础，也能更好的理解apk的包(💽)结构。通过本实验，可掌握Android APK文件的逆向反编译过程，能够对APK文件进行简单的分析，学习相关工具的使(😺)用。

http://www.hetianlab.com/expc.do?ec=ECID172.19.104.182014053009520900001

声明：笔者初衷用于分享与普及网络知识，若读者因此作出任何危害网络安全行为后果自负，与合天智汇及原作者无关！