Andriod逆向学习笔记

移动开发 2018-05-13 12:21:51 阅读次数: 0

转载请注明出处

前段时间玩《吃货大食堂》,不知从哪个应用市场,下了个第三方修改的,进入的时候会有广告页,还会在后台不停的pull广告数据发到通知栏,觉得蛮有意思,大概的做法应该是反编译了原app,然后加入了自己的代码。寻找这方面的资料,找到本《Android软件安全与逆向分析》,记录一下读书笔记。不得不说这本书确实很有货,见过的不多的国内作者的好书之一。

ps,虽然说本文的内容对于玩jvm和逆向的高手来说算不上什么,但是

本文涉及到的所有内容均来自互联网或者书籍。禁止用于其他任何商业,非商业/不正当用途.

1.准备

android sdk,java是必须的。另准备apktool和jd-gui。见这篇blog

将apktool所在的目录加到环境变量

 

2.先来一个简单的,修改跳转逻辑。

先写个sample,第一个activity界面上一个输入框,一个按钮,输入“zuoshu”时点击按钮会跳转到第二个activity.输入其他内容则finish().



将编译出来的apk放到d:\hack\Inject.apk,命令行下 

cd d:\hack

apktool d -f Inject.apk

会生成d:\hack\Inject目录

java中跳转的逻辑部分是如下写的,MainActivity.java

Button go = (Button) findViewById(R.id.go);
go.setOnClickListener(new OnClickListener() {

	@Override
	public void onClick(View v) {
		String str = text.getText().toString();
		if (str.equals("zuoshu")) {
			goSecond();
		} else {
			MainActivity.this.finish();
		}
	}
});

  看到Inject目录下有MainActivity.smali和MainActivity$1.smali两个文件,后面一个才是匿名OnClickListener的代码。onClick部分如下

# virtual methods
.method public onClick(Landroid/view/View;)V
    .locals 2
    .parameter "v"

    .prologue
    .line 24
    iget-object v1, p0, Lcom/example/injectactivtytest/MainActivity$1;->val$text:Landroid/widget/EditText;

    invoke-virtual {v1}, Landroid/widget/EditText;->getText()Landroid/text/Editable;

    move-result-object v1

    invoke-interface {v1}, Landroid/text/Editable;->toString()Ljava/lang/String;

    move-result-object v0

    .line 25
    .local v0, str:Ljava/lang/String;
    const-string v1, "zuoshu"

    invoke-virtual {v0, v1}, Ljava/lang/String;->equals(Ljava/lang/Object;)Z

    move-result v1
    #hack here
    if-eqz v1, :cond_0

    .line 26
    iget-object v1, p0, Lcom/example/injectactivtytest/MainActivity$1;->this$0:Lcom/example/injectactivtytest/MainActivity;

    #calls: Lcom/example/injectactivtytest/MainActivity;->goSecond()V
    invoke-static {v1}, Lcom/example/injectactivtytest/MainActivity;->access$0(Lcom/example/injectactivtytest/MainActivity;)V

    .line 30
    :goto_0
    return-void

    .line 28
    :cond_0
    iget-object v1, p0, Lcom/example/injectactivtytest/MainActivity$1;->this$0:Lcom/example/injectactivtytest/MainActivity;

    invoke-virtual {v1}, Lcom/example/injectactivtytest/MainActivity;->finish()V

    goto :goto_0
.end method

smali是dalvik字节码文件,详细的说明在android源码的dalvik\vm\mterp\c目录下 

在25行用#hach here标出的地方为跳转判断。"if-eqz v1, :cond_0"意思是如果v1为0,则跳转到":cond_0"处。改为"if-nez v1, :cond_0",不为0则跳转。代码的改动就完了,接下来编译回apk。

先准备个签名文件sign.keystore放到Inject目录下,参考这里.

cd d:\hack\Inject

apktool b

在会生成一个目录dist,里面有个InjectTest.apk

jarsigner -verbose -keystore aeo_android.keystore -signedjar dist\InjectTest_signed.apk dist\InjectTest.apk

完了安装dist\InjectTest.apk即可。输入“zuoshu”的时候不会跳转,输入其他内容时会跳转。

还可以做些其他修改,比如修改原来是跳转到SecondActivity,可以修改为跳转到ThirdActivity之类的。

 

3.来点高级的,把自己的代码注入到目标程序

思路就是先写个Service,在目标程序启动的时候,在oncreate里加入startservice的代码。为什么不是activity?service是后台运行的。

