【一】、【二】中从代码的角度分析了dalvik字节码解释执行的过程，这篇文章以一个例子来实际分析一下。

我们以这篇文章中提到的crackme为例，下载链接参见那篇文章。我们只分析dalvik字节码，因此忽略so。

0x01:

使用Jeb打开crackme.apk，找到MainActivity的onCreate方法，其smali内容是：

.method protected onCreate(Bundle)V
          .registers 5
          .param p1, "savedInstanceState"
          .prologue
00000000  invoke-super            AppCompatActivity->onCreate(Bundle)V, p0, p1
00000006  const                   v2, 0x7F040019
0000000C  invoke-virtual          MainActivity->setContentView(I)V, p0, v2
00000012  const                   v2, 0x7F0C0050
00000018  invoke-virtual          MainActivity->findViewById(I)View, p0, v2
0000001E  move-result-object      v1
00000020  check-cast              v1, EditText
          .local v1, txt:Landroid/widget/EditText;
00000024  const                   v2, 0x7F0C0051
0000002A  invoke-virtual          MainActivity->findViewById(I)View, p0, v2
00000030  move-result-object      v0
00000032  check-cast              v0, Button
          .local v0, btn:Landroid/widget/Button;
00000036  sget-boolean            v2, MainActivity->$assertionsDisabled:Z
0000003A  if-nez                  v2, :4E
:3E
0000003E  if-nez                  v0, :4E
:42
00000042  new-instance            v2, AssertionError
00000046  invoke-direct           AssertionError-><init>()V, v2
0000004C  throw                   v2
:4E
0000004E  new-instance            v2, MainActivity$1
00000052  invoke-direct           MainActivity$1-><init>(MainActivity, EditText)V, v2, p0, v1
00000058  invoke-virtual          Button->setOnClickListener(View$OnClickListener)V, v0, v2
0000005E  return-void
.end method

smali 对于Android，可以理解为汇编对于C。smali中定义了一套完整的dalvik操作码（类似于汇编的指令集），构成了dalvik虚拟机最核心的部分。

字节码是二进制的，这些二进制通过一定的方式可以被解释成为smali指令。我们来看看这个过程。

0x02：

使用010editor打开crackme.apk中的classes.dex，应用dex模板，结果如下：

dex文件格式参见这篇文章

我们分析的目标是MainActivity的onCreate方法，直接找到它：

因为onCreate是重写的父类方法，所以在virtual_methods中，我们看到这个方法需要5个寄存器，2个参数，3个内部方法调用参数，48条指令。字节码在insns中。

0x03:

下面进入对字节码的分析，在【二】中分析方法执行时， dvmInterpretPortable的最后一个语句:

FINISH(0); /* fetch and execute first instruction */

即为定位到insns的起始处，并取2个字节的内容放置到inst变量中，之后取出inst的低字节数值作为handlerTable数组的索引号，然后跳转到对应符号去执行。

代码上的跟踪比较繁琐，好在google有相关的文档：【Dalvik bytecode】、【Dalvik Executable instruction formats】，我们根据文档来分析。

在这个例子中，第一个“两字节”是：6F 20， 其低字节是6F，代表着handlerTable数组的索引号，查询文档：

表示操作符是invoke-super。

查看OP_INVOKE_SUPER.cpp，里面有对此指令的执行过程：

HANDLE_OPCODE(OP_INVOKE_SUPER /*vB, {vD, vE, vF, vG, vA}, meth@CCCC*/)
    GOTO_invoke(invokeSuper, false);
OP_END

其中：

# define HANDLE_OPCODE(_op) op_##_op:

OP_INVOKE_SUPER                 = 0x6f,

#define GOTO_invoke(_target, _methodCallRange)                              \
    do {                                                                    \
        methodCallRange = _methodCallRange;                                 \
        goto _target;                                                       \
    } while(false)

翻译一下就是：

op_0x6f:
  do{
      methodCallRange = false;
      goto invokeSuper;
  }while(false)

invokeSuper在gotoTargets.cpp中定义：

GOTO_TARGET(invokeSuper, bool methodCallRange)
    {
        Method* baseMethod;
        u2 thisReg;

