Android(-1) 逆向笔记杂记

推荐肉丝r0ysue课程（包含安卓逆向与js逆向）：

乱七八糟的一些东西，本地删了，备份

环境搭建

1. JDK安装及配置

   链接：https://pan.baidu.com/s/146I4vDJdz8YeR0OEqLS8xw 提取码：7h00

2. SDK环境配置

   链接：https://pan.baidu.com/s/1A8rwqyw8Nn7p93Axqpll3A 提取码：cwv4

3. NDK环境配置

   链接：https://pan.baidu.com/s/1GBFK8r5R_GPSnIpTwpljKw 提取码：aj1a

4. eclipse集成开发环境搭建

   链接：https://pan.baidu.com/s/1LSwwRX9KdkPIjMDbdUzTRA 提取码：f224

5. Android Studio环境搭建

   链接：https://pan.baidu.com/s/1VOzGZZrFy1otg42uxa9Tzg 提取码：rdu6

6. jadx工具介绍及使用

   链接：https://pan.baidu.com/s/1f6gRO81fGL6RSY8gzsvOwA 提取码：1d97

7. JEB工具介绍及使用

   链接：https://pan.baidu.com/s/11LDq4DM4PsoTIL9hcy4BmA 提取码：2ukx

JDK配置

参考https://blog.csdn.net/Palmer9/article/details/106518530

SDK配置

添加环境变量

\sdk\platform-tools
\sdk\tools

NDK配置

添加环境变量

\ndk

虚拟机

• dalvik虚拟机(jlt机制)

  • Android 5.0以下

• art虚拟机(aot机制)

  • Android 5.0版本及以上

• 区分是哪种

  # 查看系统目录
  /system/bin/dexopt	# dalvik虚拟机 
  /system/bin/dex2oat	# art虚拟机
  

  .dex -> dexopt -> .odex		# dalvik加载执行odex文件
  .dex -> dex2oat -> .oat		# art加载执行oat文件
  

Apk文件结构

• assets 打包在apk里的静态资源文件
• lib 当前app所使用的so文件，so文件采用底层c,c++代码实现
• META-INF apk的签名校验
  • META-INF/MANIFEST证书签名文件
• res 存放资源文件，可以被索引
• AndroidManifest.xml 版本权限，组件声明
• classes.dex 应用程序的可执行文件
• resources.arsc 资源索引表，用来描述具有ID值的资源的配置信息

APK打包流程

APK安装流程

system/app	系统自带应用程序，获得adb root权限才能删除
data/app	用户程序安装的目录，安装时将apk文件复制到此目录
data/data	存放应用程序的数据
data/dalvik-cache	将apk的dex文件安装到此目录(dex是dalvik虚拟机的可执行文件)

• 安装过程
  • 复制apk安装包到data/app目录下，解压并扫描安装包，把dex文件保存到dalvik-cache目录，并data/data目录下创建对应的应用数据目录
• 写在过程
  • 删除安装过程中在上述三个目录下创建的文件及目录

AndroidKiller使用与配置

1. 配置jdk
2. 配置新版apktool

修改apk图标名称

AndroidManifest.xml

• <package> 包名
• <uses-permission> apk使用的权限
• <application> 程序入口点
  • android:icon apk图标
  • android:label apk名称
  • android:name 入口界面
  • <provider> 发布者签名
  • <activity> 程序的界面

搜索关键字进行修改

修改包名实现分身

修改<xml>内package包名，在后添加

搜索AndroidManifest.xml中的<provider，在，它的每个android:authorities后随便加点什么

（只能实现相同签名应用多开）

修改资源去广告

• 去除联网权限

• 去除开屏启动广告

  <!--入口界面activity特征-->
  <activity>
  	<intent-filter>
  		<action android:name="android.intent.action.MAIN"/>
  		<category android:name="android.intent.category.LAUNCHER"/>
  	</intent-filter>
  </activity>
  

  adb devices	#查看当前设备列表
  adb shell dumpsys activity top		# 查看当前顶层activity活动
  

20210321

使用apktool反编译对程序进行调试

1. 对apk进行反编译(异常报错，暂未成功)

   apktool d -d xx.apk -o xxdir
   # 参考官网apktool用法https://ibotpeaches.github.io/Apktool/install/
   

   xx.apk：需要反编译的目标apk

   xxdir：存放反编译结果的目标目录

   能反编译的最高apktool版本为apktool_2.0.3.jar

   SmaliDebugging has been removed in 2.1.0 onward.

