第四章 常见 Android 文件格式(二)(classes.dex)

最新推荐文章于 2024-04-29 00:14:18 发布
最新推荐文章于 2024-04-29 00:14:18 发布
阅读量5.6k 收藏 8
点赞数 6
分类专栏: 《Android 软件安全权威指南》学习笔记 文章标签: android 安全 android studio 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zlmm741/article/details/104706841
版权

文章目录

classes.dex

  • 其中包含 APK 的可执行代码,是分析 Android 软件时最常见的目标

DEX 文件结构

  • 在 Android 源码文件 dalvik/libdex/DexFile.h 中,有 DEX 文件可能用到的所有数据结构和常量定义
  • 先了解 DEX 文件使用的数据类型:
自定义类型 原类型 含义
s1 int8_t 8 位有符号整型
u1 uint8_t 8 位无符号整型
s2 int16_t 16 位有符号整型,小端字节序
u2 uint16_t 16 位无符号整型,小端字节序
s4 int32_t 32 位有符号整型,小端字节序
u4 uint32_t 32 位无符号整型,小端字节序
s8 int64_t 64 位有符号整型,小端字节序
u8 uint64_t 64 位无符号整型,小端字节序
sleb128 有符号 LEB128,可变长度
uleb128 无符号 LEB128,可变长度
uleb128p1 无符号 LEB128 加 1,可变长度
  • u1 ~ u8 好理解,表示 1 ~ 8 字节的无符号数;s1 ~ s8 表示 1 ~ 8 字节的有符号数;sleb128、uleb128、uleb128p1 则是 DEX 文件中特有的 LEB128 数据类型
  • 每个 LEB128 由 1 ~ 5 字节组成,所有的字节组合在一起表示一个 32 位的数据,如下图。每个字节只有 7 位为有效位,若第一个字节的最高位为 1,表示 LEB128 要使用第二个字节;若第二个字节的最高位为 1,表示 LEB128 要使用第三个字节;依此类推,直到最后一个字节的最高位为 0。当然,LEB128 最多使用 5 字节,若读取 5 字节后下一个字节的最高位仍为 1,则表示该 DEX 文件无效,Dalvik 虚拟机在验证 DEX 文件时会失败并返回
    在这里插入图片描述
  • 在 Android 系统源码 dalvik/libdex/Leb128.h 中可找到 LEB128 的实现。读取无符号 LEB128(uleb128)数据的代码:
DEX_INLINE int readUnsignedLeb128(const u1** pStream) {
    const u1* ptr = *pStream;
    int result = *(ptr++);
    // 大于 0x7f,表示第一个字节最高位为 1
    if (result > 0x7f) {
        // 第二个字节
        int cur = *(ptr++);
        // 前两个字节的组合
        result = (result & 0x7f) | ((cur & 0x7f) << 7);
        // 大于 0x7f,表示第二个字节最高位仍为 1
        if (cur > 0x7f) {
            // 第三个字节
            cur = *(ptr++);
            // 前三个字节的组合
            result |= (cur & 0x7f) << 14;
            if (cur > 0x7f) {
                // 第四个字节
                cur = *(ptr++);
                // 前四个字节的组合
                result |= (cur & 0x7f) << 21;
                if (cur > 0x7f) {
                    // 第五个字节
                    cur = *(ptr++);
                    // 前五个字节的组合
                    result |= cur << 28;
                }
            }
        }
    }
    *pStream = ptr;
    return result;
}
  • 有符号的 LEB128(sleb128)与无符号的 LEB128 的计算方法大致相同,区别是无符号的 LEB128 的最后一个字节的最高有效位进行了符号扩展。读取有符号的 LEB128 数据的代码:
DEX_INLINE int readSignedLeb128(const u1** pStream) {
    const u1* = *pStream;
