安卓文件分析-ODEX&OAT

于 2021-01-22 16:41:46 发布
阅读量427 收藏
点赞数
分类专栏: 逆向学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37439229/article/details/112984777
版权

ODEX

在android5.0之前,主要使用Dalvik,Dalvik对
apk的dex文件进行一定程度的优化,解析dex文件并生成ODEX文件
比dex多了以下内容
DexOptHeader:ODEX文件头,描述了ODEX文件的基本信息
Dependences:依赖库列表,描述了ODEX文件加载时可能使用的依赖库
classlookups:优化数据块的类索引列表信息
registerMaps:优化数据块的寄存器图信息

struct DexOptHeader
{
   u1 magic[8];//固定为dex\n036
   u4 dexOffset;//dex在ODEX中的偏移量
   u4 dexLength;//dex文件的长度
   u4 depsOffset; //依赖库的文件偏移
   u4 depsLength;//依赖库的大小
   u4 optOffset;//优化数据块的偏移
   u4 optLength;//优化数据块的大小
   u4 flags;   //验证标志位
  u4 checksum;//校验和信息
}
struct Dependences{
    u4 modWhen;   //优化前dex时间戳
    u4 crc;       //优化前dex检验
    u4 DALVIK_VM_BUILD;//dalvik虚拟机版本号
    struct{
      u4 len; //name字符串的长度
      u1 name[len];//依赖库的名称
      KSHA1DigestLen signature;//sha-1散列值
         }table[numDeps];
         
}
优化数据块有如下三种类型
enum {
   kDexChunkClassLookuo = 0x434c4b50,
   kDexChunkRegisterMaps = 0x524d4150,
   kDexChunkEnd        = 0x41454e44,
}
kDexChunkEnd表示优化数据块结束
kDexChunkClassLookup表示ckasslookup数据
kDexChunkRegisterMaps是RegisterMaps数据

将ODEX转成DEX

odex先反编译成smali,再编译成dex,叫做"deodex"
工具:baksmali smali
脚本命名deodex

rm -rf ./outdex
rm -rf ./outdex.dex
baksmali -a 19 -x "$1" -d 目录 -o ./outdex
smali ./outdex -o outdex.dex
echo done

OAT

OAT是优化过的,用于ART虚拟机执行的dex文件?(odex 5.0前) 5.0后
和elf差不多

struct OatHeader {
    uint8_t magic[4];//固定为oat\n
    uint8_t version[4];//oat文件格式版本
    uint32_t adler32_checksum;//oat的adler32校验和
    InstructionSet instruction_set;//oat使用的指令集(枚举)
    uint32_t instruction_set_features_bitmap;
    uint32_t dex_file_count;//dex文件的个数
    uint32_t executable_offset;//oatexec与oatdata的偏移量
    uint32_t interpreter_to_interpreter_bidge_offset;
    uint32_t interpreter_to_compiled_code_bridge_offset;
    uint32_t jni_dlsym_lookup_offset;
    uint32_t quick_generic_jni_trampoline_offset;
    uin32_t quick_imt_conflict_trampoline_offset;
    uin32_t quick_resolution_trampoline_offset;
    uin32_t quick_to_interpreter_bridge_offset;
    int32_t image_patch_delta;
    uint32_t image_file_location_oat_checksum;
    uint32_t image_file_location_oat_data_begin;

   uint32_t key_value_store_size;
   uint8_t key_value_store[0];
};
header中有dex_file_count就有几个oatdexfile?(不是一个都包涵了吗)
struct OatDexFile{
     uint32 dex_file_name_size;//大小
     char dex_filename_data[dex_filename_size];//dex文件的完整路径
     uint32 dex_file_checksum;
     uint8_t* dex_file_pointer;
     uint32_t* oat_class_offsets;
}