2. 修改AndroidManifest.xml中application节点，添加android:debuggable="true"属性

3. 在入口点类的onCreate方法中添加invoke-static{},Landroid/os/Debug;->waitForDebugger()V

4. 对apk进行回编译

   apktool b -d xxdir -o new.apk
   

5. 对apk文件进行签名

   java -jar signakp.jar xx.pem xx.pk8
   

6. AndroidStudio导入编译后的文件目录，下断点

7. 设置远程调试Run -> Debug Congigurations -> Remote Java Application Host:localhost:8700

使用AndroidKiller反编译配合AndroidStudio对程序进行调试

1. AndroidStudio安装smalidea（设置高亮及断点）

   在Settings中

2. 使用AndroidKiller对apk进行反编译

3. 【工程管理器】->【项目名】->【右键->打开方式->打开文件路径】

4. 复制【文件路径\Project】到AndroidStudio打开【Open an Existing Project】

5. Configure Framework，默认OK

6. AS添加远程调试

   1. 菜单栏->Run->Edit Configurations
   2. 点【+】，添加【Remote】，修改端口localhost:8700

7. adb启动调试apk（需先安装调试apk）

   adb shell am start -D -n {package}/{name}
   # AndroidManifest.xml
   # {package}：<manifest>节点 package属性
   # {name}：主<activity>节点 android:name属性
   

8. 打开Android Device Monitor，点击模拟器下的{package}来设置端口

   • AS4.0版本已经没有快捷按钮，路径：sdk\tools\monitor.bat

   • 如果模拟器下无对应包，重启adb服务，并重新进行第【7】步

     adb kill-server
     adb start-server
     

9. AS在smali下 行号前双击 设置断点，点击调试按钮进行调试

tips

• AndroidKiller中smali文件修改
  • 可直接注释跳转修改apk运行流程
  • 可 右键->插入代码，插入log方便调试

20210322

Android Device Monitor

添加Log过滤

LogCat标签 -> Saved Filters -> + ，可设置各种过滤条件

视频去启动广告

抓包找到广告网址全局替换为空

Q&A

resource spec: 0x01010540

apktool d反编译报错resource spec: 0x01010540

winhex 字节形式搜索报错的16进制数的小端字节（就是40050101替换成8f040101）

resource spec: 0x01010543

apktool d反编译报错resource spec: 0x01010540

使用十六进制编辑器 字节形式搜索报错的16进制数的小端字节（就是12345678写成78564312）
这里我们搜索43050101，然后把它前面的字节0x02修改为0x03，保存后替换进apk即可

20210323

写了写java代码

Q&A

AndroidStudio 报错中文乱码

AndroidStudio 报错中文乱码

在AndroidStudio安装目录bin目录下，找到以下两个文件

Android Studio\bin\studio64.exe.vmoptions
Android Studio\bin\studio.exe.vmoptions

notepad++打开末尾添加

-Dfile.encoding=UTF-8

解决

20210326-学习随笔

Q&A

IDEA警告Wrong tag

IDEA警告 Wrong tag

方法【1】给自定义标签添加描述

Alt+Enter，Add Description to custom tags

方法【2】忽略这个警告类型

Settings -> Editor -> Inspections -> java -> javadoc -> Declaration has javadoc problems -> No highlighting, only fix

