Android应用逆向分析技术综述

1、精选优质文档-倾情为你奉上精选优质文档-倾情为你奉上专心-专注-专业专心-专注-专业精选优质文档-倾情为你奉上专心-专注-专业Android应用逆向分析技术综述Dex文件结构Dex文件结构1. 文件头 DEX文件头主要包括校验和以及其他结构的偏移地址和长度信息。字段名称偏移值长度描述magic0 x08Magic值，即魔数字段，格式如”dex/n035/0”，其中的035表示结构的版本。checksum0 x84校验码。signature0 xC20SHA-1签名。file_size0 x204Dex文件的总长度。header_size0 x244文件头长度，009版本=0 x5C,035版本

2、=0 x70。endian_tag0 x284标识字节顺序的常量,根据这个常量可以判断文件是否交换了字节顺序,缺省情况下=0 x。link_size0 x2C4连接段的大小，如果为0就表示是静态连接。link_off0 x304连接段的开始位置，从本文件头开始算起。如果连接段的大小为0，这里也是0。map_off0 x344map数据基地址。string_ids_size0 x384字符串列表的字符串个数。string_ids_off0 x3C4字符串列表表基地址。type_ids_size0 x404类型列表里类型个数。type_ids_off0 x444类型列表基地址。proto_ids_

3、size0 x484原型列表里原型个数。proto_ids_off0 x4C4原型列表基地址。field_ids_size0 x504字段列表里字段个数。field_ids_off0 x544字段列表基地址。method_ids_size0 x584方法列表里方法个数。method_ids_off0 x5C4方法列表基地址。class_defs_size0 x604类定义类表中类的个数。class_defs_off0 x644类定义列表基地址。data_size0 x684数据段的大小，必须以4字节对齐。data_off0 x6C4数据段基地址2. 魔数字段魔数字段，主要就是Dex文件的标识符

4、，它占用4个字节，在目前的源码里是 “dexn”，它的作用主要是用来标识dex文件的，比如有一个文件也以dex为后缀名，仅此并不会被认为是Davlik虚拟机运行的文件，还要判断这 四个字节。另外Davlik虚拟机也有优化的Dex，也是通过个字段来区分的，当它是优化的Dex文件时，它的值就变成”deyn”了。根据这四个字 节，就可以识别不同类型的Dex文件了。3. 检验码字段 主要用来检查从这个字段开始到文件结尾，这段数据是否完整，有没有人修改过，或者传送过程中是否有出错等等。通常用来检查数据是否完整的算法，有 CRC32、有SHA128等，但这里采用并不是这两类，而采用一个比较特别的算法，叫做

5、adler32，这是在开源zlib里常用的算法，用来检查文件 是否完整性。该算法由MarkAdler发明，其可靠程度跟CRC32差不多，不过还是弱一点点，但它有一个很好的优点，就是使用软件来计算检验码时比较 CRC32要快很多。可见Android系统，就算法上就已经为移动设备进行优化了。SHA-1签名字段dex文件头里，前面已经有了面有一个4字节的检验字段码了，为什么还会有SHA-1签名字段呢？不是重复了吗？可是仔细考虑一下，这样设计自有道理。因 为dex文件一般都不是很小，简单的应用程序都有几十K，这么多数据使用一个4字节的检验码，重复的机率还是有的，也就是说当文件里的数据修改了，还是很 有

6、可能检验不出来的。这时检验码就失去了作用，需要使用更加强大的检验码，这就是SHA-1。SHA-1校验码有20个字节，比前面的检验码多了16个字 节，几乎不会不同的文件计算出来的检验是一样的。设计两个检验码的目的，就是先使用第一个检验码进行快速检查，这样可以先把简单出错的dex文件丢掉了， 接着再使用第二个复杂的检验码进行复杂计算，验证文件是否完整，这样确保执行的文件完整和安全。 SHA（Secure Hash Algorithm, 安全散列算法）是美国国家安全局设计，美国国家标准与技术研究院发布的一系列密码散列函数。SHA-1看起来和MD5算法很像，也许是Ron Rivest在SHA-1的设计

7、中起了一定的作用。SHA-1的内部比MD5更强，其摘要比MD5的16字节长4个字节，这个算法成功经受了密码分析专家 的攻击，也因而受到密码学界的广泛推崇。这个算法在目前网络上的签名，BT软件里就有大量使用，比如在BT里要计算是否同一个种子时，就是利用文件的签名 来判断的。同一份8G的电影从几千BT用户那里下载，也不会出现错误的数据，导致电影不播放。map_off字段这个字段主要保存map开始位置，就是从文件头开始到map数据的长度，通过这个索引就可以找到map数据。map的数据结构如下：名称大小说明size4字节map里项的个数list变长每一项定义为12字节，项的个数由上面项大小决定。map

8、数据排列结构定义如下：/*Direct-mapped map_list.*/typedef struct DexMapList u4 size; /* #of entries inlist */ DexMapItem list1; /* entries */DexMapList;每一个map项的结构定义如下：/*Direct-mapped map_item.*/typedef struct DexMapItem u2 type; /* type code (seekDexType* above) */ u2 unused; u4 size; /* count of items ofthe in

