Android软件越来越多的走向免费加广告模式了,但在我们日常应用中,还是不乏一些收费应用,一部分通过Market收费下载,另一部分将收费部分放到了软件的实现中,我们今天要讨论的就是后者,就我见到的一部分Android软件中,它们有通过序列号验证的,有通过Linsence绑定的,更有甚者是通过网络激活验证的,那它们的安全措施都有哪些?如何分析并破解它们?这将是这篇文章将要讲到的。
破解工具介绍
下表列举出了破解Android程序时可能会用到的工具:
工具名称 | 用途 |
AXMLPrinter2.jar | 用来解密输出APK中加密的XML文件 |
dex-translator | 包含dex2jar可以将APK中的classes.dex生成相应的JAR文件 |
JD-GUI.exe | 查看dex2jar生成的JAR文件(源码级显示,不过不太准确) |
DeDexer | DEX文件反编译工具,使用Jasmin格式 |
Smali,BakSmali | DEX文件编译与反编译工具,使用smali格式 |
EditPlus | 查看及编辑反汇编后的文件 |
IDA Pro | DEX反编译查看工具,可用来查找DEX文件补丁位置 |
Apktool | 集成了Smali与BakSmali,编译与反编译DEX更方便 |
Eclipse,ADT插件 | 编译Android补丁或测试程序 |
Netbeans | 配合ApkTool单步调试Smali文件 |
AndBug | APK调试工具(只支持Linux平台) |
Android SDK | 这个开发与测试APK都需要,ADB,AAPT,DDMS经常要用到 |
Jarsigner.exe.,keytool.exe | 对APK进行签名(JDK的Bin目录下) |
ApkTool_GUI | 这个现在用的人比较多,集成了反编译、编译、签名功能于一体 |
Android设备 | 测试程序用,没有的话模拟器或Android-x86(Android的PC版)也行 |
这些工具经常配合在一起使用来反编译与编译APK文件,但ApkTool_GUI的出现将这些繁琐的工作化繁为简。EditPlus主要用来高亮显示查看生成的反编译文件,为此我制作了Editplus的高亮语法文件一起打包给大家。DeDexer与BakSmali是目前广泛使用的两款DEX反编译工具,两个工具在语法上有细微的差别,我们在下面会此进行比较。
Dalvik VM & OpCodes
如同破解Windows程序需要掌握Windows程序特点一样,破解Android平台的程序需要先掌握Android程序开发的一些基本知识,一般的程序破解不需要深入的了解Android程序的开发,不过对于Android程序的运行机制应该有个大致的了解,完全不懂Android程序开发的朋友还是先打打基础吧!在Windows程序的调试时代,破解者将需要分析的程序载入Ollydbg之类的调试器中,在成千上万条汇编指令中寻找突破点,MASM语法的汇编自己也成为解密者需要掌握的基础,而我们要想熟练的分析Android程序,就必须要掌握Dalvik虚拟机的指令,听到虚拟机可能一部分人开始发怵了,其实Dalvik虚拟机与我们常说的Windows平台的VM虚拟机有着很大的区别,下面我们来看看什么是Dalvik虚拟机指令是何方神圣,它在Android程序破解中又有着怎样的地位?
