Android逆向之旅---静态分析技术来破解Apk
尼古拉斯.赵四{:17_1056:}{:17_1056:}{:17_1056:}{:17_1056:}{:17_1056:}{:17_1056:}{:17_1056:}{:17_1056:}{:17_1056:}{:17_1056:}一、前言从这篇文章开始我们开始我们的破解之路,之前的几篇文章中我们是如何讲解怎么加固我们的Apk,防止被别人破解,那么现在我们要开始破解我们的Apk,针对于之前的加密方式采用相对应的破解技术,Android中的破解其实大体上可以分为静态分析和动态分析,对于这两种方式又可以细分为Java层(smail和dex)和native层(so)。所以我们今天主要来讲解如何通过静态分析来破解我们的apk,这篇文章我们会通过破解Java层和native层的例子来讲解。
二、准备工作在开始今天的文章之前,我们需要准备点东西,第一、首先是基本知识:1、了解Android中的Apk文件的结构。2、了解Smail语法和dex文件格式3、apk的签名机制关于这三个知识点,这里就不做详细介绍了,不理解的同学可以自行网上学习,有很多资料讲解的。第二、再者就是几个重要的工具1、apktool:反编译的利器2、dex2jar:将dex转化成jar3、jd-gui:很好的查看jar文件的工具4、IDA:收费的最全破解利器(分析dex和so都可以)下载地址:http://pan.baidu.com/s/1hqBC7Es额外:上面四个工具是最基本的,但是现在网上也有一些更好的工具:JEB,GDA等。但是这些工具就是丰富了上面四个工具,所以说我们只要上面的四个工具就足够了。IDA工具我专门给了一个下载地址,其他的工具在我们提供的案例中。
三、技术原理准备工作完了,下面就来看一下今天的破解方式介绍:Android中的破解的静态分析说重要,也不重要,为什么这么说呢?因为我们到后面会介绍动态分析,那时候我们在破解一个Apk的时候,发现静态分析的方式几乎毫无用途,因为现在的程序加固的越来越高级,静态分析几乎失效,所以动态分析是必须的,但是要是说静态分析没有用,那么也错了,因为我们在有些场景下,只有静态分析能够开始破解之门,没有静态分析之后的结果,动态分析是无法开展的。这个下面会举例说明。所以说在破解的过程中,静态分析和动态分析一定会结合在一起的,只有这样我们才会勇往直前。下面就来看看我们如何通过静态分析来破解apk.第一、静态分析的流程1、使用apktool来反编译apk在这个过程中,我们会发现有些apk很轻易的被反编译了,但是有些apk每次反编译都会报各种错误,这个也是正常的,因为加固了吗。现在网上有很多对apk加密的方式,直接让反编译就通不过,比如Androidmanifest文件,dex文件等,因为apktool他需要解析这些重要的资源,一旦这些文件加密了那么就会终止,所以这里我们暂且都认为apk都能反编译的,因为我们今天是主要介绍怎么通过静态分析来破解,关于这里的反编译失败的问题,我后面会在用一篇文章详细介绍,到时候会列举一些反编译错误的例子。
2、得到程序的smail源码和AndroidManifest.xml文件我们知道一个Android的程序入口信息都会在AndroidManifest.xml中,比如Application和入口Activity,所以我们肯定会先来分析这个文件,找到我们想要的信息,当然这里还有一个常用的命令需要记住:adb shell dumpsys activity top能够获取到当前程序的Activity信息然后我们会分析smail代码,进行代码逻辑的修改
3、直接解压apk文件得到classes.dex文件,然后用dex2jar工具得到jar,用jd-gui工具查看这里我们主要很容易的查看代码,因为我们在第二步中得到了smail源码,就可以分析程序了,但是我们知道虽然smail语法不是很复杂,至少比汇编简单,但是怎么看着都是不方便的,还是看java代码比较方便,所以我们借助jd-gui工具查看代码逻辑,然后在smail代码中进行修改即可,上面说到的JEB工具,就加强了jd-gui工具的功能,它可以直接将smail源码翻译成java代码,这样我们就不需要先用jd-gui工具查看,再去smail源码中修改了,借助JEB即可。4、如果程序中有涉及到native层的话,我们可以用IDA打开指定的so文件。我们还是需要先看java代码,找到指定的so文件,在用IDA来静态分析so文件。
第二、用到的技术上面介绍了静态分析的流程,下面来看一下静态分析的几个技术,我们在静态分析破解Apk的时候,首先需要找到突破点,找到关键的类和方法,当然这里就需要经验了,不是有方法可循的。但是我们会借助一些技术来加快破解。1、全局查找关键字符串和日志信息这个技术完全靠眼,我们在运行程序之后,会看到程序中出现的字符串,比如文本框,按钮上的文本,toast显示的信息等,都可能是重要信息,然后我们可以在jd-gui工具中全局搜索这个字符串,这样就会很快的定位到我们想要找的逻辑地方:当然我们还有一个重要点就是Android中的Log信息,因为在一个大的项目中,会有多人开发,所以每个模块每个人开发,每个人都会调试信息,所以就会添加一些log信息,但是不是所有的人都会记得在项目发布的时候关闭项目中的所有log信息,这个也是我们在项目开发的过程中不好的习惯。这时候我们就可以通过程序运行起来之后,会打印一些log信息,那么我们可以通过这些信息获取突破点,Android中的log可以根据一个应用来进行过滤的,或者我们可以通过log信息中的字符串在jd-gui中进行全局搜索也是可以的。
