Smali语法小记

_HWHXY

已于 2023-12-12 22:04:20 修改

阅读量617

点赞数

分类专栏： Android_Native层_安全文章标签： android android安全

于 2023-01-28 23:55:29 首次发布

本文链接：https://blog.csdn.net/xiru9972/article/details/128776291

版权

Android_Native层_安全专栏收录该内容

5 篇文章 0 订阅

订阅专栏

Smali语法小记

介绍

在执行 Android Java 层的代码时，其实就是 Dalvik(ART) 虚拟机（使用 C 或 C++ 代码实现）在解析 Dalvik 字节码，从而模拟程序的执行过程。

自然，Dalvik 字节码晦涩难懂，研究人员们给出了 Dalvik 字节码的一种助记方式：smali 语法。通过一些工具（如 apktool），我们可以把已有的 dex 文件转化为若干个 smali 文件（一般而言，一个 smali 文件对应着一个类），然后进行阅读。对于不同的工具来说，其转换后的 smali 代码一般都不一样，毕竟这个语法不是官方的标准。

下文说明

<> 中的内容必须存在，[] 的内容是可选的

结构

声明语句
执行语句

声明语句

声明语句一般都是以 . 开始

寄存器

Dalvik 最多支持 65536 个寄存器 (编号从 0~65535)，但是 ARM 架构的 cpu 中只有 37 个寄存器。那 Dalvik 是怎么做的呢？其实，每个 Dalvik 虚拟机维护了一个调用栈，该调用栈用来支持虚拟寄存器和真实寄存器相互映射的。

寄存器命名规则

v命名
- 局部变量 v0 ~ vm-1
- 函数参数vm ~ vm+n
P命名
- 局部变量 v0 ~ vm-1
- 函数参数pm ~ pm+n

变量

java	smali
boolean	Z
byte	B
short	S
char	C
int	I
long	L
float	F
double	D
void	V
object	L
array	[

对象类型

对象类型可以表示 Java 代码中的所有类
例如：

Lpackage/name/ObjectName;
Ljava/lang/String;

数组

比如说 int 数组 int [] 在 smali 中的表示形式为 [I 。
比如说数组类型 String[][] 在 smali 中的表示形式为 [[Ljava/lang/String;

字段声明

#instance fields
.field <访问权限修饰符> [非权限修饰符] <字段名>:<字段类型>

访问权限修饰符

public
private
protected

非权限修饰符

final
volidate
transient

综上举例：

private java.lang.String str1; == .field private str1:Ljava/lang/String;
public static java.lang.String str2; == .field public static str2:Ljava/lang/String;

方法

# 描述方法类型
.method <访问权限修饰符> [修饰符] <方法原型>
      <.locals>(.locals 会指定方法使用的局部变量。)
      [.parameter](参数就正常用 p0 开始)
      [.prologue](程序的开始处)
      [.line](第几行)
      <代码逻辑>
      [.line]
      <代码逻辑>
.end

方法类型

一般是反编译工具加上去的

直接方法，direct method
虚方法，virtual method

方法原型

方法原型一般为方法名(参数类型描述符)返回值类型描述符。

类

.class <访问权限修饰符> [非权限修饰符] <类名>
.super <父类名>
.source <源文件名称>

例如：

.class public final Lcom/a/b/c;
.super Ljava/lang/Object;
.source "Demo.java"

类的引用

this$[层数]
例如

public class MainActivity extends Activity {   //this$0
   public class firstinner  //this$1
   {
      public class secondinner //this$2
      {
         public class thirdinner //this$3
         {

         }
      }
   }
}

接口

#interfaces
.implements <接口名称>

注解

#annotations
.annotation [注解的属性] <注解范围>
    [注解字段=值]
    ...
.end

位描述元素

一个 op，8 位指令码
若干个字符，每一个字符表示 4 位
若干个 | ，进行分割，方便阅读。
若干个 ∅同样也是 4 个字符，表示该部分位为 0。
例如：
指令 B|A|op CCCC 包含 2 个 word，一共 32 位。其中，第一个字的低 8 位是操作码，中间 4 位是 A，高 4 位是 B。第二个字是单独的 16 位的数值