Dalvik虚拟机是专门为Android平台上的程序运行而设计的一种代码运行机制,它主要的作用是对JAVA程序的ByteCode进行优化,以提高代码执行效率。可以说,从Android2.2版本开始,Android系统手机真正的拉开了市场,这背后很大一部分功劳要取决于强大的Dalvik JIT编译器,正是由于它大幅提升Android 2.2的各种性能。与传统的Java 虚拟机(JVM)基于栈有所不同,Dalvik是基于寄存器的虚拟机,这使得它们在编译的时候只需花费更短的时间。Dalvik JIT解释的JAVA ByteCode源于JVM而又优于JVM,在JAVA虚拟机中,代码是基于Method方式来运行解释编译的,而在Android2.2版本及以后的Dalvik JIT则是基于Trace解释编译的,Dalvik最多支持256个寄存器,但嵌入式CPU自身并不带那么多的寄存器,Dalvik 除了使用ARM本身的几个寄存器外,其它需要用到的寄存器会借用外部存储器来模拟,那Android程序运行时会用到多少个寄存器呢?答案是不确定的,它会在生成代码时进行计算。在这里,我们不去详细的探究Dalvik的运行机制,但掌握Dalvik指令的语法为以后的逆向工程做基础却是十分有必要的。一份详细的Dalvik opcodes表可以从Android源码中获得,在Android4.0的源码中,可以从dalvik/opcode-gen/bytecode.txt查看到完整支持的OpCodes,在dalvik/docs/dalvik-bytecode.html中可以找到Dalvik OpCodes的详细说明。早期的OpCodes使用一个字节就可以保存,意味着最多可以有256条指令,在最新的一份OpCodes列表中,OpCodes扩展了一字节,并扩充了一些指令。下面我们来看看Dalvik指令的格式,毕竟我们要看的不是这些OpCodes,而是由它们在一起组成的代码。
新建一个Android工程命名为HelloAndroid,HelloAndroidActivity.java文件使用默认生成的代码:
package cn.feicong.HelloAndroid;
import android.app.Activity;
import android.os.Bundle;
public class HelloAndroidActivity extends Activity {
/** Called when the activity is first created. */
@Override
public void onCreate(Bundle savedInstanceState) {
super.onCreate(savedInstanceState);
setContentView(R.layout.main);
}
}
编译生成APK文件,接下来看看反编译后的结果。
首先是DeDexer,进入命令行并定位到HelloAndroid/bin目录下,在命令行下运行java -jar ddx.jar -d outdir classes.dex (可从http://sourceforge.net/projects/dedexer/ 下载DeDexer)会在outdir目录中生成六个ddx文件,如图1所示:
打开HelloAndroidActivity.ddx文件代码如下:
.class public cn/feicong/HelloAndroid/HelloAndroidActivity
.super android/app/Activity
.source HelloAndroidActivity.java
.method public <init>()V
.limit registers 1
; this: v0 (Lcn/feicong/HelloAndroid/HelloAndroidActivity;)
.line 6
invoke-direct {v0},android/app/Activity/<init> ; <init>()V
return-void
.end method
.method public onCreate(Landroid/os/Bundle;)V
.limit registers 3
; this: v1 (Lcn/feicong/HelloAndroid/HelloAndroidActivity;)
; parameter[0] : v2 (Landroid/os/Bundle;)
.line 10
invoke-super {v1,v2},android/app/Activity/onCreate ; onCreate(Landroid/os/Bundle;)V
.line 11
const/high16 v0,32515
invoke-virtual {v1,v0},cn/feicong/HelloAndroid/HelloAndroidActivity/setContentView ; setContentView(I)V
.line 12
return-void
.end method
.class是程序的类名,.super为它的父类,.source为源文件。.method表示是一个类的方法,后面的大写'V'表示Void,即无返回值,<init表示是构造函数,.limit registers 1表示用到了一个寄存器,分号后面是注释,.line表示行号,可有可无,invoke-direct与return-void是Dalvik的OpCode,前者调用一个类的方法,后者直接返回。
看看BakSmali的反编译代码,运行apktool.jar d HelloAndroid.apk outdir2 在outdir2目录会生成一个smali目录,同样在相应的目录会生成六个Smali结尾的文件,如图2所示:
打开HelloAndroidActivity..smali文件代码如下:
.class public Lcn/feicong/HelloAndroid/HelloAndroidActivity;
.super Landroid/app/Activity;
.source "HelloAndroidActivity.java"
# direct methods
.method public constructor <init>()V
.locals 0
.prologue
.line 6
invoke-direct {p0}, Landroid/app/Activity;-><init>()V
return-void
.end method
# virtual methods
.method public onCreate(Landroid/os/Bundle;)V
.locals 1
.parameter "savedInstanceState"
.prologue
.line 10
invoke-super {p0, p1}, Landroid/app/Activity;->onCreate(Landroid/os/Bundle;)V
.line 11
const/high16 v0, 0x7f03
invoke-virtual {p0, v0}, Lcn/feicong/HelloAndroid/HelloAndroidActivity;->setContentView(I)V
.line 12
return-void
.end method
可以看出Smali文件的内容与ddx文件内容差别不是很大,ddx文件中有一些寄存器跟踪信息,用注释标了出来,而Smali则只对条件判断进行寄存器跟踪,ddx使用十进制表示数值,Smali则使用十六进制(Android资源ID也使用十六进制,我们搜索起来更方便),其它的不做太多比较了,不过目前使用Smali格式来分析DEX文件的人占多数,这一方面因为它代码漂亮,回编成功率高,更重要的是它能与Netbeans配合对Smali进行单步调试!!这不能不说是一个大亮点,详细的内容不是这篇文章的重点,可能以后会跟大家讨论。
上面的介绍部分就到这里了,下面正式进行实战破解环节。Let's GO!
