1.前言:
这周公司有一个破解apk的需求,想要调起某软件的视频播放页面,之前有一套通过发广播调起的逻辑,该软件更新版本后这一套逻辑就废弃了。新版本的包拿过来反编译后静态分析,盯着别人代码看了一天也没找到突破口,师父看我实在太菜,决定把他的秘法传授与我,这篇文章便是我自己消化吸收后再重新做的一个总结。接下来进入今天的主题:Android反编译之——断点调试。
2.原理概述:
Android系统有自己的虚拟机Dalvik,代码编译最终不是采用java的class,而是使用的smali。我们反编译得到的代码,jar的话可能很多地方无法正确的解释出来,如果我们反编译的是smali则可以正确的理解程序的意思。
3.准备工具:
以下的版本都是我当前使用的版本,做个参考
1.Android Studio-2.2,谷歌亲儿子
2.apktool-2.2.2,使用它可以将apk反编译,得到smali文件,也可以将反编译出的文件重新打包,生成一个未签名的apk文件
3.smalidea-0.03,这是一个AS上的插件,装上它,就能用AS来断点调试smali文件
4.signapk.jar、platform.x509.pem、platform.pk8,这里我是用的系统的签名文件
4.准备工作:
以下内容引用自看雪论坛@火翼[CCG]的文章:
根据android官方文档,要调试一个apk里面的dex代码,必须满足以下两个条件中的任意一个:
1. apk中的AndroidManifest.xml文件中的Application标签包含属性android:debuggable=”true”
2. /default.prop中ro.debuggable的值为1
由于正常的软件发布时都不会把android:debuggable设置为false(当然也不排除某些很2的应用偏偏就是true),所以要达成条件1需要对app进行重新打包,这不仅每次分析一个apk都重复操作,而且很多软件会对自身进行校验,重打包后执行会被检测到,所以想办法满足第2个条件是个一劳永逸的办法。
由于default.prop是保存在boot.img的ramdisk中,这部分每次重新启动都会重新从rom中加载,所以要到目的必须修改boot.img中的ramdisk并重新刷到设备中。修改步骤如下(我没试过,有兴趣的倒腾下):
1. 从Google官方网站下载到boot.img
2. 使用工具(abootimg,gunzip, cpio)把boot.img完全解开,获取到default.prop
3. 修改default.prop
4. 把修改后的文件重新打包成boot_new.img
5. 使用fastboot工具把boot_new.img刷入设备(fastboot flash boot boot_new.img)
这里笔者使用的是方法1,即修改AndroidManifest.xml文件中的android:debuggable=”true”。方法2刷机什么的还是感觉有些麻烦,还有一种途径是:AVD启动模拟器时,ro.debuggable会被置1,但是有个弊端,如果选arm架构的system image,速度奇慢;如果选x86架构的system image,速度很快(现在AS原生模拟器的速度已经优化得很快了),但是如果apk里有编译目标是arm架构的lib就无法安装,会报错Failure [INSTALL_FAILED_NO_MATCHING_ABIS]。
我们来说一下准备工作的步骤:
1.使用apktool将要反编译的apk进行解包
java -jar apktool_2.2.2.jar d xxx.apk -o out
这一步会把apk解包到out目录下。apktool版本过低容易出现解包失败的情况,这也是笔者之前踩到的一个小坑,所以建议使用最新的apktoo来完成反编译的步骤。
2.修改AndroidManifest.xml文件中Application标签包含的属性android:debuggable=”true”
3.使用apktool将out目录下的文件重新打包成apk
java -jar apktool_2.2.2.jar b out -o unsigned.apk
这一步我们打包出来的是一个没有签名的apk,所以我把它取名unsigned.apk,便于理解。
4.给这个unsigned.apk签名并安装到调试设备上,这里我用了一个系统级的签名
java -jar signapk.jar platform.x509.pem platform.pk8 unsigned.apk debug.apk
这里我是图省事,手里刚好有现成的文件,就直接签了一个系统签名。非系统签名也是没有问题的,签名的方法有好多种,有兴趣的朋友可以网上查一下相关内容,这里不再赘述。
5.将smalidea插件安装到AS上,具体步骤:File->Settings->Plugins->Install plugin from disk,然后选中下载的smalidea-0.03.zip文件,按照提示重启AS就可以了。
6.在AS中新建一个工程,将apk反编译后的smali目录下的所有文件拷贝到刚才新建工程的src/目录下。
准备工作到这里就OK了,接下来就要开始激动人心的反编译断点调试了~
5.开始断点调试
1.打开Android Device Monitor,在终端下运行命令:
adb shell am start -D -n {Package Name}/.{Activity}
此时在调试设备上会显示等待调试器接入,在Android Device Monitor上选中DDMS,发现需要调试的程序已经显示在列表里面了,我们需要记下它的端口号:本例中需要记下的是8628这个端口号(测试后发现8700也是好使的)
2.新建远程调试:依次点击Run-> Edit Configuration->“+”号->Remote,选中刚才新建的工程,填写上一步中记下的端口号:
3.在工程中找到smali文件相应位置处设置断点(在想设断点的位置前后多设置几个断点),点击Run->Debug->Unnamed,其中Unnamed是刚才新建的远程调试的名字。
4.将程序执行到断点的地方,不出意外的话,你应该已经看到程序被断住了:
恭喜你!已经成功了! 接下来就好好享受Debug Step By Step的快感吧~
6.写在最后
这是笔者第一次写东西,可能会有些许疏漏,如有问题,欢迎指正~
感谢师父bk,倾囊相授。
文中所用技术参考阿里无线安全团队于2015年04月13日发表的《解密所有APP运行过程中的内部逻辑》一文,由于有了更好的工具,所以步骤也相对简化了一些。