在Android应用开发中,软件安全和逆向分析非常重要。试想如果一个优秀的APP应用没有建立完善的安全机制,从而很容易被黑客破解修改,一方面泄露了应用程序的核心技术,另一方面势必会对用户带来损害,从而造成大量的用户流失。如何反编译破解apk以及保护自己的软件免受反编译破解,是这个系列文章的主题。
这篇文章主要从apk反编译破解和java汇编语言读写两个方面进行了Android中逆向分析的简述。俗话说:知己知彼,百战不殆。只有了解了apk的反编译破解过程,才能反方面进行加密处理从而避免自己的应用程序被反编译破解。本文通过使用apktool、dex2jar、jd-gui等工具实现了apk的反编译破解,然后修改破解后的java汇编语言、利用jarsigner进行二次签名从而达到改变apk功能的作用。
一、测试环境和工具
点击即可下载相应工具
- windows7 x86
- jdk1.7.0
- Android SDK和eclipse:adt-bundle-windows-x86-20140321
- jd-gui
- signapk
- dex2jar
- apktool
二、编写Android实例
首先完成一个Android简单实例的编写,主要功能是输入一个序列号,如果输入序列号为1234,输出“恭喜你,注册成功!”,否则输出”对不起,序列号错误!”。 
整个应用程序的工程目录如下, 
activity_main.xml文件很简单,就两个控件EditText和Button。
<LinearLayout xmlns:android="http://schemas.android.com/apk/res/android" xmlns:tools="http://schemas.android.com/tools" android:layout_width="match_parent" android:layout_height="match_parent" android:orientation="vertical" tools:context="com.example.cracktest.MainActivity" > <EditText android:id="@+id/et_password" android:layout_width="fill_parent" android:layout_height="wrap_content" android:hint="请输入软件的序列号" /> <Button android:id="@+id/click" android:layout_width="fill_parent" android:layout_height="wrap_content" android:text="确定" /></LinearLayout>MainActivity.java的实现也很简单,显示用Toast实现,
package com.example.cracktest;import android.app.Activity;import android.os.Bundle;import android.view.View;import android.view.View.OnClickListener;import android.widget.Button;import android.widget.EditText;import android.widget.Toast;public class MainActivity extends Activity { private EditText et; private Button eb; protected void onCreate(Bundle savedInstanceState) { super.onCreate(savedInstanceState); setContentView(R.layout.activity_main); et = (EditText) findViewById(R.id.et_password); eb = (Button) findViewById(R.id.click); eb.setOnClickListener(new OnClickListener() { public void onClick(View v) { String pwd = et.getText().toString().trim(); if ("1234".equals(pwd)) { Toast.makeText(MainActivity.this, "恭喜你,注册成功!", 0).show(); } else { Toast.makeText(MainActivity.this, "对不起,序列号错误!", 0).show(); } } }); }}模拟器上运行这个简单实例如下, 
三、apk反编译破解
假设我们现在要对上述工程生成的apk进行反编译破解,那么该怎么做呢?下面我们进行详细的流程描述。
导出APK到桌面
DDMS->Devices->点击stop停止程序->File Explore->data->APP->.apk->点击导出键
.zip解压apk
得到apk文件以后,若是直接修改后缀.apk为.zip文件然后解压查看,会发现解压完的文件在编辑器打开为乱码,只能寻求更好的方法来查看apk中的文件。
apktool打开apk
apktool为apk逆向工程的软件,首先拷贝apk到apktool的目录下,然后cmd进入apktool的目录下,执行如下命令即可得到apk的全部的资源素材。
得到apk资源素材后,点击查看,C:\Users\Administrator\Desktop\apktool\com.example.cracktest-1\smali\com\example\cracktest
用编辑器打开MainActivity.smali文件如下,