破解实战
先说说APK的一般破解步骤,
- 对APK进行反编译。
- 对反编译的Smali文件进行分析或调试。
- 找到突破口,对Smali文件进行修改。(还有一种方法,更高效,我正在测试中,成功后与大家分享)
- 回编生成破解后的DEX文件。
- 重新打包生成APK并签名。
- 测试效果,不成功转到第二步操作。
试炼品我选择了国内著名公司金山出品的WPS Android4.0.3版,此版本的WPS是一个限制试用版,在安装运行后程序会提示软件过期。而目前最新的WPS已经免费了(可能并不好卖,呵呵)。
先安装运行程序,观察它的运行状态,执行这个软件会给出如图3的提示:
程序很大方的结出提示说已经过期了,我们点击更新即可以升级到最新版(在这里,我们就不升级了,因为升级后是免费的,对于我们练手就没搞头了),我们点击取消,程序退出。
下面我们对这个APK文件进行反编译。使用ApkTool_GUI,运行如图4:
将APK拖到第一个编辑框中,点击反编译APK,稍等片刻解压完成后会生成与文件名同名的文件夹,进入里面可以发现多出了一个smali文件夹,这个文件夹里面存放的就是我们需要分析的Smali文件。我们双击打开,可以发现里面竟然有几个文件夹及几千个smali文件!!我首次打开时也吃了一惊,如此多的文件让人怎么分析啊(大家可以发怵一下),如图5所示:
而且每个文件的文件名也很诡异,全是一些a-z的字母组合,打开任意一个smali文件看看,发现里面的方法名也是如此。分析过C#程序的人可能会觉得这里似乎很类似,是的,这些代码如同C#程序里面的混淆器混淆过一样,在Android程序开发的SDK中,提供了一套名叫Proguard的代码保护机制,它的作用就是通过随机化改变类中的方法及变量名,去除无用的虚方法、注释等手段让代码变得难以阅读,以此来达到保护程序的目的,在这里可能很多人再次发怵,本来就没弄过Android程序,现在一上来就是个混淆过的款,叫人怎么活啊!不要急,其实,被Proguard混淆过的代码还是有办法弄的,如有主要的几个类,如Service、Activity等类名是不能被混淆的,不过这不是我们今天要讲的重点。
我们接着分析,回想一下,我们在安装运行程序时,程序弹出了一个Message,想想我们在OD中破解Windows程序时用到的字符串参考,在这里是否可用呢?回答是:可以!我们在编译Android程序时,定义的字符串都保存在一个名收Strings.xml的文件中,编译生成APK后它也被加密打包到程序中了,而程序通过为每个字符串分配一个ID来进行调用,这些ID被保存在public.xml文件中。我们在刚才反编译的XML文件中找找就可以发现在res/values下有这两个文件,我们打开strings.xml并查找之,很快可以发现如下两行:
<string name="expired_title">产品过期</string>
<string name="expired_message">这是一个有使用期限的版本,从2012年1月1日开始此版本已过期, 请确保网络通畅,并立即检查升级。</string>
这两行字符串正是前面运行程序时弹出的MessageBox的标题与文字。我们在这里记下它们的名字为expired_title与expired_message。打开strings.xml文件查找expired_title与expired_message则可以找到下面两行:
<public type="string" name="expired_title" id="0x7f060166" />
<public type="string" name="expired_message" id="0x7f060167" />
找到了这两个ID就好办了,我们下面来看看Android程序中是如何构建一个字符串的,修改刚才的HelloAndroid代码如下:
public class HelloAndroidActivity extends Activity {
/** Called when the activity is first created. */
@Override
public void onCreate(Bundle savedInstanceState) {
super.onCreate(savedInstanceState);
setContentView(R.layout.main);
ShowString();
}
public void ShowString(){
String str = getString(R.string.hello);
Toast.makeText(getApplicationContext(), str,Toast.LENGTH_SHORT).show();
}
}
重新生成APK后并编译代码如下:
# virtual methods
.method public ShowString()V
.locals 3
.prologue
.line 16
const/high16 v1, 0x7f04
invoke-virtual {p0, v1}, Lcn/feicong/HelloAndroid/HelloAndroidActivity;->getString(I)Ljava/lang/String;
move-result-object v0
.line 17
.local v0, str:Ljava/lang/String;
invoke-virtual {p0}, Lcn/feicong/HelloAndroid/HelloAndroidActivity;->getApplicationContext()Landroid/content/Context;
move-result-object v1
const/4 v2, 0x0
invoke-static {v1, v0, v2}, Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/CharSequence;I)Landroid/widget/Toast;
move-result-object v1
invoke-virtual {v1}, Landroid/widget/Toast;->show()V
.line 18
return-void
