[Android Security] Smali和逆向分析

copy : https://blog.csdn.net/u012573920/article/details/44034397

1.Smali简介

Smali是Dalvik的寄存器语言，它与Java的关系，简单理解就是汇编之于C。假如你对汇编有足够的驾驭能力，那你可以通过修改汇编代码来改变C/C++代码的走向。当然，学过汇编的都清楚，汇编比BrainFuck还难学，更不用说去反编译修改了。

但是Smali有一点不一样，就是它很简单，只有一点点的语法，只要你会java，了解Android的相关知识，那你完全可以通过修改Smali代码来反向修改java代码，虽然绕了一点，但是在某些情况下你不得不这么做。还好，Smali很简单。

2.apktool

说了这么多，还没有说Smali哪来？没错。Smali代码是安卓APK反编译而来的，所以Smali文件和Java文件一一对应。获取Smali文件，我们需要下载一个辅助工具：ApkTool。apktool这个命令行工具如果详细使用功能参数是比较多的，但是这里我们只需要用到2个最基础的功能：

一个是反编译decode：

apktool d xxx.apk

另一个是打包build：

apktool b

这里要注意的是路径问题，apktool如果没有加入到环境变量中，记得cd到apktool的目录去使用它。另一个是打包，如果只是简单的使用参数b，那要求是要在反编译出来的项目目录下执行，而打包好的文件会保存在这个项目目录下的dist目录。

这是一个HelloWorld的应用程序反编译和打包的目录结构：

3.Smali语法

（1）数据类型

dalvik字节码有两种类型，原始类型和引用类型。对象和数组是引用类型，其它都是原始类型。

smali数据类型都是用一个字母表示，如果你熟悉Java的数据类型，你会发现表示smali数据类型的字母其实是Java基本数据类型首字母的大写，除boolean类型外，在smail中用大写的”Z”表示boolean类型。

V	void，只能用于返回值类型
Z	boolean
B	byte
S	short
C	char
I	int
J	long (64 bits)
F	float
D	double (64 bits)

对象以Lpackage/name/ObjectName;的形式表示。前面的L表示这是一个对象类型，package/name/是该对象所在的包，ObjectName是对象的名字，“;”表示对象名称的结束。相当于java中的package.name.ObjectName。

例如：Ljava/lang/String;相当于java.lang.String

数组的表示形式

[I——表示一个整型一维数组，相当于java中的int[]。对于多维数组，只要增加[就行了。[[I相当于int[][]，[[[I相当于int[][][]。注意每一维的最多255个。

对象数组的表示

[Ljava/lang/String;表示一个String对象数组。

（2）方法

方法通常必须详细的指定方法类型（？the type that contains the method）方法名，参数类型，返回类型，所有这些信息都是为虚拟机是能够找到正确的方法并执行。

方法表示形式：Lpackage/name/ObjectName;->MethodName(III)Z

在上面的例子中，Lpackage/name/ObjectName;表示类型，MethodName是方法名。III为参数（在此是3个整型参数），Z是返回类型（bool型）。

方法的参数是一个接一个的，中间没有隔开。

一个更复杂的例子：method(I[[IILjava/lang/String;[Ljava/lang/Object;)Ljava/lang/String;

在java中则为：String method(int, int[][], int, String, Object[])

一个比较全面的例子：

.class public interface abstract Lcom/kit/network/CachableImage;

.super Ljava/lang/Object;

.source "SourceFile"  

# virtual methods

.method public abstract getIsLarge()Z

.end method  

.method public abstract getUrl()Ljava/lang/String;

.end method  

.method public abstract getViewContext()Landroid/content/Context;

.end method  

.method public abstract setBitmap(Landroid/graphics/Bitmap;Z)V

.end method  

.method public abstract setIsLarge(Z)V

.end method  

.method public abstract setUrl(Ljava/lang/String;)V

.end method

上面的smali代码还原后的java代码为：

(3)字段

表示形式：Lpackage/name/ObjectName;->FieldName:Ljava/lang/String;即包名，字段名和各字段类型。 eg:

这里仍然以一个默认的HelloWorld的应用程序进行解释吧。新建一个HelloWorld安卓项目，在MainActivity中只保留onCreate函数。代码如下：

package com.fusijie.helloworld;

  import android.app.Activity;

  import android.os.Bundle;

  public class MainActivity extends Activity {

  @Override

  protected void onCreate(Bundle savedInstanceState) {

      super.onCreate(savedInstanceState);

      setContentView(R.layout.activity_main);

      }

  }

反编译后的Smali文件如下：

对比一下，可以比较清楚的看出来，smali代码其实就是对java代码一个翻译，只是没有java看起来那么简单，smali把很多应该复杂的东西还原成复杂的状态了。简单解释下这段代码。

前三行指明了类名，父类名，和源文件名。
类名以“L”开头相信熟悉Jni的童鞋都比较清楚。
“#”是smali中的注释。
“.method”和“.end method”类似于Java中的大括号，包含了方法的实现代码段。
方法的括号后面指明了返回类型，这同样类似与Jni的调用。
“.locals”指明了这个方法用到的寄存器数量，当然寄存器可以重复利用，从“V0”起算。
“.prologue”指定了代码开始处。
“.line”表明这是在java源码中的第几行，其实这个值无所谓是多少，可以任意修改，主要用于调试。
“invoke-direct”这是对方法的调用，可以看到这里调用了是Android.app.Activity的init方法，这在java里是隐式调用的。
“return-void”表明了返回类型，这和java不一样，即使没有返回值，也需要这样写。
接下来是onCreate方法，“.parameter”指明了参数名，但是一般没有用，需要注意的是p0代表的是this，p1开始代表函数参数，静态函数没有this，所以从p0开始就代表参数。
在实现里先是调用了父类的方法，然后再调用setContentView，注意这里给了一个传参。整形的传参，这个值是先赋给寄存器v0，然后再调用的使用传递进去的。smali中都是这么使用，所有的值必须通过寄存器来中转。这点和汇编很像。

对比了Java代码和Smali代码，可以很清楚的看到，原本只有几行的代码到了Smali，内容被大大扩充了。Smali还原了Java隐藏的东西，同时显式地指定了很多细节。这还只是个最基本的HelloWorld的onCreate函数，如果有内部类，还会分文件显示。

这样看来，其实Smali只能说复杂，不能说难。如果想全面了解smali语法，这里给出几个链接，算是总结的相对好一点的（其实我都没看到有系统总结的。。。如果你有好的资料，欢迎跟帖分享）

这里顺便提供2个利器：

从上面一个例子对Smali的用途就很清楚了，没错，Smali注入。现在常见的除了测试以外的用途，Smali注入明显是带有黑客性质的，小的如破解游戏，替换游戏广告，大的甚至利用漏洞去破解密码，偷窃个人资料，财产等等。对Smali，安卓逆向分析，安卓系统安全比较清楚的，这些事其实都不算事。