.class public Lcom/example/cracktest/MainActivity;.super Landroid/app/Activity;.source "MainActivity.java"# instance fields.field private eb:Landroid/widget/Button;.field private et:Landroid/widget/EditText;# direct methods.method public constructor <init>()V .locals 0 .prologue .line 11 invoke-direct {p0}, Landroid/app/Activity;-><init>()V return-void.end method.method static synthetic access$0(Lcom/example/cracktest/MainActivity;)Landroid/widget/EditText; .locals 1 .parameter .prologue .line 13 iget-object v0, p0, Lcom/example/cracktest/MainActivity;->et:Landroid/widget/EditText; return-object v0.end method# virtual methods.method protected onCreate(Landroid/os/Bundle;)V .locals 2 .parameter "savedInstanceState" .prologue .line 17 invoke-super {p0, p1}, Landroid/app/Activity;->onCreate(Landroid/os/Bundle;)V .line 18 const/high16 v0, 0x7f03 invoke-virtual {p0, v0}, Lcom/example/cracktest/MainActivity;->setContentView(I)V .line 20 const/high16 v0, 0x7f08 invoke-virtual {p0, v0}, Lcom/example/cracktest/MainActivity;->findViewById(I)Landroid/view/View; move-result-object v0 check-cast v0, Landroid/widget/EditText; iput-object v0, p0, Lcom/example/cracktest/MainActivity;->et:Landroid/widget/EditText; .line 21 const v0, 0x7f080001 invoke-virtual {p0, v0}, Lcom/example/cracktest/MainActivity;->findViewById(I)Landroid/view/View; move-result-object v0 check-cast v0, Landroid/widget/Button; iput-object v0, p0, Lcom/example/cracktest/MainActivity;->eb:Landroid/widget/Button; .line 23 iget-object v0, p0, Lcom/example/cracktest/MainActivity;->eb:Landroid/widget/Button; new-instance v1, Lcom/example/cracktest/MainActivity$1; invoke-direct {v1, p0}, Lcom/example/cracktest/MainActivity$1;-><init>(Lcom/example/cracktest/MainActivity;)V invoke-virtual {v0, v1}, Landroid/widget/Button;->setOnClickListener(Landroid/view/View$OnClickListener;)V .line 34 return-void.end method 这就是反编译后生成的java汇编语言,发现读起来很困难,没事,这个在第三部分有讲解,那么我们怎么得到反编译后的java源代码呢?
4. dex2jar生成jar
在apk文件中,修改.apk后缀名为.zip,然后解压得到classes.dex文件,dex2jar工具的作用就是把dex文件转化为jar文件。把得到的classes.dex文件复制到dex2jar目录下,cmd执行命令如下,
5. jd-gui把jar转成java源码
打开jd-gui,直接将生成的classes_dex2jar.jar文件拖入到jd-gui中如下,
点击生成的java包即可查看apk里的java源码,仿真度很高
四、java汇编语言读写
在上面使用apktool工具生成的.smali文件,打开发现是java汇编语言,很难读懂,下面就上述生成的汇编语言进行简单的说明。apktool生成了两个主要的.smali需要查看,分别为MainActivity.smali和MainActivity$1.smali
.class public Lcom/example/cracktest/MainActivity;//类生命,L表示对象类型.super Landroid/app/Activity;//当前类的父类.source "MainActivity.java"//源文件名字//#就像c语言中的双斜杠,注释的作用# instance fields//类成员变量.field private eb:Landroid/widget/Button;.field private et:Landroid/widget/EditText;# direct methods.method public constructor <init>()V //Activity构造方法,返回值为Void .locals 0//本地变量声明0个 .prologue .line 11//这两句为自动生成行号等信息 invoke-direct {p0}, Landroid/app/Activity;-><init>()V//直接调用,p0为this的意思 return-void.end method.method static synthetic access$0(Lcom/example/cracktest/MainActivity;)Landroid/widget/EditText; .locals 1 .parameter .prologue .line 13 iget-object v0, p0, Lcom/example/cracktest/MainActivity;->et:Landroid/widget/EditText; return-object v0.end method# virtual methods.method protected