- 反编译 AndroidKiller 逆向 实践案例 MD

博文地址

我的GitHub	我的博客	我的微信	我的邮箱
baiqiantao	baiqiantao	bqt20094	baiqiantao@sina.com

---

目录

目录

• 目录
• 反编译 AndroidKiller 逆向 实践案例 MD
• AndroidKiller 简介
  • 插件升级
  • 基本使用
• 实践案例
  • 修改清单文件
  • 打印 debug 级别的日志
    • 方式一：直接代理 Log 类
    • 方式二：通过修改字段值修改判断条件
    • 方式三：通过修改方法返回值修改判断条件
    • 方式四：修改 BuildConfig.DEBUG 中的 DEBUG 常量值
  • 如何hook混淆后指定类中的指定方法
• 完整案例
  • 基本步骤
  • XposedInit
  • XposedZygoteInit

反编译 AndroidKiller 逆向 实践案例 MD

PS：以下所有内容，包括测试用来逆向的APP均已脱敏

参考我的其他博客内容：

• Xposed 框架 hook 简介 原理 案例 MD
• Javassist 字节码 简介 案例 MD
• 字节码 反编译 APKTool 重新打jar包 MD

AndroidKiller 简介

Android Killer 是一款可以对APK进行反编译的工具，它能够对反编译后的Smali文件进行修改，并将修改后的文件进行打包。

AndroidKiller的基本功能：

• 可以修改清单文件，比如修改包名
• 可以修改(替换)任意资源文件，比如 string、drawable、color、layout 等，以及 assets、raw 等
• 可以对整个工程中的字符或文件进行搜索(支持匹配编码、匹配文件类型、匹配范围)
• 可以查看对应的 smali 、class 源码，以及反编译的 java 源码
• 可以对修改后的工程重新打包

插件升级

软件中的Apktool可能会因为版本太低导致 apk 的反编译失败，此时需要到 Apktool 官网去下载最新版本的Apktool。

下载完成后找到解压好的 AndroidKiller 目录下的bin\apktool\apktool目录将下载的最新版的 apktool 复制进去。

然后修改 AndroidKiller 根目录下的bin\apktool下的apktool.bat和apktool.ini文件，将里面对应的文件名改为你下载的最新的 apktool 文件名。

基本使用

使用 AndroidKiller 对 Apk 进行反编译只需要将 Apk 文件拖入软件即可。

反编译后我们可以对资源文件等进行简单的修改，修改后后点击左上角菜单栏中的Android -- 编译即可重新编译成APK。

另外我们也可以点击 smali 目录，查看反编译的 smali 源码，并可以在某一 smali 源码文件中右键 -- 查看 -- 查看源码通过 Java Decompiler 查看反编译的 java 源码。

实践案例

修改清单文件

经常会修改包名、应用图标、应用名称等基本信息，只需在这里找到相应的res并修改即可。

另外还可以查看其使用的Application，因为一般一些初始化操作、全局常量的设置等都是在Application里面。

<manifest package="包名" >
<application android:icon="图标" android:label="名称" android:name="使用的Application">

打印 debug 级别的日志

或者说是开启debug模式，一般有如下几种处理思路

方式一：直接代理 Log 类

按如下方式便可以 hook 住系统 Log 的方法调用，我们可以在 Log.d 等方法被调用 前/后 做自己的逻辑，比如对日志进行过滤、把日志保存到文件中。

public class XposedZygoteInit implements IXposedHookZygoteInit {
    @Override
    public void initZygote(StartupParam startupParam) throws Throwable {

        //hook住某个方法。参数：类名，类加载器，方法名，参数列表，Hook成功后的回调
        XposedHelpers.findAndHookMethod("android.util.Log", StartupParam.class.getClassLoader(), "d", String.class, String.class, new XC_MethodHook() {

            @Override
            protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
                //Log.i("bqt", "【代理系统的Log类，可以在这里把日志保存到文件中】" + param.args[0] + " ，" + param.args[1]);
            }
        });
    }
}

方式二：通过修改字段值修改判断条件

比如，反编译一款 APP 后发现其打印日志的部分逻辑如下：

public class LogTool{
  public static boolean a = ;
  public static String b = "通用的tag";

  public static void a(String paramString) {
    if (a) {
      Log.d(b, paramString);
    }
  }

