Android程序逆向分析

最新推荐文章于 2021-09-14 14:49:30 发布
最新推荐文章于 2021-09-14 14:49:30 发布
阅读量183 收藏
点赞数
文章标签: 移动开发 java
原文链接:https://segmentfault.com/a/1190000005115764
版权

最近在看《Android软件俺去与逆向分析》,所以把自己的实践过程整理一下。实例选自书中的第二章节,一个最简单的破解案例。分析Android程序是开发Android程序的一个逆向过程。在分析前必须要了解Android开发的流程,程序结构,语句分支,解密原理。

传送门:Android程序逆向分析

分析Android程序是开发Android程序的一个逆向过程。在分析前必须要了解Android开发的流程,程序结构,语句分支,解密原理。

编写一个Android程序

具体的编写过程就不做介绍了,源码已经上传github github.com/gnaix92/crack可以下载实践(module crackme0201)。其中涉及的工具可以在根目录的tools文件夹中找到。
这里贴出关键代码:

@Override
protected void onCreate(Bundle savedInstanceState) {
    super.onCreate(savedInstanceState);
    setContentView(R.layout.activity_main);

    setTitle(R.string.unregister); //未注册
    edit_userName = (EditText) findViewById(R.id.edit_username);
    edit_sn = (EditText) findViewById(R.id.edit_sn);
    btn_register = (Button) findViewById(R.id.button_register);

    btn_register.setOnClickListener(new View.OnClickListener() {
        @Override
        public void onClick(View v) {
            if (!checkSN(edit_userName.getText().toString().trim(),
                    edit_sn.getText().toString().trim())) {
                //注册失败
                Toast.makeText(MainActivity.this,
                        R.string.unsuccessed, Toast.LENGTH_SHORT).show();
            } else {
                //注册成功
                Toast.makeText(MainActivity.this,
                        R.string.successed, Toast.LENGTH_SHORT).show();
                btn_register.setEnabled(false);
                setTitle(R.string.registered);
            }
        }
    });

}

/**
 * 计算用户名和注册码是否匹配
 * @param userName
 * @param sn
 * @return
 */
private boolean checkSN(String userName, String sn) {
    try {
        if (userName == null || userName.length() == 0) {
            return false;
        }

        if (sn == null || sn.length() == 0) {
            return false;
        }

        //MD5对用户名进行hash 最后计算出SN
        MessageDigest digest = MessageDigest.getInstance("MD5");
        digest.reset();
        digest.update(userName.getBytes());
        byte[] bytes = digest.digest();
        String hexstr = toHexString(bytes, "");
        StringBuilder sb = new StringBuilder();
        for(int i=0; i<hexstr.length(); i+=2){
            sb.append(hexstr.charAt(i));
        }

        String userSN = sb.toString();
        if(!userSN.equalsIgnoreCase(sn)){ //比对SN
            return false;
        }
    } catch (NoSuchAlgorithmException e) {
        e.printStackTrace();
        return false;
    }
    return true;
}

通过比对用户输入的用户名和注册码判断是否注册成功,注册码根据用户名进行MD5后的字符串的下标偶数位组成。

编译生成APK

执行效果:

破解APK

通过apktool对APK包进行反编译,生成Smali文件。通过Smali代码找到程序的突破口进行修改,最后使用apktool重新编译并签名。

反编译APK

我用了最新的apktool版本(2.0.3)进行反编译,工具可以项目的tools/apktool目录中找到。

使用非常简单

apktool d ***.apk -o output

生成的反编译文件都在output目录下。

分析APK文件

反编译apk文件成功后,会在当前的output目录下生成一系列目录与文件.其中smali目录下存放了程序所有的反编译代码。res目录是程序的所有资源文件,这些目录的子目录和文件与开发时的源码目录结构是一致的。

如何寻找突破口是分析一个程序的关键。对于一般的Android来说,错误提示信息通常是指引关键代码的风向标,错误提示附件一般是核心验证代码。

错误提示是Android程序中的字符串资源,开发Android程序时,这些字符串可能硬编码到源码中,也可能引用自“res/values”目录下的string.xml文件,apk文件在打包的时候string.xml中的字符串被加密存储在resources.arsc文件保存打apk程序中,apk被反编译后这个文件也被解密出来。

在源码中当注册失败的时候会Toast提示“无效用户名或注册码”,根据这个线索我们可以打开res/values/string.xml文件,找到下面一行:

<string name="unsuccessed">无效用户名或注册码</string>

开发Android程序时,string.xml文件中的所有字符串资源都在gen/<packagename>/R.java文件的String类中被标识,每个字符串都有唯一的int类型索引值,使用apktool反编译后,所有索引值保存在string.xml文件同目录下的public.xml文件中。

unsuccessed为关键字在public.xml中搜索可以找到:

<public type="string" name="unsuccessed" id="0x7f06001f" />

unsuccessed的id值为0x7f06001f, 在smali目录下只有MainActivity$1.smali文件一处调用,代码如下:

# virtual methods
.method public onClick(Landroid/view/View;)V
    .locals 4
    .param p1, "v"    # Landroid/view/View;
    .prologue
    const/4 v3, 0x0
    ......
    # invokes: Lcom/example/gnaix/crackme0201/MainActivity;->checkSN(Ljava/lang/String;Ljava/lang/String;)Z
    invoke-static {v0, v1, v2}, Lcom/example/gnaix/crackme0201/MainActivity;->access$200(Lcom/example/gnaix/crackme0201/MainActivity;Ljava/lang/String;Ljava/lang/String;)Z
    move-result v0
    if-nez v0, :cond_0 #如果结果不为0,就跳转到cond_0标号处
    .line 33
    iget-object v0, p0, Lcom/example/gnaix/crackme0201/MainActivity$1;->this$0:Lcom/example/gnaix/crackme0201/MainActivity;
    const v1, 0x7f06001f #unsuccessed字符串
    invoke-static {v0, v1, v3}, Landroid/widget/Toast;->makeText(Landroid/content/Context;II)Landroid/widget/Toast;
    move-result-object v0
    invoke-virtual {v0}, Landroid/widget/Toast;->show()V
    .line 41
    :goto_0
    return-void
    .line 36
    :cond_0
    iget-object v0, p0, Lcom/example/gnaix/crackme0201/MainActivity$1;->this$0:Lcom/example/gnaix/crackme0201/MainActivity;
    const v1, 0x7f06001c  #successed字符串
    invoke-static {v0, v1, v3}, Landroid/widget/Toast;->makeText(Landroid/content/Context;II)Landroid/widget/Toast;
    move-result-object v0
    invoke-virtual {v0}, Landroid/widget/Toast;->show()V
    .line 38
    iget-object v0, p0, Lcom/example/gnaix/crackme0201/MainActivity$1;->this$0:Lcom/example/gnaix/crackme0201/MainActivity;
    # getter for: Lcom/example/gnaix/crackme0201/MainActivity;->btn_register:Landroid/widget/Button;
    invoke-static {v0}, Lcom/example/gnaix/crackme0201/MainActivity;->access$300(Lcom/example/gnaix/crackme0201/MainActivity;)Landroid/widget/Button;
    move-result-object v0
    invoke-virtual {v0, v3}, Landroid/widget/Button;->setEnabled(Z)V
    .line 39
    iget-object v0, p0, Lcom/example/gnaix/crackme0201/MainActivity$1;->this$0:Lcom/example/gnaix/crackme0201/MainActivity;
    const v1, 0x7f06001a
    invoke-virtual {v0, v1}, Lcom/example/gnaix/crackme0201/MainActivity;->setTitle(I)V
    goto :goto_0
.end method

smali代码中添加注释使用#开头在,代码:

# invokes: Lcom/example/gnaix/crackme0201/MainActivity;->checkSN(Ljava/lang/String;Ljava/lang/String;)Z
    invoke-static {v0, v1, v2}, Lcom/example/gnaix/crackme0201/MainActivity;->access$200(Lcom/example/gnaix/crackme0201/MainActivity;Ljava/lang/String;Ljava/lang/String;)Z
    move-result v0
    if-nez v0, :cond_0 #如果结果不为0,就跳转到cond_0标号处

可以看到该处调用了checkSN()进行注册码验证,接下去的两行代码表示:第一行将函数的返回值放到v0寄存器中,第二行判断v0是否不为零,如果是跳转到cond_0标号处,反之顺序执行。

在顺序执行中我们可以发现包含了unsuccessed字符串:

 const v1, 0x7f06001f #unsuccessed字符串

而在cond_0下包含了successed字符串:

const v1, 0x7f06001c  #successed字符串

不难判断当if-nez v0, :cond_0条件为真的时候则注册成功,反之注册失败。

修改Smali文件代码

if-nez v0, :cond_0作为程序破解的关键,我们只要将其修改成功能相反的指令即可。if-nez是Dalvik指令集中的一个条件跳转指令,类似的还有if-eqz, if-gez, if-lez等。与if-nez功能相反的是if-eqz
所以我们可以将if-nez v0, :cond_0修改为if-eqz v0, :cond_0

