之前有写过一篇博客介绍了下java字节码的查看和分析

其实除了分析java内部类、枚举等java语言的实现原理之外,在一些特定的场景也是比较有用的.

这篇文章做个死,给大家讲解通过字节码去破解某些安卓应用的原理.(现在一般都是通过修改smali去做的，但是其实基于字节码也是可以做到的，这篇文章基于之前的java字节码分析，所以只讲字节码的方式，smali的话大家可以自行搜索)

很多的单机游戏,甚至是一些网络游戏他们运行的时候逻辑运算都是放在本地的.服务端只是接收客户端上传的运算结果.还有一些收费应用,其实功能都在本地代码里面了,只不过是判断了下是否有付费,如果有付费才显示功能入口.

如果我们可以修改它的代码,将上传的结果或者是否付费的判断改成我们希望的,就可以为所欲为了.

反编译

要修改应用的代码逻辑,首先要先分析原来的代码逻辑是怎样的.

但由于应用的代码都是各家公司的私有财产,除非有人做大死泄露了出来,一般我们是拿不到的.所以这个时候我们就只能使用反编译技术了.

如果大家到网上搜索apk的反编译技术,大概率会搜到下面的方法:

1. 使用apktool工具解压apk
2. 使用dex2jar工具将安卓优化后的dex文件转换成java的class
3. 使用jd-gui工具查看class里面的java代码

这么繁琐的操作其实已经过时了,我这边介绍个一键式傻瓜操作的工具给大家

jadx

jadx是个开源的安卓反编译工具,它的代码托管在github上,大家可以去下载来使用

用法很简单,下载之后解压,然后进入bin目录运行jadx-gui(linux/mac)或者jadx-gui.bat(windows),就可以启动一个可视化的界面了,然后点击"文件->打开",并且选择我们想要反编译的应用,就能看到apk里面的代码了

1.png 2.png

我这里反编译了一个demo应用,它的MainActivity.onCreate里面判断了一个flag变量,然后弹出Toast.

我们安装这个apk运行起来可以看到弹出toast: "hello world!"

0.png

其他应用也是类似的,可以这样查看它们的代码.

不过正式发布的应用一般都会做混淆操作,这个时候我们反编译处理看到的代码的类名、方法名、变量名就都会变成a,b,c这样无意义的字符.

但是只是名字变了,执行逻辑是完全一样的,所以只要够细心,还是可以理清楚它的代码逻辑的.

jadx有个厉害的功能就是可以导出gradle工程,点击"文件->另存为Gradle项目"就可以导出gradle项目了,然后改下目录结构,就可以用Android studio去打开工程并且编辑修改代码了.

如果修改之后编译成功,那么我们的目的就达到了,可以为所欲为,但是这个项目大概率是不能编译成功的,有很多奇奇怪怪的错误.

接下来我就带大家一步步破解这个apk，修改它的逻辑，不弹"hello world!"而是弹"hello java".

修改应用的字节码

我们可以用jadx去很方便的分析代码逻辑,但是如果重新编译失败的话我们就只有走别的路子了.

这里介绍直接编辑字节码的方式.走这条路的话就没有什么傻瓜操作可以用了.还是老老实实一步步来吧

1. 解压apk

apk其实是一种zip压缩包,我们可以将它的后缀改成.zip,然后直接解压

3.png

我们将解压出来的东西都放到app-release-unsigned目录里面:

4.png

2. 将dex转换成jar

我们都知道安卓的虚拟机不是普通的java虚拟机,它不能直接运行java的class文件,需要优化成dex文件.

而我们修改字节码的时候就需要将它转换回来了,这里使用的就是dex-tools工具的dex2jar功能:

这里我只介绍Linux下命令的用法,就不介绍Windows上的使用了,其实是类似的使用.bat的版本,大家可以自行搜索.

将classes.dex转换成jar文件:

~/dex-tools-2.1-SNAPSHOT/d2j-dex2jar.sh classes.dex

它会生成classes-dex2jar.jar文件:

5.png

3. 修改class字节码

其实jar文件也是一种zip压缩包,我们依然可以直接把后缀改成zip,然后解压:

6.png

然后找到MainActivity.class

7.png

这个时候我们就能用上篇文章说的javap命令去查看里面的代码了:

javap -c MainActivity

8.png

这里第16行的意思就是付过栈顶的两个变量不相等就跳到第32行代码,否则继续执行

16: if_icmpne 32

而我们可以看到,继续执行的话会输出hello world!,如果跳的32行的话就会输出hello java!

这里我们可以直接将if_icmpne改成if_icmpeq,在相等的时候跳到32行,否则继续执行,这样原来的"hello world!"提示就会变成"hello java!"了

如果直接用编辑器打开class文件,里面是一些二进制的值.

那我们要怎么修改呢?

这里我们会用到另外一个工具jbe,全称是java bytecode editor

下载了之后解压,进入bin目录使用下面命令打开图形界面:

java ee.ioc.cs.jbe.browser.BrowserApplication

9.png

在图形界面打开MainActivity.class,并且找到我们的MainActivity.onCreate代码:

10.png

然后点击Code Editor选项就可以对字节码进行修改了,这里我们将if_icmpne改成if_icmpeq,然后点击Save method:

11.png

这样我们的逻辑修改就完成了

4. 重新打包dex

接下来我们将重新打包apk,首先将class压缩成zip,注意目录结构:

12.png

然后将后缀改成jar,并且使用jar2dex生成dex:

~/dex-tools-2.1-SNAPSHOT/d2j-jar2dex.sh classes-dex2jar.jar

接着用生成的dex替换原来的classes.dex,然后删除所有刚刚生成的临时文件,如classes-dex2jar.zip和classes-dex2jar目录

13.png

5.删除签名信息

一般我们拿到的应用都是签名过的应用，应用签名之后会将资源和代码的校验信息保存到apk里，如果我们修改了dex文件，就会导致校验失败，这样的话apk是不能安装的。

所以我们需要把原来的签名删掉，具体做法就是删除META-INF目录里面的三个文件:

CERT.RSA
CERT.SF
MANIFEST.MF

6. 重新打包apk

接下来同样的压缩文件生成zip压缩包,注意目录结构:

14.png

最后将zip后缀改成apk,我们的apk就打包好了

重签名

由于我们重新打包的apk删除了签名信息,如果直接安装是会失败的,需要我们重新给它签名.

创建签名

可以用下面命令创建alias为android.keystore,文件名也是android.keystore的签名文件

keytool -genkeypair -alias android.keystore -keyalg RSA -validity 400 -keystore android.keystore

按下回车之后它会让你输入一些密码、开发者信息等,完成之后就能得到一个android.keystore文件

签名应用

然后我们使用得到的android.keystore去给应用重新签名:

jarsigner -keystore android.keystore -signedjar release.apk app-release-unsigned.apk android.keystore

得到签好名的release.apk

大功告成!

让我们安装进去运行看看,toast已经变成了"hello java!":

16.png