在 release 包中，这个值静态字段 a 肯定是 false，我们只需将其改为 true 即可打印 debug 下才会打印的日志。

hook 方式如下：

public class XposedInit implements IXposedHookLoadPackage {

    @Override
    public void handleLoadPackage(final XC_LoadPackage.LoadPackageParam lpparam) throws Exception {
        if (lpparam.packageName.equals(应用的包名，进入if代表此应用启动了，可以开始hook了)) {
            Field field = XposedHelpers.findClass("完整路径.LogTool", lpparam.classLoader).getField("a");
            field.setAccessible(true);
            field.setBoolean(null, true); //静态字段的 the object whose field should be modified is null
        }
    }
}

PS：hook 系统类不能通过 IXposedHookLoadPackage ，而需要通过 IXposedHookZygoteInit，因为此应用启动前，系统类已经被加载过了，已经错过了 hook 的时机了。

方式三：通过修改方法返回值修改判断条件

比如，反编译一款 APP 后发现其打印日志的部分逻辑如下：

public class LogTool {
    public static void d(String paramString1, String paramString2) {
        if (isLogAble(LogLevel.DEBUG)) {
            //...
        }
    }

    private static boolean isLogAble(LogLevel paramLogLevel) {
        if (logcatLevel.value == LogLevel.OFF.value) {
            return false;
        }
        if (logcatLevel.value == LogLevel.ALL.value) {
            return true;
        }
        return logcatLevel.compare(paramLogLevel) >= 0;
    }
}

类似上述案例，我们只需hook住isLogAble方法，并且将返回值直接返回true即可跳过日志级别判断。

hook 方式如下：

XposedHelpers.findAndHookMethod("类的完整路径", lpparam.classLoader, "isLogAble", "参数的完整路径", new XC_MethodHook() {
    @Override
    protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
        Log.i("bqt", "【" + Arrays.toString(param.args) + "】");
        param.setResult(true);
    }
});

方式四：修改 BuildConfig.DEBUG 中的 DEBUG 常量值

这种方式和上面那种方式类似，不过适用场景更广泛。

APP编译时会自动为每一个module生成一个 BuildConfig 类，其中包含一些经常使用到的与环境相关的常量，例如：

public final class BuildConfig {
  public static final boolean DEBUG = Boolean.parseBoolean("true"); //是否是调试模式
  public static final String APPLICATION_ID = "com.bqt.test"; //包名
  public static final String BUILD_TYPE = "debug";
  public static final String FLAVOR = "";
  public static final int VERSION_CODE = 1;
  public static final String VERSION_NAME = "1.0";
}

很多时候，我们判断是否应打印日志就是根据 BuildConfig.DEBUG 来确定的，所以我们只需要修改这个值就可以了。

修改这个值的方式肯定不是通过Xposed框架，因为这些常量都是 final 类型的，动态框架肯定是无法修改的，一种可行的方式：

• 修改.class文件，具体详见：Javassist 字节码 简介 案例 MD
• 重新打成jar包，具体详见：字节码 反编译 APKTool 重新打jar包 MD
• 重新编译APK（借助AndroidKiller）

如何hook混淆后指定类中的指定方法

首先需要明白，混淆后的类名、方法名、成员变量名等都是固定的，反编译后你看到的名字是什么，运行时它的名字就是什么，不会再变的

然后你还需要知道，他的名字虽然是固定的，但是往往你没办法直接hook，因为很多混淆后的名字都是非法字符，你即没法输入(IDE不识别)，也没法通过编译(编译器不识别)，所以需要采用特殊的方式来hook。

以下是一种可供参考的案例：

//从指定类中混淆后的方法名中获取匹配的方法
String methodName = "";
Method[] methods = XposedHelpers.findClass("o.ayc", lpparam.classLoader).getDeclaredMethods();
for (Method method : methods) {
    method.setAccessible(true);
    //匹配返回值，这里只是简单字符串匹配，更精确的可以通过类型匹配
    if (method.getReturnType().toString().contains("HttpURLConnection")) {
        methodName = method.getName();
        break;
    }
}