重新编译APK并签名

这里需要说一点,一开始我重新编译直接报错了,如下:

I: Using Apktool 2.0.3
I: Smaling smali folder into classes.dex...
I: Building resources...
/Users/xiangqing/Documents/workspace/android/crack/crackme0201/build/outputs/apk/output/res/values-v23/styles.xml:7: error: Error retrieving parent for item: No resource found that matches the given name '@android:style/WindowTitle'.

/Users/xiangqing/Documents/workspace/android/crack/crackme0201/build/outputs/apk/output/res/values-v23/styles.xml:8: error: Error retrieving parent for item: No resource found that matches the given name '@android:style/WindowTitleBackground'.

Exception in thread "main" brut.androlib.AndrolibException: brut.androlib.AndrolibException: brut.common.BrutException: could not exec command: [/var/folders/vr/nlnk4jrj0sz31n6pzdp1h23r0000gp/T/brut_util_Jar_1576083296434469541.tmp, p, --forced-package-id, 127, --min-sdk-version, 8, --target-sdk-version, 23, --version-code, 1, --version-name, 1.0, -F, /var/folders/vr/nlnk4jrj0sz31n6pzdp1h23r0000gp/T/APKTOOL5612206277771121028.tmp, -0, arsc, -0, arsc, -I, /Users/xiangqing/Library/apktool/framework/1.apk, -S, /Users/xiangqing/Documents/workspace/android/crack/crackme0201/build/outputs/apk/output/res, -M, /Users/xiangqing/Documents/workspace/android/crack/crackme0201/build/outputs/apk/output/AndroidManifest.xml]
    at brut.androlib.Androlib.buildResourcesFull(Androlib.java:472)
    at brut.androlib.Androlib.buildResources(Androlib.java:410)
    at brut.androlib.Androlib.build(Androlib.java:298)
    at brut.androlib.Androlib.build(Androlib.java:268)
    at brut.apktool.Main.cmdBuild(Main.java:225)
    at brut.apktool.Main.main(Main.java:84)
Caused by: brut.androlib.AndrolibException: brut.common.BrutException: could not exec command: [/var/folders/vr/nlnk4jrj0sz31n6pzdp1h23r0000gp/T/brut_util_Jar_1576083296434469541.tmp, p, --forced-package-id, 127, --min-sdk-version, 8, --target-sdk-version, 23, --version-code, 1, --version-name, 1.0, -F, /var/folders/vr/nlnk4jrj0sz31n6pzdp1h23r0000gp/T/APKTOOL5612206277771121028.tmp, -0, arsc, -0, arsc, -I, /Users/xiangqing/Library/apktool/framework/1.apk, -S, /Users/xiangqing/Documents/workspace/android/crack/crackme0201/build/outputs/apk/output/res, -M, /Users/xiangqing/Documents/workspace/android/crack/crackme0201/build/outputs/apk/output/AndroidManifest.xml]
    at brut.androlib.res.AndrolibResources.aaptPackage(AndrolibResources.java:425)
    at brut.androlib.Androlib.buildResourcesFull(Androlib.java:458)
    ... 5 more
Caused by: brut.common.BrutException: could not exec command: [/var/folders/vr/nlnk4jrj0sz31n6pzdp1h23r0000gp/T/brut_util_Jar_1576083296434469541.tmp, p, --forced-package-id, 127, --min-sdk-version, 8, --target-sdk-version, 23, --version-code, 1, --version-name, 1.0, -F, /var/folders/vr/nlnk4jrj0sz31n6pzdp1h23r0000gp/T/APKTOOL5612206277771121028.tmp, -0, arsc, -0, arsc, -I, /Users/xiangqing/Library/apktool/framework/1.apk, -S, /Users/xiangqing/Documents/workspace/android/crack/crackme0201/build/outputs/apk/output/res, -M, /Users/xiangqing/Documents/workspace/android/crack/crackme0201/build/outputs/apk/output/AndroidManifest.xml]
    at brut.util.OS.exec(OS.java:89)
    at brut.androlib.res.AndrolibResources.aaptPackage(AndrolibResources.java:419)
    ... 6 more