.end method
.method public onCreate(Landroid/os/Bundle;)V
.locals 1
.parameter "savedInstanceState"
.prologue
.line 11
invoke-super {p0, p1}, Landroid/app/Activity;->onCreate(Landroid/os/Bundle;)V
.line 12
const/high16 v0, 0x7f03
invoke-virtual {p0, v0}, Lcn/feicong/HelloAndroid/HelloAndroidActivity;->setContentView(I)V
.line 13
invoke-virtual {p0}, Lcn/feicong/HelloAndroid/HelloAndroidActivity;->ShowString()V
.line 14
return-void
.end method
可以看到const/high16 v1, 0x7f04将V1寄存器的高16位设置为0x7f04,低位未设置则为0,然后调用getString()将结果保存到v0并设置到str中,在这里注意一下invoke-virtual之类调用的格式,在OpCode后面的括号中是参数列表,用逗号分隔,后面'L'打头的是相应参数的数据类型,用分号隔开,大写字符'I’表示为int类型。我们在反编译的文件夹中搜索调用了ID为0x7f060167文件。发现R$string.smali与DocumentManager.smali两个文件中有调用,第1个为代码编写时自动生成的,可以无视,第2个就是重点了,我们打开DocumentManager.smali文件查找调用处,代码为:
.method static synthetic e(Lcn/wps/moffice/documentmanager/DocumentManager;)V
.locals 3
iget-object v0, p0, Lcn/wps/moffice/documentmanager/DocumentManager;->cPj:Lcn/wps/moffice/writer/view/beans/g;
if-eqz v0, :cond_0 //如果g对象获取失败就跳到过期提示,这里是爆破点(g就是我们见到的过期提示框)
iget-object v0, p0, Lcn/wps/moffice/documentmanager/DocumentManager;->cPj:Lcn/wps/moffice/writer/view/beans/g;
invoke-virtual {v0}, Lcn/wps/moffice/writer/view/beans/g;->isShowing()Z //g对象是否已经显示
move-result v0
if-nez v0, :cond_1 //如果g显示了就直接返回就直接返回
:cond_0
new-instance v0, Lcn/wps/moffice/writer/view/beans/g; //创建一个g的实例
invoke-direct {v0, p0}, Lcn/wps/moffice/writer/view/beans/g;-><init>(Landroid/content/Context;)V //构造函数
const v1, 0x7f060166 //字符串常量产品过期
invoke-virtual {v0, v1}, Lcn/wps/moffice/writer/view/beans/g;->eb(I)Lcn/wps/moffice/writer/view/beans/g;
move-result-object v0 //调用g的eb()方法,应该是设置弹出框的标题
const v1, 0x7f060167 //字符串常量这是一个有使用期限的版本,从2012年1月1日开始此版本已过期, 请确保网络通畅,并立即检查升级。
invoke-virtual {p0, v1}, Lcn/wps/moffice/documentmanager/DocumentManager;->getString(I)Ljava/lang/String;
move-result-object v1 //取得字符串
invoke-virtual {v0, v1}, Lcn/wps/moffice/writer/view/beans/g;->be(Ljava/lang/String;)Lcn/wps/moffice/writer/view/beans/g;
move-result-object v0//调用g的be()方法,应该是设置弹出框的内容
const v1, 0x7f060112
new-instance v2, Lcn/wps/moffice/documentmanager/DocumentManager$4;
invoke-direct {v2, p0}, Lcn/wps/moffice/documentmanager/DocumentManager$4;-><init>(Lcn/wps/moffice/documentmanager/DocumentManager;)V //构造DocumentManager
invoke-virtual {v0, v1, v2}, Lcn/wps/moffice/writer/view/beans/g;->a(ILandroid/content/DialogInterface$OnClickListener;)Lcn/wps/moffice/writer/view/beans/g; //设置按钮监听器
move-result-object v0
const v1, 0x7f060165
new-instance v2, Lcn/wps/moffice/documentmanager/DocumentManager$7;
invoke-direct {v2, p0}, Lcn/wps/moffice/documentmanager/DocumentManager$7;-><init>(Lcn/wps/moffice/documentmanager/DocumentManager;)V //DocumentManager对象
