Dex文件中MUTF-8字符串内容提取C语言实现

最新推荐文章于 2022-03-20 18:31:51 发布
最新推荐文章于 2022-03-20 18:31:51 发布
阅读量3.9k 收藏 1
点赞数
分类专栏: android逆向 文章标签: c语言 android 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45226456/article/details/121643642
版权

dex文件全解析前篇,字符串

1:MUTF-8字符串

MUTF-8意为Modified UTF-8,修改过的UTF-8编码

MUTF-8的特点:
1:使用1-3字节编码长度
2:对于大于16位Unicode编码使用3字节编码
3:对于U+0x0000,采用2字节编码
4:采用类似C语言的 ‘\0’ 作为字符串结束标志(小重点)

高级小重点:MUTF-8字符串头部存放uleb128编码表示的字符个数

2:uleb128编码:

由1-5字节组成,所有字节组合在一起表示一个32位的数,每一个字节的最高位表示uleb128是否在本字节停止,按位组合有效位拿到的结果也就是在uleb128之后的真正的字符串的长度。

其中,每当一个低字节的最高位为零,那么,就表示这个uleb128数仍未结束,最高判定到第四字节,如果仍旧大于0x7f,那么就直接和第五字节一起运算。

高级小重点:根据uleb128拿到所表示int值

unsigned int result = *(start++);
	if (result > 0x7f) {
		count++;
		unsigned int cur = *(start++);
		result = (result & 0x7f) | ((cur & 0x7f) << 7);
		if (cur > 0x7f) {
			count++;
			cur = *(start++);
			result |= ((cur & 0x7f) << 14);
			if (cur > 0x7f) {
				count++;
				cur = *(start++);
				result |= ((cur & 0x7f) << 21);
				if (cur > 0x7f) {
					cur = *(start++);
					count++;
					result |= (cur << 28);
				}
			}
		}
	}

start为指向uleb128起始位置的指针

count的意义在于记录这个uleb128数到底占了多少字节,以便加上字符串的字节数,提取下一个uleb128表示的字符串
重重重重点:unsigned int,一定记得,我这里之前用的int导致分析class内容时一步一坑啊,惨

3:提取出真实的字符串

注:由于编码的问题,我们不能通过前方计算出的uleb128真实int值就作为后边字符串的字节数,例如:02 e4 bd a0 e5 a5 bd 00,第一个字节小于0x7f,也就是uleb128数为2,两个字符,表示汉字的“你好”,可是他们有6个字节,所以我们通过判断 ‘\0’ 的方式决定字符串长度

那有人就要问了,那这个uleb128有啥用呢?
可能 是节省空间 吧,俺也想问,可能是俺太菜了

好了,接下来就可以提取字符串了,接上边计算uleb128真实值的程序

小贴士:start指针已经到了真实字符串的初始位置,只需拿到长度,然后copy一下子,完事

char* tmp = start;
	while ((*start) != '\0') {
		start++;
		lengthOfString++;
	}
	str = malloc(lengthOfString + 1);
	memset(str, 0, lengthOfString + 1);
	memcpy(str, tmp, lengthOfString);

好啦,这样就基本完工啦,最后构造一个结构体对象出来,保存一下这个MUTF-8字符串的所有细节,就可以返回啦,如下

struct uleb128 a = { count,result,lengthOfString ,str };
return a;

count就是上方计算出的uleb前缀真实字节长度,result为uleb表示的字符个数,接着是字符串长度,字符串真实内容

4:MUTF-8字符串提取终章

这是我对这个字符串详细信息的定义,结合上方返回值一起食用

struct uleb128 {
	int lengthOfHead;//前缀数leb128占几个字节
	int resultOfleb;//前缀数转为int到底是几
	int lengthOfString;//字符串长度,字节为单位
	char* content;//字符串指针,malloc拿到空间
};

附注:跳过uleb128直接提取有效字符串

你可能发现了,uleb128这部分好像并没有太大用处,我本身是为了提取出所有内容的,那,额,好的,那就,拿到uleb128起始地址直接提取真实字符串的方法,代码如下,原理同上,跳过uleb128部分

while (*(start++) > 0x7f);
	char* tmp = start;
	while ((*start) != '\0') {
		start++;
		lengthOfString++;
	}
	str = malloc(lengthOfString + 1);
	memset(str, 0, lengthOfString + 1);
	memcpy(str, tmp, lengthOfString);
	struct uleb128 a = { count,result,lengthOfString ,str };
	return a;

