dex文件格式笔记

最新推荐文章于 2022-05-27 17:15:59 发布
最新推荐文章于 2022-05-27 17:15:59 发布
阅读量320 收藏
点赞数
分类专栏: 文件格式 dex Android 计算机知识 移动安全 smali
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youyou519/article/details/93734154
版权

Dex是Dalvik Executable的简称
Dex文件包含了编译java生成的.class文件,由dx工具将java字节码转化为smali字节码
apk安装后,对于dalvik第一次运行系统完成dex优化,转化为odex文件,存放在/data/dalvik-cache目录下,执行时加载odex文件到内存,art虚拟机是转成oat文件,都是在前后加些
odex优化仅在dex文件之上添加头和数据

整体结构:
文件头,字符串列表,类型列表,原型列表,字段列表,方法列表,类定义列表,数据

文件头

struct DexHeader{	
u1 magic[8];	//dex\n035
u4 checksum;	//adler32校验
u1 signature[kSHA1DigestLen];	//JAVA的SHA-1签名
u4 fileSize;			//文件大小,整个文件多大。要对齐么?
u4 headerSize;			//DexHeader结构大小
u4 endianTag;        		//字节序标记
u4 linkSize;	u4 linkOff;        	//链接段大小和偏移
u4 mapOff;			//DexMapList文件偏移
u4 stringIdsSize;	u4 stringIdsOff;//这些表的大小和在文件中的偏移
u4 typeIdsSize;	u4 typeIdsOff;
u4 protoIdsSize;	u4 protoIdsOff;
u4 fieldIdsSize;	u4 fieldIdsOff;
u4 methodIdsSize;	u4 methodIdsOff;
u4 classDefsSize;	u4 classDefsOff;
u4 dataSize;	u4 dataOff;
};

 字符串和类型列表

struct DexStringId{	
u4 stringDataOff;	//指向字符串数据起始地址,每一项指向字符串的起始地址
};

struct DexTypeId{
	u4 descriptorIdx;	//指向DexStringId列表的索引,就是有几种类型,就几个变量
};

 

struct DexProtoId{
   u4 shortyIdx;	// 指向DexStringId列表的索引,是方法声明字符串,就是参数返回值的缩写
   u4 returnTypeIdx;     //  指向DexTypeId列表的索引,返回值的类型,所以肯定也是指向typeid中的一项	
   u4 parametersOff;	// 指向DexTypeList的偏移,参数
};

struct DexTypeList{
	u4 size;		// DexTypeItem的个数
	DexTypeItem list[1];
};

struct DexTypeItem{			 
	u2 typeIdx;	// 指向DexTypeId列表的索引
};

字段和方法列表

struct DexFieldId{
	u2 classIdx;		//字段类类型,指向DexTypeId列表索引,字段属于哪个类
	u2 typeIdx;		//字段类型,指向DexTypeId列表索引,字段的类型    
	u4 nameIdx;		//字段名,指向DexStringId列表索引,字段的名字
};

struct DexMethodId{
	u2 classIdx;	//类类型,指向DexTypeId列表索引
	u2 protoIdx;	//声明类型,指向DexTypeId列表索引
	u4 nameIdx;	//方法名,指向DexStringId列表索引
};

 类列表

struct DexClassDef{
	u4 classIdx;		//类类型,指向DexTypeId列表索引
	u4 accessFlags;		//访问标志,ACC_为前缀的枚举值,就是public那些东西
	u4 superclassIdx;		//父类类型,指向DexTypeId列表索引
	u4 interfacesOff;		//接口,指向DexTypeList
	u4 sourceFileIdx;		//源文件名,指向DexStringId列表索引
	u4 annotationsOff;		//注解,指向DexAnnotationsDirectoryItem
	u4 classDataOff;		//指向DexClassData结构偏移
	u4 staticValuesOff;		//指向DexEncodedArray结构偏移
};
struct DexClassData{
	DexClassDataHeader header;		//字段和方法个数的描述
	DexField*		   staticFields;	//静态字段
	DexField*		   instanceFields;	//实例字段
	DexMethod*	   directMethods;	//直接方法
	DexMethod*	   virtualMethods;	//虚方法
}

struct DexClassDataHeader{
	u4 staticFieldsSize;		//静态字段个数
	u4 instanceFieldsSize;	//实例字段个数
	u4 directMethodsSize;	//直接方法个数
	u4 virtualMethodsSize;	//虚方法个数
};
struct DexField{
	u4 fieldIdx;		//DexFieldId列表索引
	u4 accessFlags;		//访问标志
};
struct DexMethod{
	u4 methodIdx;		//方法列表索引
	u4 accessFlags;		//访问标志
	u4 codeOff;		//指向DexCode偏移	
};