invoke-virtual {v0, v1, v2}, Lcn/wps/moffice/writer/view/beans/g;->b(ILandroid/content/DialogInterface$OnClickListener;)Lcn/wps/moffice/writer/view/beans/g; //设置按钮监听器
move-result-object v0
iput-object v0, p0, Lcn/wps/moffice/documentmanager/DocumentManager;->cPj:Lcn/wps/moffice/writer/view/beans/g;
iget-object v0, p0, Lcn/wps/moffice/documentmanager/DocumentManager;->cPj:Lcn/wps/moffice/writer/view/beans/g;
const/4 v1, 0x0
invoke-virtual {v0, v1}, Lcn/wps/moffice/writer/view/beans/g;->setCancelable(Z)V //设置是否可取消
iget-object v0, p0, Lcn/wps/moffice/documentmanager/DocumentManager;->cPj:Lcn/wps/moffice/writer/view/beans/g;
invoke-virtual {v0}, Lcn/wps/moffice/writer/view/beans/g;->show()V //显示g,也就是过期对话框
:cond_1
return-void
.end method
这个e方法看得出来是重要的地方,我做了详细的注释,功能就是首先g是否已经显示,如果没显示就初始化并显示,我们爆破就简单了,直接if-eqz v0, :cond_0改成if-eqz v0, :cond_1。保存文件并退出,拖动不整个文件夹到ApkTool_Gui第二个编辑框重建APK。完成后拿到Android设备上测试。会发现程序弹出个Toast提示软件过期,然后就退出了,看来还有地方需要处理。按照上面的方法如法炮制搜索 0x7f060166(软件过期字符串的ID),发现有两处调用,而且两处调用都是类似的代码:
.method public final a(Lcn/wps/moffice/documentmanager/DocumentManager$a;Ljava/lang/String;)V
.locals 4
invoke-static {}, Lcn/wps/moffice/OfficeApp;->zc()Lcn/wps/moffice/OfficeApp;
move-result-object v0
invoke-virtual {v0}, Lcn/wps/moffice/OfficeApp;->zd()Z ///对程序进行验证
move-result v0
if-eqz v0, :cond_1 //验证为0就跑去运行程序
const v0, 0x7f060166 //软件过期字符串ID
invoke-virtual {p0, v0}, Lcn/wps/moffice/documentmanager/DocumentManager;->getString(I)Ljava/lang/String;
move-result-object v0
const/4 v1, 0x0
invoke-static {p0, v0, v1}, Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/CharSequence;I)Landroid/widget/Toast;
move-result-object v0
invoke-virtual {v0}, Landroid/widget/Toast;->show()V //弹出了Toast
iget-object v0, p0, Lcn/wps/moffice/documentmanager/DocumentManager;->DY:Lcn/wps/moffice/documentmanager/history/HistoryFiles;
iget-object v1, p0, Lcn/wps/moffice/documentmanager/DocumentManager;->cPk:Ljava/lang/Runnable;
const-wide/16 v2, 0x7d0
invoke-virtual {v0, v1, v2, v3}, Lcn/wps/moffice/documentmanager/history/HistoryFiles;->postDelayed(Ljava/lang/Runnable;J)Z //这里就OVER了
:cond_0
:goto_0
return-void
:cond_1
invoke-static {}, Lcn/wps/moffice/OfficeApp;->zc()Lcn/wps/moffice/OfficeApp;
move-result-object v0
invoke-virtual {p1}, Lcn/wps/moffice/documentmanager/DocumentManager$a;->toString()Ljava/lang/String;
move-result-object v1
invoke-virtual {v0, v1}, Lcn/wps/moffice/OfficeApp;->bO(Ljava/lang/String;)Z
move-result v0
同样,两处的修改很简单,只需要将if-eqz v0, :cond_1 改成if-nez v0, :cond_1就可以了。保存文件后重新回编,安装测试就会发现程序被破解掉了。运行效果如图6:
到这里,本文就结束了,总结一下,内容不多,主要介绍了Android程序分析需要用到的工具及Android程序的一般分析方法,另外,在实战中也看到了,混淆并不可怕,可怕的是没有耐心坚持下去。关于Android程序的破解分析我会继续下去,目前已知有另一种更高级的方法,不过我目前测试还没成功,等小有成果就拿来与大家分享。