9、dicated type */ u4 offset; /* file offset tothe start of data */DexMapItem;DexMapItem结构定义每一项的数据意义：类型、类型个数、类型开始位置。其中的类型定义如下：/*map item type codes */enum kDexTypeHeaderItem = 0 x0000, kDexTypeStringIdItem = 0 x0001, kDexTypeTypeIdItem = 0 x0002, kDexTypeProtoIdItem = 0 x0003, kDexTypeFieldIdItem = 0 x

10、0004, kDexTypeMethodIdItem = 0 x0005, kDexTypeClassDefItem = 0 x0006, kDexTypeMapList = 0 x1000, kDexTypeTypeList = 0 x1001, kDexTypeAnnotationSetRefList = 0 x1002, kDexTypeAnnotationSetItem = 0 x1003, kDexTypeClassDataItem = 0 x2000, kDexTypeCodeItem = 0 x2001, kDexTypeStringDataItem = 0 x2002, kDe

11、xTypeDebugInfoItem = 0 x2003, kDexTypeAnnotationItem = 0 x2004, kDexTypeEncodedArrayItem = 0 x2005, kDexTypeAnnotationsDirectoryItem = 0 x2006,;从上面的类型可知，它包括了在dex文件里可能出现的所有类型。可以看出这里的类型与文件头里定义的类型有很多是一样的，这里的类型其实就是文件头里定义 的类型。其实这个map的数据，就是头里类型的重复，完全是为了检验作用而存在的。当Android系统加载dex文件时，如果比较文件头类型个数与 map里类型不一致时，就

12、会停止使用这个dex文件。string_ids_size/off字段这两个字段主要用来标识字符串资源。源程序编译后，程序里用到的字符串都保存在这个数据段里，以便解释执行这个dex文件使用。其中包括调用库函数里的类名称描述，用于输出显示的字符串等。string_ids_size标识了有多少个字符串，string_ids_off标识字符串数据区的开始位置。字符串的存储结构如下：/* * Direct-mapped string_id_item. */typedef struct DexStringId u4 stringDataOff; /* file offset to string_data_

13、item */ DexStringId;可以看出这个数据区保存的只是字符串表的地址索引。如果要找到字符串的实际数据，还需要通过个地址索引找到文件的相应开始位置，然后才能得到字符串数据。 每一个字符串项的索引占用4个字节，因此这个数据区的大小就为4*string_ids_size。实际数据区中的字符串采用UTF8格式保存。例如,如果dex文件使用16进制显示出来内容如下：063c 696e 6974 3e00其实际数据则是”0”另外这段数据中不仅包括字符串的字符串的内容和结束标志，在最开头的位置还标明了字符串的长度。上例中第一个字节06就是表示这个字符串有6个字符。关于字符串的长度有两点需要注意

14、的地方：1、关于长度的编码格式dex文件里采用了变长方式表示字符串长度。一个字符串的长度可能是一个字节（小于256）或者4个字节（1G大小以上）。字符串的长度大多数都是小于 256个字节，因此需要使用一种编码，既可以表示一个字节的长度，也可以表示4个字节的长度，并且1个字节的长度占绝大多数。能满足这种表示的编码方式有 很多，但dex文件里采用的是uleb128方式。leb128编码是一种变长编码，每个字节采用位来表达原来的数据，最高位用来表示是否有后继字节。它的编码算法如下：/* * Writes a 32-bit value in unsigned ULEB128 format. * Ret

15、urns the updated pointer. */DEX_INLINE u1* writeUnsignedLeb128(u1* ptr, u4 data) while (true) u1 out = data & 0 x7f; if (out != data) *ptr+ = out | 0 x80; data = 7; else *ptr+ = out; break; return ptr;它的解码算法如下：/* * Reads an unsigned LEB128 value, updating the given pointer to point * just past the e

16、nd of the read value. This function tolerates * non-zero high-order bits in the fifth encoded byte. */DEX_INLINE int readUnsignedLeb128(const u1* pStream) const u1* ptr = *pStream; int result = *(ptr+); if (result 0 x7f) int cur = *(ptr+); result = (result & 0 x7f) | (cur & 0 x7f) 0 x7f) cur = *(ptr

17、+); result |= (cur & 0 x7f) 0 x7f) cur = *(ptr+); result |= (cur & 0 x7f) 0 x7f) /* * Note: We dont check to see if cur is out of * range here, meaning we tolerate garbage in the * high four-order bits. */ cur = *(ptr+); result |= cur 28; *pStream = ptr; return result;根据上面的算法分析上面例子字符串，取得第一个字节是06，最高位