格式ID

指令格式，根据 ID 的不同，仍然可以表示不同的指令含义
在这里插入图片描述

第一个数字表示 word 的数量
第二个数字的话表示指令包含的寄存器的最大数量
第二个如果是r 的话，表示使用了一定范围内的寄存器 (range)。
第三个字符表示指令使用到的额外数据的类型
第四个s表示静态链接
第四个i表示内联

指令句语法

指令以操作码 op 开始
op后面跟参数
参数间以逗号分隔。
参数Vx表示寄存器，如 v0、v1 等。
参数 #+X 表示常量数字。
参数 +X 表示相对指令的地址偏移。
参数 kind@X 表示常量池索引值，其中 kind 表示常量池类型，可以是string type field meth

例如：
指令 op vAA, type@BBBB 为例，指令使用了 1 个寄存器 vAA，一个 32 位的类型常量池索引。

指令后缀

32 位运算不标记。
64 位运算以 -wide 为后缀。
特定类型的运算码以其类型（或简单缩写）为后缀，这些类型包括-boolean、-byte、-char、-short、-int、-long、-float、-double、-object、-string、-class 和 -void。

空指令

nop 无任何操作

数据定义指令

主要就是const
举例

byte b = 1; ==》 const/4 v0, 0x1
short s = 2;==》const/4 v8, 0x2
String str = "test"; ==》 const-string v9, "test"
Class c = Object.class; const-class v1, Ljava/lang/Object;

数据移动指令

主要就是move

move、move-result 用于处理小于等于 32 位的基本类型。
move-wide、move-result-wide用于处理 64 位类型
move-object系列指令和move-result-object用于处理对象
后缀（/from16、/16）只影响字节码的位数和寄存器的范围

数据转换指令

明显的两种类型的单词组合
举个例子int-to-short v0,v1 即将寄存器 v1 的值强制转换为 short 类型，并放入 v0 中。

运算指令

运算类型如下

类型	说明
add-type	vBB + vCC
sub-type	vBB - vCC
mul-type	vBB * vCC
div-type	vBB / vCC
rem-type	vBB % vCC
and-type	vBB & vCC
or-type	vBB \| vCC
xor-type	vBB ^ vCC
shl-type	vBB << vCC
shr-type	vBB >> vCC
ushr-type	vBB >>> vCC无符号

type 可以是 - int，-long， -float，-double。
举例：

int a = 5, b = 2;
a += b;
a -= b;
a *= b;
a /= b;
a %= b;
a &= b;
a |= b;
a ^= b;
a <<= b;
a >>= b;
a >>>= b;

smali

const/4 v0, 0x5
const/4 v1, 0x2
add-int/2addr v0, v1
sub-int/2addr v0, v1
mul-int/2addr v0, v1
div-int/2addr v0, v1
rem-int/2addr v0, v1
and-int/2addr v0, v1
or-int/2addr v0, v1
xor-int/2addr v0, v1
shl-int/2addr v0, v1
shr-int/2addr v0, v1
ushr-int/2addr v0, v1

数组操作

指令	说明
array-length vA, vB	获取给定 vB 寄存器中数组的长度并赋给 vA 寄存器
new-array vA, vB, type@CCCC	新建数组
new-array/jumbo vAAAA, vBBBB,type@CCCCCCCC	新建数组范围更大
filled-new-array {vC, vD, vE, vF, vG},type@BBBB	新建数组指定内容
filled-new-array/range {vCCCC …vNNNN}, type@BBBB	新建数组指定范围
fill-array-data vAA, +BBBBBBBB	填充数组

例如：

int[] arr = new int[10];
int[] arr = {1, 2, 3, 4, 5};

const/4 v1, 0xa
new-array v0, v1, I
const/4 v1, 0x1
const/4 v2, 0x2
const/4 v3, 0x3
const/4 v4, 0x4
const/4 v5, 0x5
filled-new-array {v1, v2, v3, v4, v5}, I
move-result v0
寄存器若连续，则可改为
filled-new-array {v1...v5}, I