20210331-学习随笔

Q&A

IDEA Tomcat与控制台 乱码

Tomcat命令行窗口乱码

• 通过注册表修改Tomcat命令窗口的默认字符编码为UTF-8即可解决

  • 第一步：Windows+R打开运行，输入regedit进入注册表编辑器

  • 第二步：路径 计算机\HKEY_CURRENT_USER\Console\Tomcat，如果没有，在Console下新建项Tomcat

  • 第三步：新建DWORD值CodePage，右键->修改->10进制65001

  • 可以解决Tomcat startup.bat乱码

IDEA控制台乱码解决

首先要分清是tomcat日志编码，与idea的日志显示控制台编码

• tomcat日志编码：tomcat根目录\bin\catalina.bat

  • 首行添加chcp 65001切换cmd为utf8
  • chcp 936切换cmd为gbk（题外话，不需要做）
  • 确定tomcat日志编码，一般因为tomcat/conf/logging.properties中java.util.logging.ConsoleHandler.encoding = UTF-8已设置为utf8

  做了上一步，可以不做这一步

• idea显示编码：windows默认用gbk所以idea显示默认为gbk编码

  • 【一定】在 Help-- custom vm options 添加

  -Dfile.encoding=UTF-8
  

  • 强制为utf8编码显示，不要自己改.vmoptions，可能位置不对，idea会在用户目录复制一个
  • 【切忌】自己改tomcat的logging.properties 为GBK 会导致调试时IDEA get/post参数乱码

20210408-学习随笔

DEX文件结构

dex文件整体结构

结构名称	解释
dex header	dex文件头部，记录整个dex文件的相关属性
string_ids	字符串数据索引，记录了每个字符串的偏移量
type_ids	数据类型数组，记录了每个类型在string_ids数组中的的字符串索引
proto_ids	方法声明的偏移量，记录了方法声明的字符串，返回类型字符串，参数列表
field_ids	字段数据索引，记录了所属类，类型以及方法名
method_ids	类方法索引，记录方法所属类名，方法声明以及方法名等信息
class_defs	类定义数据索引，记录指定类各类信息，包括接口，超类，类数据偏移量
data	数据区，保存了各个类的真实数据
link_data	静态链接数据区

dex header

struct DexHeader {
    u1  magic[8];           /* 版本标识 */
    u4  checksum;           /* adler32 检验 */
    u1  signature[kSHA1DigestLen]; /* SHA-1 哈希值 */
    u4  fileSize;           /* 整个文件大小 */
    u4  headerSize;         /* DexHeader 大小 */
    u4  endianTag;          /* 字节序标记 */
    u4  linkSize;           /* 链接段大小 */
    u4  linkOff;            /* 链接段偏移 */
    u4  mapOff;             /* DexMapList 的文件偏移 */
    u4  stringIdsSize;      /* DexStringId 的个数 */
    u4  stringIdsOff;       /* DexStringId 的文件偏移 */
    u4  typeIdsSize;        /* DexTypeId 的个数 */
    u4  typeIdsOff;         /* DexTypeId 的文件偏移 */
    u4  protoIdsSize;       /* DexProtoId 的个数 */
    u4  protoIdsOff;        /* DexProtoId 的文件偏移 */
    u4  fieldIdsSize;       /* DexFieldId 的个数 */
    u4  fieldIdsOff;        /* DexFieldId 的文件偏移 */
    u4  methodIdsSize;      /* DexMethodId 的个数 */
    u4  methodIdsOff;       /* DexMethodId 的文件偏移 */
    u4  classDefsSize;      /* DexClassDef 的个数 */
    u4  classDefsOff;       /* DexClassDef 的文件偏移 */
    u4  dataSize;           /* 数据段的大小 */
    u4  dataOff;            /* 数据段的文件偏移 */
};

• magic ： dex.035
• checksum ：dex文件的校验和，用来判断dex文件是否损坏或被篡改
• signature ： SHA校验
• fileSize ：整个dex文件的大小(byte)
• headerSize ： 记录了Header占用的字节数
• endianTag：指定CPU字节序，默认为ENDIAN_CONSTANT 0x12345678(小端序)
• mapOff ： 指定了map_list结构的文件便宜
• stringIdsSize ：string_ids结构的字节数
• stringIdsOff ：string_ids结构的文件偏移
• 其余同…

string_ids

struct DexStringId {
    u4 stringDataOff;      // 字符串数据的文件字节偏移
};