将OAT文件转化DEX

只有oat时用010editor脚本
脚本如下

LittleEndian();
int i;
char filename[512];
filename = GetFileName();
int filenum = GetFileNum();
TFindResults r = FindAll("dex\n035");//搜索所有dex
int pos,sz;
char dexname[512];
char ext[128];
for(i = 0 ; i < r.count; ++i)
{
   pos = r.start[i];
   sz = ReadInt(pos+0x20);
   Printf("Found DEX at : 0x%lx,size : 0x%lx\n",pos.sz);
   SetSelection(pos.sz);
   CopyToClipboard();
   FileNew("Hex");
   PasteFromClipboard();//复制
   SPrintf(ext,".0x%lx.dex",pos);
   Memset(dexname,0,512);
   Strcat(dexname,filename);
   Strcat(dexname,ext);
   Printf("dexname:%s\n",dexname);
   if(FileSave(dexname) < 0)
   {
     Print("An error occured writing file '%s' of size 0x%lx.\n",dexname,sz);
     return -1;
   }
   FileClose();
   FileSelect(filenum);//这个干嘛?
   Printf("Wrie %s ok\n",filename);
   SelSelection(0,1);
   CopyToClipboard();
   SetSelection(0,0);
}
Printf("Done.\n");
20000s
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
android oat反编译,Android odex,oat文件的反编译,回编译
weixin_36378232的博客
05-26 930
现在,许多Android手机的ROM包在生成过程中都启用优化,把jar文件抽空,生成odex/oat和vdex文件,以在运行时省掉编译时间。如果想对这些jar进行修改,就要修改它们所对应的odex或者oat文件。本文以/system/framework/oat/arm64/am.odex为例,讲解它的反编译和回编译过程本文用到的工具:baksmali.jar和smali.jar下载地址:https...
GDA-android-reversing-Tool:GDA是C ++中新的快速,强大的反编译器(无需Java VM即可工作),可用于APK,DEX,ODEX,OAT,JAR,AAR和CLASS文件。 它支持恶意行为检测,隐私泄漏检测,漏洞检测,路径解决,打包程序标识,变量跟踪,反混淆,python&java脚本,设备内存提取,数据解密和加密等
04-01
GDA是新的Dalvik字节码反编译器,以C ++实现,具有以下优点:分析速度更快,内存和磁盘消耗更低,并且反编译APK,DEX,ODEX,OAT文件的能力更强(自3.79开始支持JAR,CLASS和AAR文件) 。 GDA完全独立,并且无需...
Android---odex与oat
Toc_SunWinner的博客
01-21 3697
什么是ODEX? APK中的classes.dex文件通过dex优化过程 将优化生成一个·odex文件 ,此文件可以加快软件的启动速度,减少对RAM的占用。因此首次开机(恢复出厂设置||刷机之后) ,如果先提取classes.dex出来(dex优化过程),开机的速度会明显提升。随之,如果对于低内存的手机来说,并不适合将所有apk的odex文件提取出来。正所谓鱼和熊掌不能兼得吧。   ...
Android的.dex、.odex与.oat文件扫盲
linxinfa的专栏
07-29 1万+
文章目录一、前言,发现新玩意二、.dex、.odex与.oat文件介绍1、dex文件2、vdex文件3、odex文件4、oat文件 一、前言,发现新玩意 最近Unity项目打出的Android包在红米Note4真机上运行闪退了,查看日志如下: 07-28 17:56:49.623 7368 7368 D YSDK d.OnSupport: Device OAID loadSuccesstrue 07-28 17:56:49.623 7368 7416 F libc : Fatal signa
Android dex、odex、oat、vdex、art区别
Android系统攻城狮
11-30 6237
1.dex java程序编译成class后,dx工具将所有class文件合成一个dex文件,dex文件是jar文件大小的50%左右. 2.odex(Android5.0之前)全称:Optimized DEX;即优化过的DEX. Android5.0之前APP在安装时会进行验证和优化,为了校验代码合法性及优化代码执行速度,验证和优化后,会 产生ODEX文件,运行Apk的时候,直接加载ODEX,避...
dex odex oat
sunj2007的专栏
10-12 401
什么是ODEX? Android应用程序中有一个叫做classes.dex的文件,这是Java源码经过ADT的编译后会转换出来的。 它是Android系统中可以在Dalvik虚拟机上直接运行的文件格式,而odex则是由classes.dex生成的。 ODEX优化有什么用? ODEX的用途是分离程序资源和可执行文件、以及做预编译处理,达到加快软件加载速度和开机速度的目的。 一般来说,厂...
oat2dexes:从 Android ART .oat.odex 文件中提取 .dex 文件
07-10
从 Android ART .oat/.odex 文件中提取 .dex 文件 这个怎么运作? DEX 文件嵌入在 Android ART .oat/.odex 文件中。 oat2dexes寻找 DEX 魔法“dex\n035\0”。 如何使用? $ file file.odex file.odex: ELF 32-bit...
最新smali baksmali odex/dex/oat 转换工具,带使用说明。最新参数格式保证可以用
09-16
解来services.odex,直接转smail文件,如果有boot.art,boot.oat放到services.odex同目录下。services.odex要为转换的文件 ,services为smail文件 输出目录 运行命令:java.exe -jar baksmali-2.5.2.jar x services....
GDA3.98不依赖java且支持反编译apk、dex、odex、oat、jar、aar、class, 支持python
