记一次dex的反编译

原創

jgw2008

2020-02-22 14:57

记一次dex的反编译

原文：https://www.jianshu.com/p/55bf5f688e9a

负责的app在跑gts时报错，结果有报错信息只有gts的apk没有源码，导致无从查起。所以准备反编译gts的apk，结果发现问题, 记录一下

首先第一时间用到是jadx，这是一个傻瓜式的工具，只要打开工具，把app扔进去就可以了...
这是下载地址: https://github.com/skylot/jadx/releases
结果没有反应....
于是想到bin目录下面有个jadx.bat的脚本文件，估计是命令行工具，试试

jadx.bat GtsManagedProvisioning.apk

结果报错:

jadx反编译报错

表示错误看不懂，只好找其它方式

反编译还有一种方式是

把dex文件从apk解压出来，得到classes.dex
然后用dex2jar把dex文件转换成jar文件: dex2jar.bat classes.dex
再把生成的classes.jar文件放到JD-GUI中即可

dex2jar下载: https://sourceforge.net/projects/dex2jar/
jd-gui下载: http://jd.benow.ca/

仍然报错

dex2jar .\classes.dex -> .\classes-dex2jar.jar
com.googlecode.d2j.DexException: not support version.
        at com.googlecode.d2j.reader.DexFileReader.<init>(DexFileReader.java:151)
        at com.googlecode.d2j.reader.DexFileReader.<init>(DexFileReader.java:211)
        at com.googlecode.dex2jar.tools.Dex2jarCmd.doCommandLine(Dex2jarCmd.java:104)
        at com.googlecode.dex2jar.tools.BaseCmd.doMain(BaseCmd.java:288)
        at com.googlecode.dex2jar.tools.Dex2jarCmd.main(Dex2jarCmd.java:32)

提示not support version，版本不支持？(看到这条信息我还以为要下载最新版本的dex2jar，结果仍然不行)

此时想到干脆编译下dex2jar的相关文件看看为什么报错
打开dex2jar-2.0\lib目录，因为是reader.DexFileReader.<init> 处报错，所以应该是DexFileReader初始化报错吧，应该是dex-reader-2.0.jar或dex-reader-api-2.0.jar把这两个jar包扔到jdgui里面，很快便找到DexFileReader，并在构造方法里面，并找到相关源代码

public DexFileReader(ByteBuffer in)
  {
    in.position(0);
    in = in.asReadOnlyBuffer().order(ByteOrder.LITTLE_ENDIAN);
    int magic = in.getInt() & 0xFFFFFF;
    if (magic != 7890276)
    {
      if (magic == 7955812) {
        throw new DexException("Not support odex");
      }
      throw new DexException("not support magic.");
    }
    int version = in.getInt() & 0xFFFFFF;
    if ((version != 3486512) && (version != 3552048)) {//这里主动抛出异常
      throw new DexException("not support version.");
    }
    ....
}

可以猜测这在读取第一个字符时通过比较version 值主动抛出异常了
显然version不等于3486512和3552048是罪魁祸首，它们是什么呢，上下搜索可以看到一个定义的常量:

  private static final int MAGIC_035 = 3486512;
  private static final int MAGIC_036 = 3552048;

额，MAGIC_035和MAGIC_036，网上查了一下，说是dex头部校验

老版本的magic version是035
优化的dex文件，magic version是036
报错居然说不等于这两个，是什么情况？？？

用notpad++打开classes.dex文件，在头部看到如下情况

dex头部

第二行竟然是037！！！！嗯，我有一个大胆的想法: 把037，改成036，保存，再用dex2jar
成功！！！再用jd-gui打开jar文件也能顺利反编译

遗留思考:

magic version是dex校验的话，为什么gts的apk为是037一个不合法的值？难道这个apk比较特殊?(实际验证这个apk安装不上)

为什么读到的int值3552048，而通过notepad++显示是036？(猜测与字符编码有关)

jgw2008

发布了102 篇原创文章 · 获赞 94 · 访问量 52万+

他的留言板关注

發表評論

所有評論

還沒有人評論，想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.

记一次dex的反编译

记一次dex的反编译

一键自动化博客发布工具,用过的人都说好(头条篇)

python調用win32實現電腦語音

tess_two Android圖片文字識別

【OpenCV】HSV顏色識別-HSV基本顏色分量範圍

基於tesseract-OCR進行中文識別

使用OpenCV獲取圖片亮度

https://yachay.unat.edu.pe/blog/index.php?comment_area=format_blog&comment_component=blog&comment_co

linux以太網驅動總結