這篇文章其實2個月前就想寫了,但我知道並不好寫,就懶得寫了,所以拖到現在~其實接觸smali這門語法是件蠻偶然的事,接觸後發現,次奧,這貨在某些領域太有用了,至於爲什麼我想看完這篇文章應該都明白了。
我自己也只是接觸了皮毛,大概用了2個禮拜多一點,也不是很系統的學習,寫這篇的目的主要還是想把知道的東西記下來,以後好追溯。
1.Smali簡介
Smali是Dalvik的寄存器語言,它與Java的關係,簡單理解就是彙編之於C。假如你對彙編有足夠的駕馭能力,那你可以通過修改彙編代碼來改變C/C++代碼的走向。當然,學過彙編的都清楚,彙編比BrainFuck 還難學,更不用說去反編譯修改了。
但是Smali有一點不一樣,就是它很簡單,只有一點點的語法,只要你會java,瞭解Android的相關知識,那你完全可以通過修改Smali代碼來反向修改java代碼,雖然繞了一點,但是在某些情況下你不得不這麼做。還好,Smali很簡單。
2.apktool
說了這麼多,還沒有說Smali哪來?沒錯。Smali代碼是安卓APK反編譯而來的,所以Smali文件和Java文件一一對應。獲取Smali文件,我們需要下載一個輔助工具:ApkTool 。apktool這個命令行工具如果詳細使用功能參數是比較多的,但是這裏我們只需要用到2個最基礎的功能:
一個是反編譯decode:
apktool d xxx.apk
另一個是打包build:
apktool b
這裏要注意的是路徑問題,apktool如果沒有加入到環境變量中,記得cd到apktool的目錄去使用它。另一個是打包,如果只是簡單的使用參數b,那要求是要在反編譯出來的項目目錄下執行,而打包好的文件會保存在這個項目目錄下的dist目錄。
這是一個HelloWorld的應用程序反編譯和打包的目錄結構:
3.Smali語法
這裏仍然以一個默認的HelloWorld的應用程序進行解釋吧。新建一個HelloWorld安卓項目,在MainActivity中只保留onCreate函數。代碼如下:
MainActivity.java
|
反編譯後的Smali文件如下:
MainActivity.smali
|
對比一下,可以比較清楚的看出來,smali代碼其實就是對java代碼一個翻譯,只是沒有java看起來那麼簡單,smali把很多應該複雜的東西還原成複雜的狀態了。簡單解釋下這段代碼。
- 前三行指明瞭類名,父類名,和源文件名。
- 類名以“L”開頭相信熟悉Jni的童鞋都比較清楚。
- “#”是smali中的註釋。
- “.method”和“.end method”類似於Java中的大括號,包含了方法的實現代碼段。
- 方法的括號後面指明瞭返回類型,這同樣類似與Jni的調用。
- “.locals”指明瞭這個方法用到的寄存器數量,當然寄存器可以重複利用,從“V0”起算。
- “.prologue”指定了代碼開始處。
- “.line”表明這是在java源碼中的第幾行,其實這個值無所謂是多少,可以任意修改,主要用於調試。
- “invoke-direct”這是對方法的調用,可以看到這裏調用了是Android.app.Activity的init方法,這在java裏是隱式調用的。
- “return-void”表明了返回類型,這和java不一樣,即使沒有返回值,也需要這樣寫。
- 接下來是onCreate方法,“.parameter”指明瞭參數名,但是一般沒有用,需要注意的是p0代表的是this,p1開始代表函數參數,靜態函數沒有this,所以從p0開始就代表參數。
- 在實現裏先是調用了父類的方法,然後再調用setContentView,注意這裏給了一個傳參。整形的傳參,這個值是先賦給寄存器v0,然後再調用的使用傳遞進去的。smali中都是這麼使用,所有的值必須通過寄存器來中轉。這點和彙編很像。
對比了Java代碼和Smali代碼,可以很清楚的看到,原本只有幾行的代碼到了Smali,內容被大大擴充了。Smali還原了Java隱藏的東西,同時顯式地指定了很多細節。這還只是個最基本的HelloWorld的onCreate函數,如果有內部類,還有分文件顯示。
這樣看來,其實Smali只能說複雜,不能說難。我這裏不打算把Smali的語法再貼一次,這裏給出幾個鏈接,算是總結的相對好一點的(其實我都沒看到有系統總結的。。。如果你有好的資料,歡迎跟帖分享)
這裏順便提供2個利器:
4.小試牛刀
瞭解了Smali的基本語法,那我們要動手試一下,Smali能做什麼?仍然以HelloWorld爲例,假如我們沒有Android項目的源代碼,只有一個APK,給他加個新功能吧!