        EXPORT_PC();

        vsrc1 = INST_AA(inst);      /* AA (count) or BA (count + arg 5) */
        ref = FETCH(1);             /* method ref */
        vdst = FETCH(2);            /* 4 regs -or- first reg */

        if (methodCallRange) {
            ILOGV("|invoke-super-range args=%d @0x%04x {regs=v%d-v%d}",
                vsrc1, ref, vdst, vdst+vsrc1-1);
            thisReg = vdst;
        } else {
            ILOGV("|invoke-super args=%d @0x%04x {regs=0x%04x %x}",
                vsrc1 >> 4, ref, vdst, vsrc1 & 0x0f);
            thisReg = vdst & 0x0f;
        }
    
      ... //此处省略后后面的内容

其中：

#define GOTO_TARGET(_target, ...) _target:

#define GOTO_TARGET_END

翻译一下就是：

invokeSuper:
    {
        Method* baseMethod;
        u2 thisReg;

        EXPORT_PC();

        vsrc1 = INST_AA(inst);      /* AA (count) or BA (count + arg 5) */
        ref = FETCH(1);             /* method ref */
        vdst = FETCH(2);            /* 4 regs -or- first reg */

        if (methodCallRange) {
            ILOGV("|invoke-super-range args=%d @0x%04x {regs=v%d-v%d}",
                vsrc1, ref, vdst, vdst+vsrc1-1);
            thisReg = vdst;
        } else {
            ILOGV("|invoke-super args=%d @0x%04x {regs=0x%04x %x}",
                vsrc1 >> 4, ref, vdst, vsrc1 & 0x0f);
            thisReg = vdst & 0x0f;
        }
    
      ... //此处省略后后面的内容

这样就找到了invokeSuper真正执行的地方了，可以看到，依然是解析字节码和获取新字节码解析的过程。代码跟踪同样比较复杂，我们直接看文档：

从图中可以看出6f的格式是35c（后面会用到），语法格式为：

invoke-*kind*{vC, vD, vE, vF, vG}, meth@BBBB

其中的A、B、C的解释在后面一列有说明，光看这个还不能看懂，看一下35c：

这个文档我一开始也看得不是太懂，简单的还能对应起来，复杂的（现在这个例子）就搞不清楚了，文档只能理解个大概，最后我选择看代码。这里直接说我看代码看明白的：

首先 6F 20 中的 6F表示操作码，20又分两个4位来解释，2表示寄存器的数量，0代表啥还没有看明白：(，随后的两个字节 47 2A 表示的是method id，47 2A 表示数值是0x2A47，即10823，如图：

所以我们大概明白了：

invoke-super            AppCompatActivity->onCreate(Bundle)V

随后的两个字节 43 00 也是需要被解析的，是用来确定寄存器标号的，至于怎么映射为 p0 p1，我也没有看懂（代码在gotoTargets.cpp的GOTO_TARGET(invokeSuper, bool methodCallRange)中，欢迎有兴趣的同学继续研究并加微信交流）。

0x04:

至此，我们分析完第一条指令的字节码解释过程了。在源码中，你可以看到，它不光是解释成smali这么简单，它真正的去寻找父类的onCreate方法，构造函数堆栈并进行调用。
pc指针随着执行过程不断往后移动，当方法返回后，继续去下一个“两字节”进行解释执行。这个例子中的下一个“两字节"是14 02，其中14为操作码，如图：

可以看到是const vAA, #+BBBBBBBB，和我们在Jeb中看到的const v2, 0x7F040019能够对上。后续的过程和前面完全一致，只是处理的是不同的操作码而已。

0x05:

至此，此系列文章结束。其中有一些细节我也没有弄得很清楚（回头弄明白再来更新），但是大致流程已经清晰了。欢迎有兴趣的同学在此基础上继续研究，可以加我微信进行交流。微信见首页二维码。