实例操作

指令	说明
check-cast vAA, type@BBBB、check-cast/jumbo vAAAA, type@BBBBBBBB	转成B
instance-of vA, vB, type@CCCC、instance-of/jumbo vAAAA, vBBBB, type@CCCCCCCC	if能转成B，vA=1 else vA=0
new-instance vAA, type@BBBB、new-instance/jumbo vAAAA, type@BBBBBBBB	构造新实例

例如：

Object obj = new Object();

String s = "test";
boolean b = s instanceof String;

String s = "test";
Object o = (Object)s;

new-instance v0, Ljava/lang/Object;
invoke-direct-empty {v0}, Ljava/lang/Object;-><init>()V

const-string v0, "test"
instance-of v1, v0, Ljava/lang/String;

const-string v0, "test"
check-cast v0, Ljava/lang/Object;
move-object v1, v0

字段操作指令

字段操作指令主要是对实例的字段进行读写操作

读=get
写=put
普通字段+i
静态字段+s

例如：iget，iget-wide，iget-object，iget-boolean，iget-byte，iget-char，iget-short

例如：

int[] arr = new int[2];
int b = arr[0];
arr[1] = b;

const/4 v0, 0x2
new-array v1, v0, I
const/4 v0, 0x0
aget-int v2, v1, v0
const/4 v0, 0x1
aput-int v2, v1, v0

比较指令

cmp(l/g)-kind（kind可以选float、long、double） vAA（结果放这里）, vBB, vCC
如果 vBB 寄存器大于 vCC 寄存器，结果为 - 1，相等则结果为 0，小于的话结果为 1

跳转指令

goto，无条件跳转
switch，分支跳转
- packed-switch vAA,+BBBBBBBB 规律递增跳转
- sparse-switch vAA,+BBBBBBBB 无规律递增跳转
if，条件跳转
- if-eq vA,vB,target 如果 vA=vB，跳转。
- if-ne vA,vB,target 如果 vA!=vB，跳转。
- if-lt vA,vB,target 如果 vA<vB，跳转。
- if-gt vA,vB,target 如果 vA>vB，跳转。
- if-ge vA,vB,target 如果 vA>=vB，跳转。
- if-le vA,vB,target 如果 vA<=vB，跳转。
- if-eqz vAA,target 如果 vA=0，跳转（加z则是和0比较）

例如

int a = 10
if(a > 0)
    a = 1;
else
    a = 0;

const/4 v0, 0xa
if-lez v0, :cond_0 # if 块开始
const/4 v0, 0x1
goto :cond_1       # if 块结束
:cond_0            # else 块开始
const/4 v0, 0x0
:cond_1            # else 块结束

锁指令

monitor-enter vAA 为指定的对象获取锁
monitor-exit vAA 释放指定的对象的锁

方法调用指令

invoke-kind {vC, vD, vE, vF, vG},meth@BBBB
invoke-kind/range {vCCCC … vNNNN},meth@BBBB 两类

kind类型：

invoke-direct 直接调用
invoke-super 调父类
invoke-virtual 虚方法（对于protected或者public方法都叫做虚方法。）
invoke-static 静态
invoke-interface 接口

异常指令

try-catch

int a = 10;
try {
    callSomeMethod();
} catch (Exception e) {
    a = 0;
}
callAnotherMethod();

const/16 v0, 0xa

:try_start_0            # try 块开始
invoke-direct {p0}, Lnet/flygon/myapplication/SubActivity;->callSomeMethod()V
:try_end_0              # try 块结束

.catch Ljava/lang/Exception; {:try_start_0 .. :try_end_0} :catch_0

:goto_0
invoke-direct {p0}, Lnet/flygon/myapplication/SubActivity;->callAnotherMethod()V
return-void

:catch_0                # catch 块开始
move-exception v1
const/4 v0, 0x0
goto :goto_0            # catch 块结束