推测可能是因为apktool还不能破解sdk 23编译的apk。所以我把 compileSdkVersiontargetSdkVersion都改为22。同时把appcompat-v7改为22版本compile 'com.android.support:appcompat-v7:22.2.0',重新编译顺利通过。

不过后来验证只要将appcompat-v7改为23版本一下就可以了。具体原因还是不清楚,在作者的issue反馈了。

重新编译APK

利用apktool重新编译很简单只需要一条简单的命令

apktool b output

编译成功后会在output目录下生成dist目录,里面有编译成功的apk文件。

签名

apktool编译的apk并没有签名不能直接安装需要添加签名,用signapk.jar工具对apk进行签名。除了signapk.jar 还需要testkey.x509.pem testkey.pk8两个文件。工具可以在/tools/auto-sign中找到。运行命令:

java -jar signapk.jar testkey.x509.pem testkey.pk8 **.apk signgapk.apk

签名成功后会在根目录下生成signapk.apk。

安装测试

安装签名好后的apk,输入原来测试的用户名和注册码。可以发现程序注册成功,成功破解。

weixin_34077371
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于odex文件结构的Android程序逆向分析方法.pdf
09-21
Android程序逆向分析】基于ODEX文件结构的Android程序逆向分析主要关注的是如何从已优化的ODEX文件中获取可读的源代码信息,以便进行应用的静态取证分析。ODEX文件是Android系统在运行时针对特定硬件平台优化过的...
安卓逆向学习
qq_45059975的博客
05-05 1935
第一天 入门核心源码 页面自己随便设计个form表单登录即可 反编译后smali代码(部分截图) invoke-static 是类静态方法的调用,编译时,静态确定的; invoke-virtual 虚方法调用,调用的方法运行时确认实际调用,和实例引用的实际对象有关,动态确认的,一般是带有修饰符protected或public的方法; invoke-direct 没有被覆盖方法的调用,即不用动态根据实例所引用的调用,编译时,静态确认的,一般是private或方法; invoke-super 直接调用父类
教我兄弟学Android逆向02 破解第一个Android程序
qqazl001的博客
06-25 1727
继上一篇《记吾爱的!教我兄弟学Android逆向01 编写第一个Android程序》之后 现在才算开始我的征程!今天要破解的Demo就是上一篇的app,那个app只能通过对的账户密码 也是就admin登录!通过反编译修改,绕过验证!让我们随意填写密码!用到的工具------- Android KillerV1.3.1.0+jdk1.7第一次打开会提示配置jdk的安装路径!2.把JDK的路径填好后,...
smail if-eqz理解
tianyi19的博客
09-14 8671
if-eqz vA, :cond_** 如果vA等于0则跳转到:cond_ vA=0,说明vA是假,然后跳转到指定标签, vA!=0,说明就是真,正常执行即可
记录Android回编译-重签名的流程
qq_30929229的博客
04-03 2322
一、反编译 使用工具:apktool apktool 下载地址及安装教程:Apktool - How to Install 步骤: 1、打开命令行(CMD) ,输入 java-jar apktool.jar d test.apk -o test 注1:因为我这边不需要使用到res文件,所以使用命令:apktool -r d xxx.apk -o 输出路径 注2: 然后我...
2.分析Android程序
doooooooollly的博客
10-05 404
分析Android程序
Android逆向分析工具与签名工具
11-02
本文将深入探讨Android逆向分析工具及其在签名工具中的应用,这些都是确保应用程序安全性和防止未授权修改的关键。 首先,让我们了解什么是逆向分析逆向分析是对软件进行“解剖”,以揭示其内部工作原理的过程。...
Android软件安全与逆向分析_带书签_Android软件安全与逆向分析_带书签_android_
09-29
Android软件安全与逆向分析》是一本深入探讨Android应用安全和逆向工程的书籍,带书签功能方便读者查阅和学习。在Android平台上,软件安全与逆向分析是极其重要的话题,因为随着移动设备的普及,恶意软件和隐私...
Android安全与逆向分析进阶
最新发布
04-10
Android安全与逆向分析进阶》是一本深入探讨Android平台安全性和逆向工程的专著,旨在帮助读者提升在Android应用开发、安全检测和漏洞分析方面的能力。在这个数字化时代,移动安全尤其重要,Android作为全球最广泛...
Java 自带的加密类MessageDigest类(加密MD5和SHA)
热门推荐
lv18092081172的博客
06-02 2万+