然后对于native没有dexcode因为不在这里,在native层,如果是普通java方法,如下

struct DexCode{
	u2 registersSize;		//使用寄存器个数
	u2 insSize;		//参数个数
	u2 outsSize;		//调用其他方法使用的寄存器个数
	u2 triesSize;		//try catch个数,java里的trycatch
	u4 debugInfoOff;		//调试信息偏移
	u4 insnsSize;		//指令个数
	u2 insns[1];		//指令
    // u2 padding		//结构体对齐
    // try_item[triesSize]		//DexTry结构
    // uleb128 handlersSize	//Try hanlder个数
    // catch_handler_item[handlersSize]  //DexCatchHanlder
};

做成这种结构,原因是想把这个dex文件压缩,比如有些字符串比如类型反复使用,其实只要一份就好。

Demo

比如打开010editor,观察class

这里classidx指向tpyeid是4,指向字符串表第四项。

注意前面的u4,是一个变长的代表1个或者4个字节的无符号数。算法如下

// get the actual uint value of the uleb128
uint uleb128_value(uleb128 &u) {
    local uint result;
    local ubyte cur;

    result = u.val[0];
    if(result > 0x7f) {
        cur = u.val[1];
        result = (result & 0x7f) | (uint)((cur & 0x7f) << 7);
        if(cur > 0x7f) {
            cur = u.val[2];
            result |= (uint)(cur & 0x7f) << 14;
            if(cur > 0x7f) {
                cur = u.val[3];
                result |= (uint)(cur & 0x7f) << 21;
                if(cur > 0x7f) {
                    cur = u.val[4];
                    result |= (uint)cur << 28;
                }
            }
        }
    }

    return result;
}

大致就是看一个字节最高位如果是1,就拼接起来。

 再看下函数,比如main函数

 

 