18、为0，因此没有后继字节，那么取出这个字节里7位有效数据，就是6，也就是说这个字符串是6个字节，但不包括结束字符“0”。2、关于长度的意义由于字符串内容采用的是UTF-8格式编码，表示一个字符的字节数是不定的。即有时是一个字节表示一个字符，有时是两个、三个甚至四个字节表示一个字符。 而这里的长度代表的并不是整个字符串所占用的字节数，表示这个字符串包含的字符个数。所以在读取时需要注意，尤其是在包含中文字符时，往往会因为读取的长 度不正确导致字符串被截断。二、1. 简介静态分析是探索Android程序内幕的一种最常见的方法，它与动态调剂双剑合璧，帮助分析人员解决分析时遇到的各种“疑难”问题。静态分析

19、是指在不运行的情况下，采用词法分析、语法分析等各种技术手段对程序文件进行扫描从而生成程序的反汇编代码，然后阅读反汇编代码来掌握程序功能的一种技术，它有两种方法：一种方法是阅读反汇编生成的Dalvik字节码，可以用IDA Pro分析dex文件，或者使用文本编辑器阅读baksmali反编译生成的smali文件；另一种方法是阅读反汇编生成的java源码，可以使用dex2jar生成jar文件，然后再使用jd-gui阅读jar文件的代码。2. 快速定位Android程序的关键代码特点：1、每个apk文件中都包含有一个AndroidManifest.xml文件，它记录着软件的一些基本信息。2、一个Andr

20、oid程序由一个或多个Activity以及其它组成，每个Activity都是相同级别的，不同的Activity实现不同的功能。六种方法定位关键代码：1、信息反馈发：先运行目标程序，然后根据程序运行时给出的反馈信息作为突破口寻找关键代码。2、特征函数法：跟信息反馈法类似。3、顺序查看发：从软件的启动代码开始，逐行的向下分析，掌握软件的执行流程。4、代码注入法：手动修改apk文件的反汇编代码，加入Log输出，配合LogCat查看程序执行到特定点时的状态数据。5、栈跟踪法：输出运行时的栈跟踪信息，然后查看栈上的函数调用序列来理解方法的执行流程。6、方法剖析：热点分析和性能优化。3. smali文件格

21、式每个smali文件都由若干条语句组成，所有的语句都遵循着一套语法规则。在smali 文件的头3 行描述了当前类的一些信息，格式如下：打开MainActivity.smali 文件，头3 行代码如下：smali文件中字段的声明使用“.field”指令。字段有静态字段与实例字段两种。静态字段的声明格式如下:实例字段的声明与静态字段类似，只是少了static关键字，它的格式如下:smali 文件中方法的声明使用“.method ”指令,方法有直接方法与虚方法两种。直接方法的声明格式如下:虚方法的声明与直接方法相同，只是起始处的注释为“virtual methods”,如果一个类实现了接口，会在sm

22、ali 文件中使用“.implements ”指令指出,相应的格式声明如下:注解的作用范围可以是类、方法或字段。如果注解的作用范围是类，“.annotation ”指令会直接定义在smali 文件中，如果是方法或字段，“.annotation ”指令则会包含在方法或字段定义中。例如:Android 程序中的类4.1 内部类Java 语言允许在一个类的内部定义另一个类，这种在类中定义的类被称为内部类（Inner Class）。内部类可分为成员内部类、静态嵌套类、方法内部类、匿名内部类。在反编译dex 文件的时候，会为每个类单独生成了一个 smali 文件，内部类作为一个独立的类，它也拥有自己独立

23、的smali 文件，只是内部类的文件名形式为“外部类$内部类.smali ”，例如：4.2 监听器Android程序开发中大量使用到了监听器，如Button的点击事件响应OnClickListener、Button的长按事件响应OnLongClickListener、ListView列表项的点击事件响应 OnItemSelected-Listener等。实例源码以及反编译设置按钮点击事件监听器的代码如下：在MainActivity$1.smali 文件的开头使用了“.implements ”指令指定该类实现了按钮点击事件的监听器接口，因此，这个类实现了它的OnClick()方法，这也是我们在分

24、析程序时关心的地方。另外，程序中的注解与监听器的构造函数都是编译器为我们自己生成的，实际分析过程中不必关心。4.3 注解类注解是Java 的语言特性，在 Android的开发过程中也得到了广泛的使用。Android系统中涉及到注解的包共有两个：一个是dalvik.annotation；另一个是 android.annotation。例如：除了SuppressLint与TargetApi注解，android.annotation 包还提供了SdkConstant与Widget两个注解，这两个注解在注释中被标记为“hide”，即在 SDK 中是不可见的。SdkConstant注解指定了SDK中可以被导出的常量字段值，Widget 注解指定了哪些类是 UI类，这两个注解在分析Android程序时基本上碰不到，此处就不去探究了。4、自动生成的类使用 Android SDK 默认生成的工程会自动添加一些类。例如：由于这些资源类都是R 类的内部类，因此它们都会独立生成一个类文件，在反编译出的代码中，可以发现有R.smali、R$attr.smali 、R$dimen.smali、R$drawable.smali、R$id.smali、R$layout.smali、R$menu.smali 、R$string.smali 、R$style.smali 等几个文件。三、Li