onCreate(Landroid/os/Bundle;)V //返回值为Void,null .locals 2 .parameter "savedInstanceState"//方法参数 .prologue .line 17 invoke-super {p0, p1}, Landroid/app/Activity;->onCreate(Landroid/os/Bundle;)V .line 18 const/high16 v0, 0x7f03 invoke-virtual {p0, v0}, Lcom/example/cracktest/MainActivity;->setContentView(I)V .line 20 const/high16 v0, 0x7f08 invoke-virtual {p0, v0}, Lcom/example/cracktest/MainActivity;->findViewById(I)Landroid/view/View; move-result-object v0 check-cast v0, Landroid/widget/EditText; iput-object v0, p0, Lcom/example/cracktest/MainActivity;->et:Landroid/widget/EditText; .line 21 const v0, 0x7f080001 invoke-virtual {p0, v0}, Lcom/example/cracktest/MainActivity;->findViewById(I)Landroid/view/View; move-result-object v0 check-cast v0, Landroid/widget/Button; iput-object v0, p0, Lcom/example/cracktest/MainActivity;->eb:Landroid/widget/Button; .line 23 iget-object v0, p0, Lcom/example/cracktest/MainActivity;->eb:Landroid/widget/Button; new-instance v1, Lcom/example/cracktest/MainActivity$1;//新实例对象类型为com/example/cracktest/MainActivity$1 invoke-direct {v1, p0}, Lcom/example/cracktest/MainActivity$1;-><init>(Lcom/example/cracktest/MainActivity;)V invoke-virtual {v0, v1}, Landroid/widget/Button;->setOnClickListener(Landroid/view/View$OnClickListener;)V .line 34 return-void.end method.class Lcom/example/cracktest/MainActivity$1;//类生命,L表示对象类型.super Ljava/lang/Object;//当前类的父类.source "MainActivity.java"//源文件名字//#就像c语言中的双斜杠,注释的作用# interfaces //实现接口.implements Landroid/view/View$OnClickListener;# annotations.annotation system Ldalvik/annotation/EnclosingMethod; value = Lcom/example/cracktest/MainActivity;->onCreate(Landroid/os/Bundle;)V.end annotation.annotation system Ldalvik/annotation/InnerClass; accessFlags = 0x0 name = null.end annotation# instance fields//类成员变量.field final synthetic this$0:Lcom/example/cracktest/MainActivity;# direct methods //Activity构造方法.method constructor <init>(Lcom/example/cracktest/MainActivity;)V //Activity构造方法,返回值为Void .locals 0 //本地变量声明0个 .parameter .prologue .line 1 //这两句为自动生成行号等信息 iput-object p1, p0, Lcom/example/cracktest/MainActivity$1;->this$0:Lcom/example/cracktest/MainActivity; .line 23 invoke-direct {p0}, Ljava/lang/Object;-><init>()V //直接调用,p0为this、Activity的意思 return-void.end method# virtual methods.method public onClick(Landroid/view/View;)V //onClick事件处理函数,V代表返回值为空 .locals 4 //需要声明4个本地变量 .parameter "v"//参数为view v .prologue const/4 v3, 0x0 .line 25 //调用p0里面的方法 iget-object v1, p0, Lcom/example/cracktest/MainActivity$1;->this$0:Lcom/example/cracktest/MainActivity; #getter for: Lcom/example/cracktest/MainActivity;->et:Landroid/widget/EditText; invoke-static {v1}, Lcom/example/cracktest/MainActivity;->access$0(Lcom/example/cracktest/MainActivity;)Landroid/widget/EditText; move-result-object v1 invoke-virtual {v1}, Landroid/widget/EditText;->getText()Landroid/text/Editable;//返回值为Editable move-result-object v1 invoke-interface {v1}, Landroid/text/Editable;->toString()Ljava/lang/String; move-result-object v1 invoke-virtual {v1}, Ljava/lang/String;->trim()Ljava/lang/String; move-result-object v0 //由EditText->Editable getText()->toString()->trim(),返回值为v0 .line 27 .local v0, pwd:Ljava/lang/String; const-string v1, "1234" //定义常量,名字v1,值为1234 //比较v1和v0的值 invoke-virtual {v1, v0}, Ljava/lang/String;->equals(Ljava/lang/Object;)Z //相等返回非0 move-result v1 if-eqz v1, :cond_0 //如果equal 0,不相等,执行cond_0逻辑 .line 28 iget-object v1, p0, Lcom/example/cracktest/MainActivity$1;->this$0:Lcom/example/cracktest/MainActivity; const-string v2, "\u606d\u559c\u4f60\uff0c\u6ce8\u518c\u6210\u529f\uff01" //如果相等,执行这个逻辑 invoke-static {v1, v2, v3}, Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/CharSequence;I)Landroid/widget/Toast; move-result-object v1 invoke-virtual {v1}, Landroid/widget/Toast;->show()V .line 32 :goto_0 return-void .line 30 :cond_0 iget-object v1, p0, Lcom/example/cracktest/MainActivity$1;->this$0:Lcom/example/cracktest/MainActivity; const-string v2, "\u5bf9\u4e0d\u8d77\uff0c\u5e8f\u5217\u53f7\u9519\u8bef\uff01" //可以测试这个字符串,控制台打印 invoke-static {v1, v2, v3}, Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/CharSequence;I)Landroid/widget/Toast; move-result-object v1 invoke-virtual {v1}, Landroid/widget/Toast;->show()V goto :goto_0.end method在上述分析中,如果v1和v0相等,则执行逻辑
const-string v2, “\u606d\u559c\u4f60\uff0c\u6ce8\u518c\u6210\u529f\uff01” //如果相等,执行这个逻辑
这句话是什么意思呢?我们可以自己写个java Test测试一下这个字符串, 
五、修改反编译后的汇编语言文件
假设我们现在得到了一个apk反编译后的java汇编语言,如果修改它使的改变它的功能。就上面这个列子而言,如果输入字符串为1234,则显示注册成功,否则显示序列号错误。在汇编语言中它实现的逻辑如下,
if-eqz v1, :cond_0 //如果equal 0,不相等,执行cond_0逻辑如果v1和v0的比较返回值为0,即eqz为equal 0的话,执行显示cond_0,显示序列号错误。。。
修改if从句为
if-nez v1, :cond_0 //如果not equal 0,相等,执行cond_0逻辑意思是说,如果v1和v0的比较不为0,即v1,v0相等,让它显示序列号错误,相当于和原来的逻辑相反了。
在C:\Users\Administrator\Desktop\apktool\com.example.cracktest-1\smali\com\example\cracktest\MainActivity$1.smali文件中按照上述修改if从句。然后cmd进入apktool目录下,执行命令如下, 
生成new.apk新的apk文件后,我们将之部署到模拟器上测试,找到adb安装目录后,cmd执行如下命令, 
结果安装解析失败,原因没有签名证书,为什么呢?
点击查看原来的和新的apk文件,我们发现new.apk文件中没有META-INF文件, 
META-INF文件夹为应用程序的签名。
为了解决安装apk失败的问题,我们要给new.apk进行签名。
将new.apk复制到signapk目录下,cmd中执行如下命令生成out.apk文件, 
在out.apk中已经生成了META-INF文件夹,最后安装out.apk到模拟器上, 
还是失败,因为原来模拟器上安装过这个软件,需要重新卸载掉,然后安装就可以了!
模拟器上卸载程序有两种方法:
- 直接在模拟器中点击menu–>settings –> Applications –> Manage Applications 中点击你需要卸载的apk(就是你的应用软件)–>Uninstall;
- 进入内嵌的linux,去data/app目录下删除 apk文件,这种方法可以批量删除
adb shell
cd data
cd app
rm ApplicationName.apk
卸载之后,重新进行安装如下, 
最后在模拟器上测试结果展示 
显示结果正好和原来结果相反,证明我们之前修改的.smali汇编语言文件,起了作用。
实际反汇编破解apk过程中,还是用dex2jar工具比较好,如果一个工程应用程序很复杂,那么直接查看汇编语言文件.smali会是项庞大的工程。no zuo no die !
六、参考引用
android apk反编译详解
Android APK反编译就这么简单 详解(附图)
Android APK反编译详解(附图)
谈谈android反编译和防止反编译的方法
未完待续。。。