kernweak
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【愚公系列】2023年06月 移动安全之安卓逆向(DEX文件格式
时光隧道
06-18 4332
DEX文件格式是Android操作系统中的一种二进制文件格式,用于存储编译后的Java字节码和相关元数据。DEX文件是为了解决在Android系统中运行Java应用程序的效率问题而产生的,它采用了一种优化的方法来减小二进制代码的大小和内存占用。在Android系统中,所有的应用程序都被编译成DEX格式,然后通过Dalvik虚拟机进行解释执行。DEX文件格式是Android应用程序的核心组成部分,它的优化和压缩对于应用程序的性能和响应速度有重要影响。
应用于加固技术中的DEX文件格式解析
dingxiang234的博客
04-13 1034
安全圈的朋友们,对于DEX文件应该是比较了解的。我们这次就简单介绍一下吧:DEX文件(Dalvik Executable)是一种专为Android 操作系统设计的可执行文件格式DEX文件包含了由 Java 语言编写的程序的字节码,这些程序在运行时被 Dalvik 虚拟机(DVM)解释执行。在 Android 应用程序开发中,Java 代码经过编译器编译生成Java字节码文件(.class文件),然后通过工具将字节码文件转换为DEX格式,最后打包成APK文件供安装和运行。
图解Dex文件结构及解析要点
beyond702的专栏
09-07 3891
Dex文件格式相当简单,看下图: 上图是我从数据结构的角度画出来的Dex文件格式,每个数据结构在android源码dalvik/libdex目录下都有定义,关于上图有几点需要注意: 1. 图中所有以(encoded)标注的数据结构在文件中对应的数据都是经过Leb128编码的,详细的可以自己去查,编码规则: 以字节为单位,按照小端规则排列每字节最高位为标志。如果最高位为
Android Dalvik、ART及APK编译过程
u013750244的博客
06-30 4425
原文链接:https://www.jianshu.com/p/92227738f270 一、什么是Dalvik虚拟机 Dalvik是Google公司自己设计用于Android平台的Java虚拟机,它是Android平台的重要组成部分,支持dex格式(Dalvik Executable)的Java应用程序的运行。dex格式是专门为Dalvik设计的一种压缩格式,适合内存和处理器速度有限的系统。Google对其进行了特定的优化,使得Dalvik具有高效、简洁、节省资源的特点。从Android系统架构图知,Dal
一篇文章带你搞懂DEX文件的结构
diaopo9520的博客
02-20 952
*本篇文章已授权微信公众号 guolin_blog (郭霖)独家发布 DEX文件就是Android Dalvik虚拟机运行的程序,关于DEX文件的结构的重要性我就不多说了。下面,开练! 建议:不要只看,跟着我做。看再多遍不如自己亲自实践一遍来的可靠,别问我为什么知道。泪崩ing..... 首先,我们需要自己构造一个dex文件,因为自己构造的比较简单,分析起...
dex文件格式
09-13
对Android中的Dex文件格式进行详细分析,通过一个简单的例子可以更好的分析Dex的格式。
dex文件格式详细分析
11-19
对Android中的Dex文件格式进行详细分析,通过一个简单的例子可以更好的分析Dex的格式。
DEX文件学习笔记
06-16
安卓DEX文件学习笔记,简单记录233333333333333666666
DEX文件格式完整解析全图
11-22
DEX文件格式完整解析全图~~~~~~~~.......................................
安卓反编译dex文件格式实例分析
11-18
1. dex 整个文件的布局 2. header 3. string_ids 4. type_ids 5. proto_ids 6. field_ids 7. method_ids 8. class_defs 8.1 class_def_item 8.2 class_def_item --> class_data_item 8.3 class_def_item --> ...
Android Dex 文件解析
l0neman 的博客
09-09 2830
Android Dex 文件解析 文章目录Android Dex 文件解析前言基本数据类型LEB128 类型uleb128leb128uleb128p1Dex 文件结构图Dex 结构说明hedaer_itemstring_idstype_idsproto_idsfield_idsmethod_idsclass_defscall_site_idsmap_listtype_listclass_data_itemcode_itemdebug_info_itemDex 文件解析构建 Dex 文件执行 Dex 文件解
dex字节码介绍和二进制译码分析
chiefhsing的专栏
07-06 3469
对于dex字节码的详细介绍,官方提供了三篇文档对其进行比较详尽的介绍,分别是: Dalvik bytecode :主要介绍的是Dalvik字节码的总体设计理念,还提供了全部的字节码指令介绍。如果没有一点计算机系统相关知识,还是比较难懂的,有部分的描述也不是太清晰,可参考本人这篇文章的翻译:Dalvik bytecode的总体设计 Dalvik Executable instruction for...
Android Dex文件详解
Misdirection_XG的博客
05-27 6735
前言 相信大家都熟悉dex文件,把一个apk给解压缩,就会得到一堆dex文件,但是这些dex文件是怎么来的,又有什么用,为什么这样设计,有进行思考过吗 俗话说知其然,知其所以然,本篇文章开始探究一下这些底层实现细节。 正文 不同的虚拟机 JVM JVM是Java Virtual Machine的简称,即Java虚拟机,它本质是一层软件抽象,在这之上才可以运行Java程序。Java文件经过编译后会生成JVM字节码,和C语言编译后生成的汇编语言不同,C编译成的汇编语言可以直接在硬件上跑,但是Java编译生成的字
Android Dex文件格式(一)
p312011150的博客
03-01 733
Android Dex文件格式(一)       dex是Android平台上(Dalvik虚拟机)的可执行文件, 相当于Windows平台中的exe文件, 每个Apk安装包中都有dex文件, 里面包含了该app的所有源码, 通过反编译工具可以获取到相应的java源码。       为什么需要学习dex文件格式? 最主要的一个原因: 由于通过反编译dex文件可以直接看到java源码, 越来越多的a...
Android逆向之旅---解析编译之后的Dex文件格式
weixin_30508241的博客
02-15 348
一、前言新的一年又开始了,大家是否还记得去年年末的时候,我们还有一件事没有做,那就是解析Android中编译之后的classes.dex文件格式,我们在去年的时候已经介绍了:如何解析编译之后的xml文件格式:http://blog.csdn.net/jiangwei0910410003/article/details/50568487如何解析编译之后的resource.arsc文件格式:htt...
dex文件格式
weixin_30699465的博客
08-31 64
一.生成dex文件我们可以通过java文件来生成一个简单的dex文件编译过程:首先编写java代码如下:(1) 编译成 java class 文件执行命令 : javac Hello.java编译完成后 ,目录下生成 Hello.class 文件(2) 编译成 dex 文件dx --dex --output=Hello.dex Hello.class编译正常会生成 Hello.dex 文件00 3...
Android Dex文件格式
LVXIANGAN的专栏
02-23 2517
dex是Android平台上(Dalvik虚拟机)的可执行文件, 相当于Windows平台中的exe文件, 每个Apk安装包中都有dex文件, 里面包含了该app的所有源码, 通过反编译工具可以获取到相应的java源码。        为什么需要学习dex文件格式? 最主要的一个原因: 由于通过反编译dex文件可以直接看到java源码, 越来越多的app(包括恶意病毒app)都使用了加固技术
dex 文件格式详解 pdf
最新发布
01-22
DEX文件格式是Android中的一种可执行文件格式,全称为Dalvik Executable Format。DEX文件主要用于存储和执行Android应用程序的字节码DEX文件的结构由标头区域、字符串表、类型表、字段表、方法表、类定义和数据...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值