    int result = *(ptr++);
    // 小于 0x7f,表示第一个字节的最高位不为 1
    if (result <= 0x7f) {
        // 对第一个字节的最高有效位进行符号扩展
        result = (result << 25) >> 25;
    }
    else {
        // 第二个字节
        int cur = *(ptr++);
        // 前两个字节的组合
        result = (result & 0x7f) | ((cur & 0x7f) << 7);
        if (cur <= 0x7f) {
            // 对结果进行符号位扩展
            result = (result << 18) >> 18;
        }
        else {
            // 第三个字节
            cur = *(ptr++);
            // 前三个字节的组合
            result |= (cur & 0x7f) << 14;
            if (cur <= 0x7f) {
                // 对结果进行符号位扩展
                result = (result << 11) >> 11;
            }
            else {
                // 第四个字节
                cur = *(ptr++);
                // 前四个字节的组合
                result |= (cur & 0x7f) << 21;
                if (cur <= 0x7f) {
                    // 对结果进行符号位扩展
                    result = (result << 4) >> 4;
                }
                else {
                    // 第五个字节
                    cur = *(ptr++);
                    // 前五个字节的组合
                    result |= cur << 28;
                }
            }
        }
    }
    *pStream = ptr;
    return result;
}
  • uleb128p1 类型很简单,其值为 uleb128 的值加 1
  • 计算字符序列“c0 83 92 25”的 uleb128 值:
  • 第一个字节 0xc0 大于 0x7f,表示要使用第二个字节,即 result1 = 0xc0 & 0x7f
  • 第二个字节 0x83 大于 0x7f,要使用第三个字节,即 result2 = result1 + (0x83 & 0x7f) << 7
  • 第三个字节 0x92 大于 0x7f,要使用第四个字节,即 result3 = result2 + (0x92 & 0x7f) << 14
  • 第四个字节 0x25 小于 0x7f,表示到了结尾,即 result4 = result3 + (0x25 & 0x7f) << 21
  • 结果为:0x40 + 0x180 + 0x1200000 + 0x4a00000000 = 0x4a012001c0
  • 计算字符序列“d1 c2 b3 40”的 sleb128 值:
  • 第一个字节 0xd1 大于 0x7f,要使用第二个字节,即 result1 = 0xd1 & 0x7f
  • 第二个字节 0xc2 大于 0x7f,要使用第三个字节,即 result2 = result1 + (0xc2 & 0x7f) << 7
  • 第三个字节 0xb3 大于 0x7f,要使用第四个字节,即 result3 = result2 + (0xb3 & 0x7f) << 14
  • 第四个字节 0x40 小于 0x7f,表示到了结尾,即 result4 = ((result3 + (0x40 & 7f) << 21) << 4) >> 4
  • 结果为:((0x51 + 0x2100 + 0x3300000 + 0x8000000000) << 4) >> 4 = ‭0x8003302151‬
  • DEX 文件由多个结构体组合而成。如下图,一个 DEX 文件由七部分组成:dex header 为 DEX 文件头,指定了 DEX 文件的一些属性并记录了其他数据结构在 DEX 文件中的物理偏移;string_ids 到class_def 部分可理解为“索引结构区”;真实的数据存放在 data 数据区;link_data 为静态链接数据区
dex header
string_ids
type_ids
proto_ids
field_ids
method_ids
class_def
data
link_data