這個功能很簡單,只是在HelloWorld中輸出一個“Hello, Smali”。
(1)第一步還是先使用apktool來反編譯HelloWorld.apk。
(2)打開smali下的com/fusijie/helloworld/MainActivity.smali文件。
(3)原本我們在Java中要寫的代碼是:
Toast
|
翻譯成Smali就是:
Toast
|
(4)最後在插入Smali的時候,我們需要修改2個地方:
- “.locals 1”,因爲本來只用到了v0,現在多用了一個v1,所以改爲“.locals 2”。
- “.line xx” xx隨意改爲一個不重複的值即可。
(5)使用apktool打包成apk,因爲打包完後原有的密鑰會丟失,所以需要重新打上我們自己的密鑰,可以參考 很早以前我寫的一個帖子 。
(6)最後的效果是這樣的。
5.乾點壞事
從上面一個例子對Smali的用途就很清楚了,沒錯,Smali注入。現在常見的除了測試以外的用途,Smali注入明顯是帶有黑客性質的,小的如破解遊戲,替換遊戲廣告,大的甚至利用漏洞去破解密碼,偷竊個人資料,財產等等。對Smali,安卓逆向分析,安卓系統安全比較清楚的,這些事其實都不算事。
我這裏以一個實際上線的遊戲破解爲例,看看我們平時在寫代碼時要注意哪些問題,避免辛辛苦苦寫遊戲,卻在幫人家數錢。這裏的破解不是重點,反破解纔是重點。
以市場上很火的一款單機遊戲《消滅小星星》爲例,下載地址是: http://apk.91.com/Soft/Android/com.brianbaek.popstar-340.html
相同的方法反編譯,在/smali/com/zplay/android/sdk/pay/ZplayPay.smali文件的dopay函數開頭,注入如下代碼:
popstar_crack
|
原理很簡單,這個遊戲使用了Zplay的支付系統,在Java層的處理了支付邏輯,如果覺得Smali讀起來費勁,那麼直接使用dex2jar就能很清楚的看到,支付提醒甚至是中文的。Java層處理完支付邏輯後會給C++層丟個消息,調用C++層的代碼去處理遊戲邏輯,比如成功支付,那麼幸運星就會相應地增加。這裏使用native方法進行處理。
所以注入的代碼是,一旦進入支付邏輯,直接返回成功,同時強制返回函數,這就實現了支付的破解。當然作爲一個有節操,有逼格的遊戲從業者,這裏就不放出破解版了(不過說得也夠明白了)。查找注入點這東西靠的是耐心,細心和運氣。
爲了方便,一般會先用正常的java寫一些調試類,然後反編譯出靜態的smali放入目標文件夾中以供調試使用。
再放張圖,星星用不完了:
6.總結
就像上面說的,Smali能做的不僅僅是這些。有興趣的可以看看這篇文章 《支付寶錢包手勢密碼破解實戰》 ,我沒有去驗證過真僞,但是如作者所描述的應該是可行無誤。這裏用到的一個更高級的功能是將支付寶的加密解密邏輯Smali的jar包導入自己新建的工程,進而直接在自己的程序中集成支付寶的加密解密功能。
在逆向分析遊戲的過程中,我也發現了幾個重要的點能幫助開發者提高自己程序的安全性。
首先,完全避免破解是不可能的,我們能做的工作就是盡最大可能去妨礙破解者破解遊戲,提高破解成本。
- 一定要使用混淆。不單單是第三方SDK,你的代碼也是。破解遊戲很重要一點就是要抓住遊戲的邏輯。代碼混淆後,Smali更加晦澀難懂,邏輯也更難掌握。
- 回到開頭的話,解讀彙編比解讀Smali難度大的多得多。所以重要的邏輯可以放到C/C++層去處理就不要放在Java層上去處理。
- 多用連續調用的方式。這樣出來的效果是Java只有一行,Smali可能有好幾十行,看着都蛋疼。當然這對熟練的破解老手無效~
- 在一些關鍵的點上,比如支付,多繞一下。而不是像《消滅小星星》這樣,直接在Java內用中文顯示“支付成功”,同時去調用JNI方法。用dex2jar看一眼就暴露了。
哈哈,總之,小心你的豔照。。。
哇咔咔,竟然寫了快4個小時~