存放字符串所在位置的偏移

其中偏移对应的位置，字符串第(1-5)个字节保存着字符串的长度，之后是一个char数组，以00结尾

type_ids

struct DexTypeId {
    u4  descriptorIdx;      /* 在String_ids数组中的索引 */
};

是用到的类型数组，每个元素为用到的类型(类)，存放的数据为在string_ids数组中的索引

proto_ids

方法原型声明的数组

struct DexProtoId {
    u4 shortyIdx;		// 返回类型 string_ids 的索引
    u4 returnTypeIdx;	// 返回类型 type_ids 的索引
    u4 parametersOff;	/* 指向参数类型列表的文件偏移量
    没有参数则为0 非0则指向的数据应满足type_item格式*/
}
// parametersOff指向一个typeList结构体
struct DexTypeList {
    u4  size;               /* 列表中元素的个数 */
    DexTypeItem list[1];    /* 元素的列表 */
};

struct DexTypeItem {
    u2  typeIdx;            /* type_ids 的索引 */
};

field_ids

struct filed_id_item{
  ushort class_idx;		// 字段所属的class type_ids的索引
  ushort type_idx;		// 字段的类型 type_ids的索引
  uint name_idx;		// 字段的名称 string_ids的索引
}

method_ids

struct method_id_item{
  ushort class_idx;		// 方法所属的class type_ids的索引
  ushort proto_idx;		// 方法的原型 proto_ids的索引
  uint name_idx;		// 方法的名称 string_ids的索引
}

class_defs

struct class_def_item {
  uint class_idx;			// 类的类型，type_ids的索引
  uint access_flags; 		// 访问标志
  uint superclass_idx; 		// 父类类型 type_ids的索引
  uint interfaces_off;		// 接口 之想type_list的偏移，没有为0
  uint source_file_idx; 	// 源文件名 string_ids的索引
  uint annotations_off; 	// 注解
  uint class_data_off; 		// 指向 class_data结构的文件偏移
  uint static_value_off;	// 
}

struct class_data_item{
  uleb128 static_fields_size;     //静态字段
  uleb128 instance_fields_size;   //实例字段
  uleb128 direct_methods_size;    //直接方法（private或者构造方法）
  uleb128 virtual_methods_size;   //虚方法（非private、static、final，非构造方法）
  encoded_field static_fields[static_fields_size];        //静态字段
  encoded_field instance_fields[instance_fields_size];    //实例字段
  encoded_method direct_methods[direct_method_size];      //直接方法
  encoded_method virtual_methods[virtual_methods_size];   //虚方法
}

struct encoded_field{
  uleb128 filed_idx_diff;
  uleb128 access_flags;
}

struct encoded_method{
  uleb128 method_idx_diff;	// method_ids的索引
  uleb128 access_flags;		// 访问权限
  uleb128 code_off;			// 本方法的代码实现，指向data区
}

map_list

// map_list 结构
struct DexMapList {
    u4 size;			// DexMapItem结构的个数
    DexMapItem list[l];	// DexMapItem结构
}

size表明 DexMapItem结构的个数

struct DexMapItem {
    u2 type;		// 整体结构中的结构类型
    u2 unused;		// 用于字节对齐
    u4 size;		// 类型的个数
    u4 offset;		// 类型数据的文件偏移
}

Q&A

安装APK报错Failure [INSTALL_FAILED_TEST_ONLY]

安装APK报错Failure [INSTALL_FAILED_TEST_ONLY]

安装失败！调用者不被允许测试的测试程序

修改AndroidManifest.xml

application标签中删去 android:testOnly="true"属性

AndroidStudio使用smaliidea

安装smaliidea插件后

然后在Android Studio -> Preference(windows是File -> setting) -> Editor -> file Types 里面找smali，给图标为【黑色S】的smali添加.smali，去掉自带的smali的.smali