2、代码的注入技术在第一种方式中我们通过全局搜索一些关键的字符串来找突破点,但是这招有时候不好使,所以这时候我们需要加一些代码了来观察信息了,这里有一个通用的方法就是加入我们自己的log代码,来追踪代码的执行逻辑,因为这里讲的是静态分析技术,所以就用代码注入技术来跟踪执行逻辑,后面介绍了动态分析技术之后,那就简单了,我们可以随意的打断点来进行调试。这里的添加代码,就是修改smail代码,添加我们的日志信息即可,在下面我们会用例子来进行讲解,这个也是我们最常用的一种技术。
3、使用系统的Hook技术,注入破解程序进程,获取关键方法的执行逻辑关于Android中的进程注入和Hook技术,这里就不做详细介绍了,不了解这些技术的同学可以转战:注入技术:http://blog.csdn.net/jiangwei0910410003/article/details/39292117
Hook技术:http://blog.csdn.net/jiangwei0910410003/article/details/41941393这两篇文章介绍了这两项技术,但是我们在实际操作过程中不用这两篇文章中用到的方式,因为这两篇文章只是介绍原理,技术还不是很成熟,关于这两个技术,网上有两个框架很成熟,也很实用,就是人们熟知的:Cydia和Xposed,关于这两个框架的话,网上的资料太多了,而且用起来也很容易,这里就不做太多的详细介绍了。我们在实际的破解的过程中,这种方式用的有点少,因为这种方式效率有点低,所以只有在特定的场景下会使用。
4、使用IDA来静态分析so文件这里终于用到了IDA工具了,本人是感觉这个工具太强大了,他可以查看so中的代码逻辑,我们看到的的可能是汇编指令,所以这里就有一个问题了,破解so的时候,我们还必须掌握一项技能,就是能看懂汇编指令,不然用IDA来破解程序,会很费经的,关于汇编指令,大学的时候,我们接触过了,但是我们当时感觉这东西又难,而且用的地方也很少,所以就没太在意,其实不然呀,真正懂汇编的人才是好的程序员:看到些汇编指令,头立马就大了,不过这个用多了,破解多了,还是可以的。我们可以看到左边栏中有我们的函数,我们可以找到指定函数的定义的地方进行查看即可。其实IDA最强大的地方是在于他动态调试so文件,下一篇文章会介绍怎么动态调试so文件。当然IDA可也是可以直接查看apk文件的:可以查看apk文件中的所有文件,我们可以选择classes.dex文件:但是这里我们可能会遇到一个问题,就是如果应用程序太大的话,这个打开的过程中会很慢的,有可能IDA停止工作,所以要慢慢等啦:打开之后,我们可以看到我们的类和方法名,这里还可以支持搜索类名和方法名Ctrl+F,也可以查看字符串内容(Shirt+F12):我们发现IDA也是一个分析Java代码的好手,所以说这个工具太强大了啦啦~~
四、案例分析上面讲解了静态分析的破解技术,那么下面就开始使用一个例子来看看静态分析的技术。第一、静态分析Java(smail)代码首先我们拿到我们需要破解的Apk,使用apktool.jar工具来反编译:java -jar apktool.jar d xxx.apk这个apk很是容易就被反编译了,看来并没有进行任何的加固。那就好办了,我们这里来改一下他的AndroidManifest.xml中的信息,改成可调式模式,这个是我们后面进行动态调试的前提,一个正式的apk,在AndroidManifest.xml中这个值是false的。我们看看他的AndroidManifest.xml文件:我们把这个值改成true.在回编译,这时候我们就可以动态调试这个apk了,所以在这点上我们可以看到,静态分析是动态分析的前提,这个值不修改的话,我们是办法进行后续的动态调试的。修改成功之后,我们进行回编译:cd C:\Users\jiangwei\Desktop\静态分析\apktool_2.0.0rc4
del debug.sig.apk
java -jar apktool.jar b -d 123 -o debug.apk
java -jar .\sign\signapk.jar .\sign\testkey.x509.pem .\sign\testkey.pk8 debug.apk debug.sig.apk
del debug.apk
adb uninstall com.shuqi.controller
adb install debug.sig.apk
adb shell am start -n com.shuqi.controller/.Loading
pause
这里是为了简单,写了一个批处理,首先进入到目录,然后使用命令进行回编译:java -jar apktool.jar b -d sq -o debug.apk
sq是之前反编译的目录,debug.apk是回编译之后的文件这时候,debug.apk是不能安装运行的,因为没有签名,Android中是不允许安装一个没有签名的apk下面还要继续签名,我们用系统自带的签名文件即可签名:java -jar .\sign\signapk.jar .\sign\testkey.x509.pem .\sign\testkey.pk8 debug.apk debug.sig.apk