11-27
GDA不仅只是反编译器,同时也是一款轻便且功能强大的综合性逆向分析利器,其不依赖java且支持apk、dex、odex、oat、jar、aar、class文件的反编译, 支持python,java脚本自动化分析。GDA提供了字符串、方法、类和...
GDA-android-reversing-Tool,GDA是一种完全由C 编写的新型反编译器,它不依赖于Java平台,它简洁、便携、快捷,支持APK、DEX、ODEX、OAT。.zip
09-25
大多数逆向工程师主要使用java反编译器、商业dalvik反编译器jeb和smali2java来分析android应用程序。Java反编译程序基于Java字节码,包括JD、JD-GUI、JADX等。smali2java是一个基于smali代码的反编译程序。它们都有自己的缺点,比如java反编译依赖dex2jar的转换。对于复杂的、模糊的或打包的apk,存在翻译失败的问题。smali2java使用apktool对dex中需要翻译的smali代码进行反编译,增加了难度和错误率,降低了手工分析的速度。此外,它们之间的相互作用很差,增加了人工分析的难度。商业jeb虽然具有较好的交互性,但在用multi
Android的APK安装过程 JVM Dalvik和ART等虚拟机区别以及DEX文件ODEX文件OAT文件区别
Mango先生的博客
03-22 4431
APK apk全称是AndroidPackage,也就是Android安装包;APK的本质是一个zip压缩包,如果将后缀名改成.zip,就可以解压,APK 文件与 Zip 文件最大的一个不同是 APK 包含签名信息,用于保证安装包安全不被修改,解压后的目录有: res文件夹:用于存放Android资源文件的目录,里面有drawable图片资源,布局文件等,这里面的文件都是被编译过的(图片除外...
简单的从odex或oat文件中解压出dex文件
seaaseesa的博客
02-02 3687
目前解压这两种文件的方法都是用apktool,然而还有一种简单的方法。 odex和oat是dex文件的一种优化,但是解压他们的方法是相同的。 首先用WinHex打开一个odex文件,我们可以看到dex 035这个字符串,其实这个地方就是dex文件开始的位置,根据dex文件的数据结构可知向后再偏移32个字节就是dex文件的大小。于是从头的偏移位置向后取出dex大小个字节就是dex文件的内容。
【笔记】odex , vdex ,art 文件区别
pirionFordring的博客
11-08 1万+
1.vdex package 直接转化的 可执行二进制码 文件: 1.第一次开机就会生成在/system/app/&lt;packagename&gt;/oat/ 下; 2.在系统运行过程中,虚拟机将其 从 “/system/app” 下  copy  到 “/data/davilk-cache/” 下   2.odeodex 是从vdex 这个文件中 提取了部分模块生成的一个新...
Android首次启动时间长优化之预编译提取Odex
从0到1,突破自己
07-20 1万+
提示!应用程序的安装有两种情况,第一:首次启动系统时安装;第二:系统启动完成后安装。本篇博文基于第一种安装场景。在系统首次启动的场景中,系统会对/system/app、/system/priv-app、/data/app目录下的所有APK进行dex字节码到本地机器码的翻译,同样也会对/system/framework目录下的APK或者JAR文件,以及这些APK所引用的外部JAR,进行dex字节码到
关于odex在art模式上的意义的理解
g1im2的专栏
05-17 3106
开始我的理解之前,先来说说今天看到的高手在做ROM的时候发表的一些见解。 华丽丽的分割线 ------------------------------------------------------------------------------------------------------------------------- 什么是ODEX? Android应用程序中有一个叫
Android运行时ART加载OAT文件的过程分析
热门推荐
老罗的Android之旅
09-29 10万+
在前面一文中,我们介绍了Android运行时ART,它的核心是OAT文件OAT文件是一种Android私有ELF文件格式,它不仅包含有从DEX文件翻译而来的本地机器指令,还包含有原来的DEX文件内容。这使得我们无需重新编译原有的APK就可以让它正常地在ART里面运行,也就是我们不需要改变原来的APK编程接口。本文我们通过OAT文件的加载过程分析OAT文件的结构,为后面分析ART的工作原理打基础。
Android[art]-Android dex,odex,oat,vdex,art文件结构学习总结
TaylorPotter的博客
05-05 7842
参考学习博客: Android Dex文件格式(一):https://blog.csdn.net/p312011150/article/details/80501690 dex文件解析(第三篇) :https://blog.csdn.net/tabactivity/article/details/78950379 Android安全–Dex文件格式详解:https://www.cnblogs.co...
关于Dalvik、ART、DEX、ODEX、JIT、AOT、OAT
Strange_Monkey的博客
12-18 2808
关于Dalvik、ART、DEX、ODEX、JIT、AOT、OAT 发表于 2017-06-30 | 分类于 Android | | 字数统计 | 阅读时长 关于Dalvik、ART、DEX、ODEX、JIT、AOT、OAT,说真的,我看着都头大,每次看完过不了多久就会忘记一些内容,然后再去搜资料,好记性不如烂笔头,写在这里随时温故。 Dalvik&ART 1.1 Dalvik D...
ART模式不支持odex到oat的转换
oman111的专栏
11-05 3003
target/product/runtime_libart.mk     30  31 # We currently don't suport DEX_PREOPT for art  32DEX_PREOPT_DEFAULT := nostripping  33  34include $(SRC_TARGET_DIR)/product/runtime_common.mk  
Dalvik到底是运行dex文件还是odex文件
最新发布
05-24
dex 文件(Dalvik Executable)是一种专为 Android 平台设计的可执行文件格式,包含了编译后的 Java 代码、资源文件和类库等数据,而 odex 文件(Optimized Dalvik Executable)是在应用程序第一次运行时由 dex 文件...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值