建立一个Target project,内容是显示helloworld。要做的事情有三个

1>写一个HackService。另建一个Hack project。Service代码如下

public class HackService extends Service {

	@Override
	public void onStart(Intent intent, int startId) {
		super.onStart(intent, startId);
		Toast.makeText(this, "this is a hack app", Toast.LENGTH_SHORT).show();
	}

	@Override
	public IBinder onBind(Intent intent) {
		return null;
	}

}

 启动service的话,会显示"this is a hack app".

xml文件配置

        <service android:name="com.example.servicetest.HackService" >
            <intent-filter>
                <action android:name="com.oneguy.startservice" />
            </intent-filter>
        </service>

另外在MainActivity加入如下启动代码,目的是为了获得启动Service的字节码。

Intent i = new Intent("com.oneguy.startservice");
startService(i);

2>将启动Service的字节码加到Target.apk反编译后的字节码内

a.反编译Hack.apk放在Hack目录,反编译Target.apk放在Target目录。

b.将Hack\smali目录下的HackService.smali拷贝到Target\smali目录下,这是Service的字节码。

c.打开Hack\smali\MainActivity.smali,拷贝启动Service的相关代码,到Target\smali\MainActivity.smali中,大致内容如下

    #inject start
   .line 16
    new-instance v0, Landroid/content/Intent;

    const-string v1, "com.oneguy.startservice"

    invoke-direct {v0, v1}, Landroid/content/Intent;-><init>(Ljava/lang/String;)V

    .line 17
    .local v0, i:Landroid/content/Intent;
    invoke-virtual {p0, v0}, Lcom/oneguy/hack/MainActivity;->startService(Landroid/content/Intent;)Landroid/content/ComponentName;
    #inject end

 d.将Hack\AndroidManifest.xml中Service相关的声明拷贝到Target\AndroidManifest.xml中。

3>编译修改后的代码。重新签名即可。

找了个app练手,费了点劲,大致效果如下


 

4.防御

有万无一失的防御方式么?只能说有办法可以加大hack的难度,一山更有一山高。

作为开发者,大概有如下几个方法

1>代码混淆。这个sdk里面自带工具,能大大提高hack的难度。

2>程序md5自检。玩了一款国内的app,看到了类似代码,没细读,应该是启动时检查程序自身apk的md5,修改过的apk和未修改的apk md5是不一样的。这个检测确实有用,但是,直接将md5这段检测的逻辑hack掉也可以绕过。

3>使用c++或者c#写代码,程序逻辑不在字节码内。这个对于大多数app来说有点不靠谱了。但是像cocos2d的游戏,或者Unity的游戏,基本上hack不了的。

作为普通用户怎么办?

1>安装官方app。修改过的app签名会和以前不一样,安装的时候会提示用户。并且一定看清楚程序所需要的权限。

2>不要轻易root。没收root权限,是给手机的最后一道防御。我认为厂商们鼓吹发烧,个性,并且以"我家的手机能root,我们不做限制“为卖点是极不合适的。刷了root后,有新病毒来的时候,不要过多的指望安全厂商。好在现在病毒传播的途径是通过各个app市场向客户端传播,没有客户端之间的传播,如果像以前pc上邮件,pc,局域网都能传播的话,刷root等于是放病毒进来。

猜你喜欢

转载自zuoshu.iteye.com/blog/1836608
今日推荐
《美国对全球网络空间安全与发展的威胁和破坏》报告发布
火速冲上 GitHub 热榜 —— 开源编程语言、框架哪有这么可爱?
北京人形机器人创新中心发布全球首个纯电驱拟人奔跑的全尺寸人形机器人“天工”
LFOSSA 源来如此公开课 | 掌握云原生未来:CNCF 认证全面攻略与备考秘籍
周排行
让自己的头脑极度开放
CentOS 6.5(x64) 和Redhat6.5操作系误删libc
高可用注册中心
【日记】12.28/【题解】AtCoder AGC041
XML(5)_XML 约束_DTD
Java集合Map(四)
树梅派安装桌面环境教程
pipenv 的 使用和安装
小程序白屏问题和内存研究
C语言简单选择排序
每日归档
更多
2024-05-02(0)
2024-05-01(4)
2024-04-30(1)
2024-04-29(40)
2024-04-28(0)
2024-04-27(56)
2024-04-26(39)
2024-04-25(22)
2024-04-24(36)
2024-04-23(26)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022