手把手教你反编译别人的app,手把手教你搞懂A

手把手教你搞懂Android反编译

转载时请必须注明出处:http://www.iosxxoo.com/2016/06/29/2016-06-29/

虽然iOS系统相比于其他手机操作系统相对安全,但是这个安全并不是绝对的,我一直相信,道高一尺魔高一丈。此文想以实际例子出发,告诉大家,如何去反编译一个app,并且从某个角度来说,iOS没有传说中的“安全”。

前言

反编译别人的程序不是什么值得炫耀的事,希望大家最好只是兴趣探索,而不是利益驱动。本文主要目的是绕开一个简单的激活程序。

这里只最简单的结论给大家,具体原理以及工具的详细使用,请各位自行Google,为什么这么做呢,因为我想用最简单的语言,让没有汇编基础的同学也能明白。

什么是反编译

我们知道,Android的程序打包后会生成一个APK文件,这个文件可以直接安装到任何Android手机上,因此,反编译就是对这个APK进行反编译。Android的反编译分成两个部分:

  1. 一个是对代码反编译,也就是java文件的反编译。
  2. 一个是对资源反编译,也就是res文件的反编译。
  • iOS app可以“有条件”地被反编译
  • 脱掉App Store给“二级制文件”穿上的外衣
  • 如何利用工具去反编译
  • 在感兴趣的地方生成伪代码
  • 如何预防反编译

所需的工具

图片 1

  • Android Studio:安卓开发IDE

    下载地址:https://developer.android.com/studio/index.html

反编译代码的工具:

  • dex2jar: 把dex文件转成jar文件

    下载地址:https://sourceforge.net/projects/dex2jar/files/

  • jd-gui: 这个工具用于将jar文件转换成java代码

    下载地址:http://jd.benow.ca/

反编译资源的工具:

  • APKTool: 本文重要工具,APK逆向工具,使用简单

    下载地址: http://ibotpeaches.github.io/Apktool/install/

iOS app可以“有条件”地被反编译

首先,告诉大家一个不幸的消息,上架至App Store的app,被apple加密了。所以标题才是“有条件”才能进行反编译,令人欣喜的是,在debug下产生的ipa或者是release下的ipa包或者是渠道包(各种应用市场能下的ipa包)都能直接反编译。

热身准备

首先我们需要一个APK,这里我自己写了一个,源码下载地址:http://download.csdn.net/detail/u012891055/9671973,打包成APK后下载到手机上。

它的主要功能是模拟邮箱激活,如果我们输入了错误的数据则无法通过激活。所以我们的目的很简单,就是让这个判断逻辑失效。

图片 2

脱掉App Store给“二级制文件”穿上的外衣

当然,引言已经说了,道高一尺魔高一丈,就算是被apple加密的ipa,其实也是可以反编译的,只不过相对麻烦罢了。来来来,给你们几个工具,就可以解掉apple的加密了。

  • clutch
  • dumpdecrypted
  • gdb
  • AppCrackr

由于AppCrackr被很多开发者吐槽,这个傻瓜式的解密会严重导致盗版泛滥,所以这个工具已经很不好用了。这里就不展示demo了,感觉如果把App Store上的东西反编译出来发到网上去,我感觉我的程序员生涯可能就要到头了。

主要源码说明:

第51行存储的正确的两个激活号码,通过:将账号密码隔开,如下

private static final String[] DUMMY_CREDENTIALS = new String[]{
            "foo@163.com:20135115",
            "bar@163.com:20135115"
};

现在只有激活码正确才能通过激活。

第331行是Execute函数,逻辑判断的部分。

    @Override
    protected void onPostExecute(final Boolean success) {
        mAuthTask = null;
        showProgress(false);

        if (success) {
            new AlertDialog.Builder(LoginActivity.this)
                    .setTitle("恭喜您")
                    .setMessage("成功激活!")
                    .show();
//                finish();
        } else {
            mPasswordView.setError(getString(R.string.error_incorrect_password));
            mPasswordView.requestFocus();
        }
    }
如何利用工具去反编译

这里会介绍两个工具class-dumpHopper Disassembler。首先,先撸一个最简单的app来做小白鼠。下载地址(包含二进制文件&dump结果)看图,就是这样,我只改了ViewController这个类。

图片 3ViewController.h图片 4ViewController.m

由代码可以看出,我就写了两个方法testClassDumptestHideClassDump,后者没有声明在.h中(ps:我想试验这样能不能被反编译到)。

ok,前戏都做完了,可以开始干活了。

我们run一下工程,然后打开Products文件夹下的DecompilingTest.app所在目录,显示包内容,拿到二进制文件

图片 5二进制文件

然后我是复制到桌面,然后执行下述命令,即可拿到工程中的.h文件。

图片 6执行命令

OK,得到下述结果,我们看看拿到的ViewController.h里面,能拿到什么方法

图片 7结果

事实证明,没有声明的方法也被dump出来了。

下一步我们要做的就是看看能不能拿到这两个方法的具体实现了,接下来我们用Hopper Disassembler来试试。

Hopper Disassembler的用法很简单,只要将二进制文件拖进去就行了。看看拖进去之后的结果。

图片 8反编译之后

此时心中一万头草泥马飞奔而过,what's the fk!!一堆汇编语言宝宝看不懂啊。(当然那个ret应该是return的意思我猜)

反编译代码

dex2jar解压下来文件很多,在mac上我们需要用到dex2jar的是这三个东西(windows上对应用bat文件):

  • d2j_invoke.sh
  • d2j-dex2jar.sh
  • lib

图片 9

AndroidStudio打包好的APK文件的后缀,需改为.zip,然后解压。从解压的文件中找到classes.dex文件,并将其放入dex2jar同一目录下,如下:

图片 10

并在cmd中也进入到同样的目录,然后执行:

sh d2j-dex2jar.sh classes.dex

执行如下:

图片 11

然后我们会得到一个classes-dex2jar.jar文件,我们借助JD-GUI工具打开即可,打开如下:

图片 12

可以看到代码非常清晰,这样我们就可以看到整个APP的代码逻辑了。

在感兴趣的地方生成伪代码

Don't worry!点右上角的if;按钮,我们能看到这个方法的伪代码,大部分的时候我们能从伪代码中看出我们需要的信息。

结果如下:

图片 13伪代码1图片 14伪代码2

至此,两个方法都被反编译出来了!!