5:完整代码

struct uleb128 {
	int lengthOfHead;//前缀数leb128占几个字节
	int resultOfleb;//前缀数到底是几,转为int
	int lengthOfString;//字符串长度
	char* content;//字符串指针,malloc拿到空间
};
struct uleb128 Uleb128(char* start) {
	int count = 1;
	int lengthOfString = 0;
	char* str = NULL;
	unsigned int result = *(start++);
	if (result > 0x7f) {
		count++;
		unsigned int cur = *(start++);
		result = (result & 0x7f) | ((cur & 0x7f) << 7);
		if (cur > 0x7f) {
			count++;
			cur = *(start++);
			result |= ((cur & 0x7f) << 14);
			if (cur > 0x7f) {
				count++;
				cur = *(start++);
				result |= ((cur & 0x7f) << 21);
				if (cur > 0x7f) {
					cur = *(start++);
					count++;
					result |= (cur << 28);
				}
			}
		}
	}
	char* tmp = start;
	while ((*start) != '\0') {
		start++;
		lengthOfString++;
	}
	str = malloc(lengthOfString + 1);
	memset(str, 0, lengthOfString + 1);
	memcpy(str, tmp, lengthOfString);
	struct MUTF-8 a = { count,result,lengthOfString ,str };
	return a;
}
char* Uleb128Skip(char* start) {
	int lengthOfString = 0;
	char* str = NULL;
	while (*(start++) > 0x7f);
	char* tmp = start;
	while ((*start) != '\0') {
		start++;
		lengthOfString++;
	}
	str = malloc(lengthOfString + 1);
	memset(str, 0, lengthOfString + 1);
	memcpy(str, tmp, lengthOfString);
	return str;
}

