Android反编译-Debug Step By Step

作者: 实例波 | 来源:发表于2017-03-05 00:27 被阅读2116次

    1.前言:

    这周公司有一个破解apk的需求,想要调起某软件的视频播放页面,之前有一套通过发广播调起的逻辑,该软件更新版本后这一套逻辑就废弃了。新版本的包拿过来反编译后静态分析,盯着别人代码看了一天也没找到突破口,师父看我实在太菜,决定把他的秘法传授与我,这篇文章便是我自己消化吸收后再重新做的一个总结。接下来进入今天的主题:Android反编译之——断点调试。

    2.原理概述:

    Android系统有自己的虚拟机Dalvik,代码编译最终不是采用java的class,而是使用的smali。我们反编译得到的代码,jar的话可能很多地方无法正确的解释出来,如果我们反编译的是smali则可以正确的理解程序的意思。

    3.准备工具:

    以下的版本都是我当前使用的版本,做个参考

    1.Android Studio-2.2,谷歌亲儿子

    2.apktool-2.2.2,使用它可以将apk反编译,得到smali文件,也可以将反编译出的文件重新打包,生成一个未签名的apk文件

    3.smalidea-0.03,这是一个AS上的插件,装上它,就能用AS来断点调试smali文件

    4.signapk.jar、platform.x509.pem、platform.pk8,这里我是用的系统的签名文件

    4.准备工作:

    以下内容引用自看雪论坛@火翼[CCG]的文章:


    根据android官方文档,要调试一个apk里面的dex代码,必须满足以下两个条件中的任意一个:

    1. apk中的AndroidManifest.xml文件中的Application标签包含属性android:debuggable=”true”

    2. /default.prop中ro.debuggable的值为1

    由于正常的软件发布时都不会把android:debuggable设置为false(当然也不排除某些很2的应用偏偏就是true),所以要达成条件1需要对app进行重新打包,这不仅每次分析一个apk都重复操作,而且很多软件会对自身进行校验,重打包后执行会被检测到,所以想办法满足第2个条件是个一劳永逸的办法。

    由于default.prop是保存在boot.img的ramdisk中,这部分每次重新启动都会重新从rom中加载,所以要到目的必须修改boot.img中的ramdisk并重新刷到设备中。修改步骤如下(我没试过,有兴趣的倒腾下):

    1. 从Google官方网站下载到boot.img

    2. 使用工具(abootimg,gunzip, cpio)把boot.img完全解开,获取到default.prop

    3. 修改default.prop

    4. 把修改后的文件重新打包成boot_new.img

    5. 使用fastboot工具把boot_new.img刷入设备(fastboot flash boot boot_new.img)


    这里笔者使用的是方法1,即修改AndroidManifest.xml文件中的android:debuggable=”true”。方法2刷机什么的还是感觉有些麻烦,还有一种途径是:AVD启动模拟器时,ro.debuggable会被置1,但是有个弊端,如果选arm架构的system image,速度奇慢;如果选x86架构的system image,速度很快(现在AS原生模拟器的速度已经优化得很快了),但是如果apk里有编译目标是arm架构的lib就无法安装,会报错Failure [INSTALL_FAILED_NO_MATCHING_ABIS]。

    我们来说一下准备工作的步骤:

    1.使用apktool将要反编译的apk进行解包

    java -jar apktool_2.2.2.jar d xxx.apk -o out

    这一步会把apk解包到out目录下。apktool版本过低容易出现解包失败的情况,这也是笔者之前踩到的一个小坑,所以建议使用最新的apktoo来完成反编译的步骤。

    2.修改AndroidManifest.xml文件中Application标签包含的属性android:debuggable=”true”

    3.使用apktool将out目录下的文件重新打包成apk

    java -jar apktool_2.2.2.jar b out -o unsigned.apk

    这一步我们打包出来的是一个没有签名的apk,所以我把它取名unsigned.apk,便于理解。

    4.给这个unsigned.apk签名并安装到调试设备上,这里我用了一个系统级的签名

    java -jar signapk.jar platform.x509.pem platform.pk8 unsigned.apk debug.apk

    这里我是图省事,手里刚好有现成的文件,就直接签了一个系统签名。非系统签名也是没有问题的,签名的方法有好多种,有兴趣的朋友可以网上查一下相关内容,这里不再赘述。

    5.将smalidea插件安装到AS上,具体步骤:File->Settings->Plugins->Install plugin from disk,然后选中下载的smalidea-0.03.zip文件,按照提示重启AS就可以了。

    6.在AS中新建一个工程,将apk反编译后的smali目录下的所有文件拷贝到刚才新建工程的src/目录下。

    准备工作到这里就OK了,接下来就要开始激动人心的反编译断点调试了~

    5.开始断点调试

    1.打开Android Device Monitor,在终端下运行命令:

    adb shell am start -D -n {Package Name}/.{Activity}

    此时在调试设备上会显示等待调试器接入,在Android Device Monitor上选中DDMS,发现需要调试的程序已经显示在列表里面了,我们需要记下它的端口号:本例中需要记下的是8628这个端口号(测试后发现8700也是好使的)

    需要记下的端口号

    2.新建远程调试:依次点击Run-> Edit Configuration->“+”号->Remote,选中刚才新建的工程,填写上一步中记下的端口号:

    Debug设置

    3.在工程中找到smali文件相应位置处设置断点(在想设断点的位置前后多设置几个断点),点击Run->Debug->Unnamed,其中Unnamed是刚才新建的远程调试的名字。

    4.将程序执行到断点的地方,不出意外的话,你应该已经看到程序被断住了:

    单步调试

    恭喜你!已经成功了! 接下来就好好享受Debug Step By Step的快感吧~

    6.写在最后

    这是笔者第一次写东西,可能会有些许疏漏,如有问题,欢迎指正~

    感谢师父bk,倾囊相授。

    文中所用技术参考阿里无线安全团队于2015年04月13日发表的《解密所有APP运行过程中的内部逻辑》一文,由于有了更好的工具,所以步骤也相对简化了一些。

    相关文章

      网友评论

        本文标题:Android反编译-Debug Step By Step

        本文链接:https://www.haomeiwen.com/subject/mzysettx.html