在这里插入图片描述

  • DEX 文件由 DexFile 结构体表示,定义如下:
struct DexFile {
    // directly-mapped "opt" header
    const DexOptHeader* pOptHeader;
    
    // pointers to directly-mapped structs and arrays in base DEX
    const DexHeader* pHeader;
    const DexStringId* pStringIds;
    const DexTypeId* pTypeIds;
    const DexFileId* pFileIds;
    const DexMethodId* pMethodIds;
    const DexProtoId* pProtoIds;
    const DexClassDef* pClassDefs;
    const DexLink* pLinkData;
    
    // These are mapped out of the "auxillary" section,
    // and may not be included in the file
    const DexClassLookup* pClassLookup;
    const void* pRegisterMapPool;        // RegisterMapClassPool
    
    // points to start of DEX file data
    const u1* baseAddr;
    
    // track memory overhead for auxillary structures
    int overhead;
    
    // additional app-specific data structures associated with the DEX
    //void* auxData;
};
  • DexOptHeader 是 ODEX 的头。DexHeader 是 DEX 文件的头部信息,定义:
struct DexHeader {
    u1 magic[8];        // DEX 版本标识
    u4 checksum;        // adler32 检验
    u1 signature[kSHA1DigestLen];        // SHA-1 散列值
    u4 fileSize;        // 整个文件的大小
    u4 headerSize;        // DexHeader 结构的大小
    u4 endianTag;        // 字节序标记
    u4 linkSize;        // 链接段的大小
    u4 linkOff;        // 链接段的偏移量
    u4 mapOff;        // DexMapList 的文件偏移
    u4 stringIdsSzie;        // DexStringId 的个数
    u4 stringIdsOff;        // DexStringId 的文件偏移
    u4 typeIdsSize;        // DexTypeId 的个数
    u4 typeIdsOff;        // DexTypeId 的文件偏移
    u4 protoIdsSize;        // DexProtoId 的个数
    u4 protoIdsOff;        // DexProtoId 的文件偏移
    u4 fieldIdsSize;        // DexFieldId 的个数
    u4 fieldIdsOff;        // DexFieldId 的文件偏移
    u4 methodIdsSize;        // DexMethodId 的个数
    u4 methodIdsOff;        // DexMethodId 的文件偏移
    u4 classDefsSize;        // DexClassDef 的个数
    u4 classDefsOff;        // DexClassDef 的文件偏移
    u4 dataSize;        // 数据段的大小
    u4 dataOff;        // 数据段的文件偏移
};
  • magic 字段:表示这是一个有效的 DEX 文件,目前它的值固定为“64 65 78 0A 30 33 35 00”,转换为字符串格式为“dex.035.”
    在这里插入图片描述
  • checksum 字段:DEX 文件的校验和,可通过它判断 DEX 文件是否已损坏或被篡改
  • signature 字段:用于识别未经 dexopt 优化的 DEX 文件
  • fileSize 字段:记录包括 DexHeader 在内的整个 DEX 文件的大小
  • headerSize 字段:记录 DexHeader 结构本身占用的字节数
  • endianTag 字段:指定 DEX 运行环境的 CPU 字节序,预设值 ENDIAN_CONSTANT 等于 0x12345678,表示默认采用小端字节序
  • linkSize、linkOff 字段:分别指定链接段的大小和文件偏移,大多数情况下它们的值为 0
  • mapOff 字段:指定 DexMapList 结构的文件偏移
  • 剩余字段:分别表示 DexStringId、DexTypeId、DexProto
最低0.47元/天 解锁文章
zlmm741
关注
  • 6
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
反编译classes.dex文件
武天旭的博客
10-02 1万+
一、反编译classes.dex Java源代码首先被编译成.class文件,然后Android SDK自带的dx工具会将这些.class文件转换成classes.dex。所以我们只需要想办法反编译classes.dex即可得到java源代码。运用安卓反编译工具dex2jar可将dex文件反编译成.jar文件,然后运用jd-gui工具即可查看反编译后得到的Java源代码。
classes.dex
03-27
classes.dex
classes.dexAndroid应用程序的核心代码文件,它是由Java源代码编译而来的
最新发布
BLOG域名:programb.blog.csdn.net
04-29 1003
Dalvik虚拟机使用了一种名为DEX(Dalvik Executable)格式的字节码,这种格式比传统的Java字节码更加紧凑,可以更有效地利用设备的内存和处理器资源。与传统的Java虚拟机(JVM)不同,Dalvik虚拟机没有使用即时编译(JIT)技术,而是使用了一种称为预编译的技术,将字节码转换为本地机器码。总结来说,classes.dexAndroid应用程序的核心代码文件,它包含了应用程序的所有逻辑和功能,是由Java源代码编译而来的,并且经过了优化以提高性能和效率。
Androidclass文件和dex文件
wsb_2526的博客
03-11 527
class文件 jvm在生成class文件的时候,会默认给我们填充父类等信息,这就是为什么能够调用super关键字的原因。 majic:加密段,用来判断class文件是否被篡改过; minor_version:当前class文件最小适配的版本 maj constant_:常量池的数量 constant_pool:真正的常量池,cp_info结构体类型 access_flags:当前class文件的作用域标识,比如Public this_class: super_class:jvm虚拟机会默认给我们填充当前