结束啦,感谢浏览,如有错误,欢迎指导

乖乖是干饭王
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Dex文件提取字符串
05-09
提取Dex文件字符串,已过滤系统函数字符串 添加系统函数过滤 添加LEB128长度计算 修正多字节字符显示不完整
MUTF-8编码格式介绍
Roland_Sun的专栏
07-01 4672
Android应用程序的Dex文件,所有的字符串都是使用一种叫做MUTF-8(Modified UTF-8)的编码格式进行编码的。 所谓的MUTF-8编码,其实是对UTF-16字符编码的再编码。 具体的实现可以查看MUTF-8编码的代码(代码位于libcore\dex\src\main\java\com\android\dex\Mutf8.java): public final cla
-8
weixin_30825581的博客
03-10 99
wori 转载于:https://www.cnblogs.com/supy/p/8538725.html
Android MUTF-8转化为UTF-16
q1165328963的博客
03-20 2562
public static Byte[] decode(byte[] src) { int len = src.length; List<Byte> res = new ArrayList<>(); for (int i = 0; i < len; i++) { if (src[i] > 0 && src[i] < 127) { res.a...
MUTF编码解释
咩哈哈喵喵喵
06-24 1091
JAVA的MUTF-8编码就是UTF-8编码前面加了两个byte表示这个字节串的长度。 比如说字符串"A"的UTF-8编码是【61】,字符串长度为1,那么字符串“A”的MUTF-8编码就是【0,1,61】。 比如说字符串"AAA...AAA"(1024个‘A’),UTF编码为【61,61,61...61,61,61】,字符串长度为1024,那么它的MUTF-8编码就是【4,0,61,61,6
dex-k8s-authenticator:一个Kubernetes Dex客户端验证器
02-03
Dex K8s身份验证器 一种帮助程序Web应用程序,可与一个或多个进行对话,以生成用于创建和修改kubeconfig kubectl命令。 Web UI支持针对多个群集(例如Dev / ...备择方案 此应用程序基于CoreOS Dex存储库提供的原始。
dex-tools-2.1-SNAPSHOT_dex-tools-2.1_
09-29
支持Java jdk1.8版本的 安卓apk反编译工具。
Android-一款自动对dex文件字符串进行加密Android插件工具
08-12
使用StringFog插件自动对 dex 字符串进行加密
dex2jar-2.0-配使用教程.zip
04-16
dex2jar-2.0-配使用教程 dex2jar-2.0-配使用教程 dex2jar-2.0-配使用教程 dex2jar-2.0-配使用教程 dex2jar-2.0-配使用教程 dex2jar-2.0-配使用教程
替换空格 - leetCode
u011567589的博客
09-12 124
实现一个函数,把字符串 s 的每个空格替换成"%20"。 示例 1: 输入:s = “We are happy.” 输出:“We%20are%20happy.” 解题思路: 1.先通过方法x.length()获取该字符串的长度; 2.创建一个新的数组,用来放置新生成的字符串,默认的数组长度为字符串的3倍。 3.初始化 size 为 0,size 表示替换后的字符串的长度 从左到右遍历字符串 s 获得 s 的当前字符 c 4.如果字符 c 是空格,则令 array[size] = ‘%’,array[si
android内部dex解析,DEX文件解析---1、dex文件头解析
weixin_35882236的博客
05-30 1418
DEX文件解析---1、dex文件头解析一、dex文件dex文件Android平台上可执行文件的一种文件类型。它的文件格式可以下面这张图概括:dex文件头一般固定为0x70个字节大小,包含标志、版本号、校验码、sha-1签名以及其他一些方法、类的数量和偏移地址等信息。如下图所示:二、dex文件头各字段解析dex文件头包含以下各个字段:magic:包含了dex文件标识符以及版本,从0x00开始,长...
Dex文件全解析(C语言实现),后篇
qq_45226456的博客
12-04 1140
Dex文件全解析,后篇
uleb128、sleb128和uleb128p1编码格式介绍
zhangmiaoping23的专栏
03-05 1870
在程序,一般使用32位比特位来表示一个整型的数值。不过,一般能够使用到的整数值都不会太大,使用32比特位来表示就有点太浪费了。对于普通计算机来说,这没什么问题,毕竟存储空间那么大。但是,对于移动设备来说,存储空间和内存空间都非常宝贵,不能浪费,能省就省。Android的Dalvik虚拟机,就使用了uleb128(Unsigned Little Endian Base 128)、uleb128p...
ASCII,Unicode和UTF-8终于找到一个能完全搞清楚的文章了
热门推荐
Deft_MKJing的博客
03-06 10万+
前言 NSDictionary和NSMutableArray底层原理(哈希表和环形缓冲区) DjangoCSRF防御全过程解析以及间件作用机制 平时喜欢写东西,看博客,一直对编码有些懵,今天下午也不知道看到了什么,突然想了解下,就找到了这个文章,看完真的豁然开朗,这个必须留下来做纪念。 点击打开链接 1.ASCII 我们知道,计算机内部,所有信息最终都是一个二进制值。每一个二进制位...
Android Dex文件格式
LVXIANGAN的专栏
02-23 2517
dexAndroid平台上(Dalvik虚拟机)的可执行文件, 相当于Windows平台的exe文件, 每个Apk安装包都有dex文件, 里面包含了该app的所有源码, 通过反编译工具可以获取到相应的java源码。        为什么需要学习dex文件格式? 最主要的一个原因: 由于通过反编译dex文件可以直接看到java源码, 越来越多的app(包括恶意病毒app)都使用了加固技术
Android 文字符转UTF-8编码
Sunnylucy1的专栏
12-10 4475
[java] view plaincopy import java.io.UnsupportedEncodingException;   import java.net.URLDecoder;   import java.net.URLEncoder;         public class Test {       public static void
UTF-8编码简介
踏雪无痕
07-11 1724
在IE选择UTF-8字符集 UTF-8是UNICODE的一种变长字符编码又称万国码,由Ken Thompson于1992年创建。现在已经标准化为RFC 3629。 基本简介    数据结构简要   作者: Marius Bancila   字符集简史   在所有字符集,最知名的可能要数被称为ASCII的7位字符集
Android Studio Utf-8编码设置
gulangboke的博客
08-08 7424
我们在使用Android Studio编写Android项目的时候,会发现在运行的时候,手机上看到的文字符是乱码,这是怎么回事呢?这是因为Android Studio的默认编码格式为GBK,而我们一般情况下用的是UTF-8,那么我们要怎样修改Android Studio的编码格式呢?今天下边就加大家怎样修改Android Studio工作空间编码格式 工具/原料
andriodDEX文件
最新发布
05-10
DEX文件Android应用程序的可执行文件格式,包含了应用程序的字节码、资源文件、类和方法信息等。在开发过程,Java源代码会被编译成Java字节码,然后再经过DEX编译器转换成DEX文件,最终在Android设备上运行。 DEX文件的特点是它采用了一种优化技术,将所有的类、方法和变量名压缩成较短的符号,从而减小了文件大小。这也是为什么APK文件DEX文件比Java字节码要小得多的原因。 在Android应用程序安装时,系统会将APK文件DEX文件加载到虚拟机运行。由于DEX文件是针对特定的硬件平台编译的,因此同一个应用程序在不同的设备上可能会有不同的DEX文件

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值