通过上述方法，便可跳过IDE和编译器的名称规范的检查，在运行时便可匹配混淆后的类或方法(运行时并不会进行规范性检查)。

完整案例

基本步骤

1、安装 XposedInstaller.apk，安装后启动此应用，安装 framework ，重启手机

2、AS工程中添加依赖

compileOnly 'de.robv.android.xposed:api:82:sources'//xposed依赖，注意这个版本号和framework版本号并不是一致的
implementation files('libs/javassist.jar')//非必须

3、application下添加三个meta-data

<meta-data
    android:name="xposedmodule"
    android:value="true"/>
<meta-data
    android:name="xposeddescription"
    android:value="这是对你使用xposed能完成功能的简要描述"/>
<meta-data
    android:name="xposedminversion"
    android:value="89"/>

4、编写Hook逻辑

5、配置完整的Hook类类名

新建assets文件夹，文件夹下新建xposed_init文件(文件名固定)，在文件中填写hook逻辑所在类的fully qualified class name：

com.bqt.test.temp.XposedInit
com.bqt.test.temp.XposedZygoteInit

6、有任何代码变动，都需重装APP后重启手机才能生效

XposedInit

public class XposedInit implements IXposedHookLoadPackage {

    @Override
    public void handleLoadPackage(final XC_LoadPackage.LoadPackageParam lpparam) throws Exception {
        if (lpparam.packageName.equals("应用1的包名，进入if代表此应用启动了，可以开始hook了")) {

            //开启日志打印
            XposedHelpers.findAndHookMethod("类的完整路径", lpparam.classLoader, "isLogAble", "参数的完整路径", new XC_MethodHook() {
                @Override
                protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
                    Log.i("bqt", "日志级别【" + Arrays.toString(param.args) + "】");
                    param.setResult(true);
                }
            });

            //从指定类中混淆后的方法名中获取匹配的方法
            String methodName = "";
            Method[] methods = XposedHelpers.findClass("o.ayc", lpparam.classLoader).getDeclaredMethods();
            for (Method method : methods) {
                method.setAccessible(true);
                //匹配返回值，这里只是简单字符串匹配，更精确的可以通过类型匹配
                if (method.getReturnType().toString().contains("HttpURLConnection")) {
                    methodName = method.getName();
                    break;
                }
            }

            //hook住某个方法。参数：类名，类加载器，方法名，参数列表，Hook成功后的回调
            XposedHelpers.findAndHookMethod("o.ayc", lpparam.classLoader, methodName, String.class, new XC_MethodHook() {

                @Override
                protected void afterHookedMethod(MethodHookParam param) throws Throwable {
                    Log.i("bqt", "1-【" + param.method.getName() + "】" + param.args[0]);
                }
            });

            //只能hook具体的方法，不能hook接口的方法或抽象的方法。比如只能hook住某个Runnable的实现类的run方法，而不能hook住所有Runnable的run方法
            XposedHelpers.findAndHookMethod("o.ayf", lpparam.classLoader, "run", new XC_MethodHook() {

                @Override
                protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
                    Log.i("bqt", "2-【" + param.thisObject.getClass().toString() + "】");
                }
            });

        } else if (lpparam.packageName.equals("应用2的包名")) {
            //开启日志打印
            Field field = XposedHelpers.findClass("完整路径.LogTool", lpparam.classLoader).getField("a");
            field.setAccessible(true);
            field.setBoolean(null, true); //静态字段的 the object whose field should be modified is null

            //注意，基本类型变量的class文件不能使用其相应包装类型来标识，例如 boolean.class 不能使用 Boolean.class 来代替
            XposedHelpers.findAndHookMethod("包名.a", lpparam.classLoader, "a", long.class, String.class, boolean.class, new XC_MethodHook() {

                @Override
                protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
                    Log.i("bqt", "3-【" + Arrays.toString(param.args) + "】");
                }
            });
        }
    }
}

XposedZygoteInit

public class XposedZygoteInit implements IXposedHookZygoteInit {
    @Override
    public void initZygote(StartupParam startupParam) throws Throwable {

        XposedHelpers.findAndHookMethod("android.util.Log", StartupParam.class.getClassLoader(), "d", String.class, String.class, new XC_MethodHook() {

            @Override
            protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
                //Log.i("bqt", "【代理系统的Log类，可以在这里把日志保存到文件中】" + param.args[0] + " ，" + param.args[1]);
            }
        });
    }
}

2019-09-30