Android逆向之旅---解析编译之后的classes.dex文件格式
热门推荐
wtq1993的博客
02-26 1万+
一、前言 新的一年又开始了,大家是否还记得去年年末的时候,我们还有一件事没有做,那就是解析Android中编译之后的classes.dex文件格式,我们在去年的时候已经介绍了: 如何解析编译之后的xml文件格式: http://blog.csdn.net/jiangwei0910410003/article/details/50568487 如何解析编译之后的resource.arsc文件
classdex文件
weixin_34072637的博客
12-21 88
###什么是class文件 class文件是一种能够被JVM识别,加载并且执行的文件格式。 ###class文件的生成 很多语言都可以直接或者间接生成class文件,如下图所示: ######Tips:包括Kotlin、C++等等也能够生成class文件 下面举例,我们有一个Hello.java: public class Hello { public static void main...
android-support-multidex.jar.zip
05-30
Android应用开发中,由于Dalvik和ART虚拟机对单个Dex文件的方法数限制(65536个),当项目日益庞大,引入大量第三方库时,很容易超出这个限制。为了解决这个问题,Android提供了`android-support-multidex.jar`...
详解Android Studio如何导入第三方类库、jar包和so库
08-30
4. 在 qqEmoji-lib/build.gradle 文件中添加以下代码:apply plugin: 'android-library'android { compileSdkVersion 19 buildToolsVersion "21.1.2" defaultConfig { minSdkVersion 8 targetSdkVersion 18 }} ...
android dex2.jar
01-05
然而,`.dex`文件是以进制格式存储的,对于人类来说并不易读。`dex2jar`的出现解决了这个问题,它将`.dex`文件转换为更易于阅读和处理的Java类文件集合,即`.jar`文件。 使用`dex2jar`,开发者可以进行以下操作:...
apk.rar_.apk_android_android apk_apk
09-14
4. **classes.dex**:包含了Java字节码,经过Dalvik或ART(Android运行时)编译后用于在Android设备上执行。 5. **assets**目录:可选地,开发者可以将任意文件放入此目录,它们会在运行时原封不动地被应用使用。 ...
classes.dex.dex2jar
03-28
classes.dex.dex2jar
classes_dex2jar
06-05
用于classes的开发应用,用于安卓的开发和反编译,可以得到远吗
android classes.jar 4.0-5.0
05-14
在Ubuntu64 14.04.1环境下编译Android 5.0.0源码而成,还有4.0-4.4哒~
apk反编译 class.dex反编译
12-10
Android反编译工具包,命令行方式,首先用解压缩软件将 apk 包里的 class.dex 解压出来 ,然后和下载的文件放在一起,运行 bat 可以的到 out目录,需要将 java 配置到 path环境变量里
两种方法反编译Android的apk文件.doc
07-06
- 成功后,在相同目录下会生成`classes.dex.dex2jar.jar`文件。 4. **使用`jad`反编译`.jar`文件**: - 使用`jad`工具打开生成的`.jar`文件,即可查看其中的Java源代码,并可选择性地保存为`.java`文件。 #### ...
Apk解析之 —— classes.dex
Knowledge worth spreading
09-24 8325
本篇解析classes.dex文件,参考文章:Reference 项目源码:ApkParser Dex文件结构 文件头 header 索引区 string_idstype_idsproto_idsfield_idsmethod_ids 数据区 class_defsdatalink_data 一、头部信息Header结构头部信息除了dex文件的文件信息外,还有文
【移动安全基础篇】——30、class.dex文件格式讲解
Fly_鹏程万里
01-19 4365
1. classes.dex  Android 程序编译以后生成一个 apk 文件,里面的 classes.dex 便存放着程序的运行字节码。 2. backsmali ShakaApktool 使用 bs 命令即可对 classes.dex 实现反编译回 smali,而使用 s 命令可以把 smali 字节码编译为 classes.dex 文件 java –jar ShakaApktool b...
class文件与dex文件解析
乔布奇的博客
12-18 7735
这篇笔记是我去年的时候创建的,结果放到草稿箱里给忘记了,大写的尴尬啊,所以急忙给补上了,此处鄙视一下自己!今天的正题——解析class文件和dex文件。
E/AndroidRuntime: Caused by: java.lang.ClassNotFoundException: Didn't find class "android.support.v4.view.NestedScrollingParent" on path: DexPathList[[dex file "/data/data/com.hnucm.c202101020146/code_cache/.overlay/base.apk/classes3.dex", zip file "/data/app/~~u3KLYyStSLDO0SxPl9hU1A==/com.hnucm.c202101020146-2s6u-qQJ7q89DEmhvBL0yw==/base.apk"],nativeLibraryDirectories=[/data/app/~~u3KLYyStSLDO0SxPl9hU1A==/com.hnucm.c202101020146-2s6u-qQJ7q89DEmhvBL0yw==/lib/x86_64, /system/lib64, /system_ext/lib64]] at dalvik.system.BaseDexClassLoader.findClass(BaseDexClassLoader.java:218)
06-08
这是因为在运行时找不到android.support.v4.view.NestedScrollingParent类,可能的原因是您的应用程序中使用了过时的Support库版本,或者您的Gradle构建配置中未正确引用支持库。 解决方法包括: 1.更新您的Gradle构建配置,确保正确引用了最新版本的Support库。您可以通过在build.gradle文件中添加以下行来引用最新的Support库版本: ``` implementation 'com.android.support:support-v4:28.0.0' ``` 2.如果您的应用程序中使用了过时的Support库版本,则需要将其更新到最新版本。您可以在Android Studio中使用“Refactor->Migrate to AndroidX”菜单项来自动完成此操作。 3.如果您的应用程序中使用的第三方库依赖于过时的Support库版本,则需要联系库的开发人员并请求升级到最新版本。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值