转载自:http://www.tuicool.com/articles/nMNVVj Java 自带的数据加密类MessageDigest(MD5或SHA加密) 说明: 在网站中,为了保护网站会员的用户名和密码等隐私信息,所以我们在用户注册时就直接进行MD5方式或其他方式进行加密,  即使是数据库管理员也不能查看该会员的密码等信息,在数
自学360之MD5加密
Chain_Sty的博客
07-25 277
1.获取一个MessgeDigest MessageDigest digest=MessageDigest.getInstance("MD5"); 选择MD5的加密方式 digest.digest("password") 对所选择的Password进行加密(返回的类型是byte类型) byte[] bytes=digest.digest(password.getBytes());
MessageDigest来实现数据加密
A08110123的博客
01-20 236
MessageDigest MessageDigest 类为应用程序提供信息摘要算法的功能,如 MD5 或 SHA 算法。信息摘要是安全的单向哈希函数,它接收任意大小的数据,输出固定长度的哈希值。 MessageDigest 对象开始被初始化。该对象通过使用 update 方法处理数据。任何时候都可以调用 reset 方法重置摘要。一旦所有需要更新的数据都已经被更新了,应该调用 dige...
MessageDigest之MD5加密
tianyafeng123xin的博客
12-30 3192
Md5加密使用类说明 MessageDigest类(抽象类)为应用程序提供信息摘要算法的功能,如MD5或SHA算法。信息摘要是单向的哈希函数,它接收任意大小的数据,并返回固定长度的数据。 通过getInstance(String algorithm)进行实例化返回指定摘要算法的MessageDigest对象(非单例模式)。该对象通过update进行处理数据(重载的函数有update(b
使用MessageDigest生成MD5的问题
天祥
06-03 3666
之前在工作中需要使用MD5来判断APK是否是同一个文件,开始服务端和客户端使用MD5的方式是没有问题的,但是随着APK文件越来越多,有一天忽然发现同一个APK客户端和服务端计算的MD5值不相同,导致一些问题,二客户端一直采用 BigInteger bigInt = new BigInteger(1, digest.digest()); bigInt.toString(16); 这种方式来计算,后来通
Android第一个程序分析
tolings的博客
06-18 257
本文章教程来自《Android软件安全与逆向分析》 目录 1. 了解Android studio文件结构 2. 创建注册功能程序 2.1 在布局文件进行布局 2.2 编写MainActivity类代码 2.3 编译生成APK文件 1. 了解Android studio文件结构 主要知道我们要利用哪些文件, 2. 创建注册功能程序 2.1 在布局文件进行布局 activity_main.xml 2.2 编写MainActivity类代码 //MainActivity..
Android反编译学习-使用APKtool破解注册类程序
乐枕的家
04-20 2784
#1 机制 破解 Android 程序通常的方法是将 apk 文件利用 ApkTool 反编译,生成 Smali 格式的反汇编代码,然后阅读 Smali 文件的代码来理解程序的运行机制,找到程序的突破口进行修改,最后使用 ApkTool 重新编译生成 apk 文件并签名,最后运行测试,如此循环,直至程序被成功破解。 #2 准备工作 APKtool的安装使
分享:Android中利用机器码注册机制防止破解
mmdev
08-13 1472
最近做一个Android应用时遇到这个问题,客户要求功能必须注册才能使用,而程序本身又不是联网在线使用的,这就要在程序中加入机器码注册码机制了。 众所皆知Android应用是基于Java开发,如不做处理的话,直接反编译APK就能看到源码算法,要破解就没什么难度了。 关于Android防破解,网上有价值的内容较少。我收集了一些零碎的资料,总结起来大概有以下几种防破解的思路方式: 1.代码混...
android逆向笔记】(五)android软件安全与逆向第一个实例
王嘟嘟的博客
12-06 692
看雪出品的android软件安全与逆向中的第一个实例:工具: 1.APKIDE 逆向思路:(1)smali目录下存放了程序所有的反汇编代码。 (2)res目录则是程序中所有的资源文件。 (3)往往错误提示信息通常是关键代码的地方。 (4)在逆向的时候,先试用一下app对app有一个了解。 (5)在引用字符串的时候会在res/values目录下的string.xml文件中查找逆向开始:(
Android逆向分析入门:从反编译到Smali解析
"手把手教你逆向分析Android程序" 本文将深入探讨如何进行Android程序逆向分析,通过实例展示如何利用各种工具揭示应用程序的工作原理,以及如何进行安全防护。首先,我们来看一下Android应用的基本结构,这对于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值