这里需要注意,就算方法没有声明在.h中,也能被dump,之后就能被反编译了。

反编译资源

apktool下载完成后有一个.sh文件和.jar文件,我们把APK放进来,如下:

图片 15

在cmd中进入apktool目录,执行命令:

sh apktool.sh apktool d FooApp.apk

d是decode的意思,表示我们要对FooApp解码,结果如下:

图片 16

然后你会惊喜的发现多了一个FooApp文件夹。

图片 17

主要目录说明:

  • AndroidManifest.xml:描述文件
  • res:资源文件
  • smail:反编译出来的所有代码,语法与java不同,类似汇编,是Android虚拟机所使用的寄存器语言
如何预防反编译

说了这么多,我们预防呢,是不是需要像Java的一样加上各种复杂的混淆呢。

其实我觉得大可不必,本身反编译成本就很大,代码这么多,一个个反编译过来是在蛋疼,就算有伪代码也需要理解,而且有些代码就算有伪代码也很难理解。

只要做好核心代码,做好混淆就行了,比如涉及到密码,核心算法。

修改App icon

打开我们的描述文件,高清无码:

图片 18

可以看到我们的App icon名称为ic_launcher,我们找到所有mipmap开头的文件夹,替换成下图即可:

图片 19

ic_launche

图片 20

在最后重新打包后我们的App icon就会被修改了,不过在重新打包之前,我们还有最重要的一件事没有做,那就是修改激活码判断逻辑。

总结:

没有绝对安全的系统,也没有黑客破不掉的系统,所有需要的只是时间而已。

OK,就到这了,明天早起实习去。

个人微博:kuailejim个人博客:

修改逻辑

我们通过源码或者JD-GUI查看反编译的代码可以看到激活码判断逻辑如下:

    @Override
    protected void onPostExecute(final Boolean success) {
        mAuthTask = null;
        showProgress(false);

        if (success) { 
        // 激活码正确
            new AlertDialog.Builder(LoginActivity.this)
                    .setTitle("恭喜您")
                    .setMessage("成功激活!")
                    .show();
//                finish();
        } else {
            mPasswordView.setError(getString(R.string.error_incorrect_password));
            mPasswordView.requestFocus();
        }
    }

所以我们只需要找到反编译后的if(success)的语句,并将其修改成if(!success)即可,如下:

if (success)//修改成if(!success)
{
...
} else {
...
}

这样我们就成功的颠倒了以前的逻辑,我们输入一个错误的激活码,就会被判断成正确的。挺简单的,是吧。

现在我们来动手修改:

  1. 打开smail里的LoginActivity$UserLoginTask.smali文件.

  2. 全局搜索if-eqz,通过AlertDialog关键字辅助定位,发现在第228行

    图片 21

  3. ok,就是这里了,然后将if-eqz修改成if-nez,他们对应Java的语法如下:

Smail 语法 Java 语法
if-eqz v0, if(v0 == 0)
if-nez v0, if(v0 != 0)

ok,大功告成,现在就可以重新打包了。关于smail语法,有兴趣的直接Google就行了。

重新打包

我们大概修改后两个地方,其实重新打包也十分简单,在cmd中执行以下命令即可:

sh apktool.sh b FooAPP -o NewFooApp.apk

其中b是build的意思,表示我们要将FooAPP文件夹打包成APK文件,-o用于指定新生成的APK文件名,这里新的文件叫作NewFooApp.apk。执行结果如下图所示:

图片 22

然后你会发现同级目录下生成了新的apk文件:

图片 23

但是要注意,这个apk现在还是不能安装的,因为我们没有对它进行签名,重新签名后它就是个名副其实的盗版软件了,大家一定要强烈谴责这种行为。

重新签名

重新签名也是很简单的,我直接用的一个已有签名文件,使用Android Studio或者Eclipse都可以非常简单地生成一个签名文件。

在cmd中执行格式如下:

jarsigner -verbose -sigalg SHA1withRSA -digestalg SHA1 -keystore 签名文件名 -storepass 签名密码 待签名的APK文件名 签名的别名

然后我们就可以用这个apk进行安装了,为了追求更快的运行速度,我们可以对其进行一次字节对齐,这里就不说了。

使用盗版APK

我们用NewFooApp.apk安装好盗版app后,发现图标变成了篮球,并且随便输入数据都能通过激活了:

图片 24

1

怎么样?总的来说还是挺有意思的吧,不过别用歪了。

参考链接:

Android安全攻防战,反编译与混淆技术完全解析(上)- 郭霖

Android安全技术解密与防范 - 周圣韬

Done

作者: @biggergao
个人博客: Mr.码了戈壁

2016年06月29日

本文由明仕msyz手机版发布于旅游-环球旅讯,转载请注明出处:手把手教你反编译别人的app,手把手教你搞懂A

TAG标签:
Ctrl+D 将本页面保存为书签,全面了解最新资讯,方便快捷。