注:其实我们在用IDE工具开发android项目的时候,工具就是用这个签名文件进行签名的,只是这个过程IDE帮我们做了。后面就是直接安装这个apk,然后运行这个Apk。这个过程中我们只需要知道应用的包名和入口Activity名称即可,这个信息我们在AndroidManifest.xml中也是可以获取到的,当然我们用:adb shell dumpsys activity top 命令也可以得到:回编译之后,我们运行程序,发现有问题,就是点击程序的icon,没反应,运行不起来,我们在查看log中的异常信息,发现也没有抛出任何异常,那么这时候,我们就判断,他内部肯定做了什么校验工作,这个一般回编译之后的程序运行不起来的话,那就是内部做校验了,一般做校验的话,有两种:1、对dex做校验,防止修改dex的2、对apk的签名做校验,防止重新打包那我们就需要从新看看他的代码,来看看是不是做了校验:我们在分析代码的时候,肯定先看看他有没有自己定义Application,如果有定义的话,就需要看他自己的Application类,这里我们看到他定了自己的Application:com.shuqi.application.ShuqiApplication我们解压apk,得到dex,然后dex2jar进行转化,得到jar,再用jd-gui查看这个类:这里我们看到他的代码做混淆了,但是一些系统回调方法肯定不能混淆的,比如onCreate方法,但是这里我们一般找的方法是:1、首先看这个类有没有静态方法和静态代码块,因为这类的代码会在对象初始化之前运行,可能在这里加载so文件,或者是加密校验等操作2、再看看这个类的构造方法3、最后再看生命周期方法我们这里看到他的核心代码在onCreate中,调用了很多类的方法,猜想这里的某个方法做工作了?这时候我们就来注入我们的代码来跟踪是哪个方法出现问题了,这里有的同学有疑问,其实就这几个方法,直接一个一个看不就结了,哎,我们这篇文章就是要介绍静态分析技术,当然就需要做案例啦。下面来看看我们怎么添加我们的日志信息,其实很简单,就是添加日志,需要修改smail文件,我们在去查看smail源码:关于smail语法,本人认为不是很难,所以大家自己网上去搜一些资料学习一下即可,这里我们可以很清晰的看到调用了这些方法,那么我们就在每个方法加上我们的日志信息,这里加日志有两种方式,一种就是直接在这里调用系统的log方法,但是有两个问题:1、需要导入包,在smail中修改2、需要定义一个两个参数,一个是tag,msg,才能正常的打印log出来明显这个方法有点麻烦,这里我们就自己定义一个MyLog类,然后反编译,得到MyLog的smail文件,添加到这个ShuqiApplication.smail的root目录下,然后在代码中直接调用即可,至于为何要放到root目录下,这样在代码中调用就不需要导入包了,比如SuqiApplication.smail中的一些静态方法调用:编写日志类MyLog,这里就不粘贴代码了,我们新建一个项目之后,反编译得到MyLog.smail文件,放到目录中:我们得到这个文件的时候,一定要注意,把MyLog.smail的包名信息删除,因为我们放到root目录下的,意味着这个MyLog类是没有任何包名的,这个需要注意,不然最后加的话,也是报错的。我们在ShuqiApplication的onCreate方法中插入我们的日志方法:invoke-static {}, LMyLog;->print()V
但是我们在加代码的时候,需要注意的是,要找对地方加,所谓找对地方,就是在上个方法调用完之后添加,比如:invoke-virtual,invoke-static等,而且这些指令后面不能有:move-result-object,因为这个指令是获取方法的返回值,所以我们一般是这么加代码的:1、在invoke-static/invoke-virtual指令他的返回类型是V之后可以加入2、在invoke-static/invoke-virtual指令返回类型不是V,之后的move-result-object命令之后可以加入
加好了我们的日志代码之后,下面我们就回编译执行,在这个过程可能会遇到samil语法错误,这个就对应指定的文件修改就可以了,我们得到回编译的apk之后,可以在反编译一下,看看他的java代码:我们看到了,我们添加的代码,在每个方法之后打印信息。下面我们运行程序,同时开启我们的log的tag:adb logcat -s JW看到我们打印的日志了,我们发现打印了三个log,这里需要注意的是,这里虽然打印了三个log,但是都是在不同的进程中,所以说一个进程中的log的话,只打印了一个,所以我们判断,问题出现在vr.h这个方法我们查看这个方法源码:果然,这个方法做了签名验证,不正确的话,直接退出程序。那么我们现在要想正常的运行程序的话,很简单了,直接注释这行代码:vr.h(this)然后回编译,在运行,果然不报错了,这里就不在演示了:好了,上面就通过注入代码,来跟踪问题,这个方法是很常用,也是很实在的。
第二、静态分析Native代码下面继续来介绍一下,如何使用IDA来静态分析native代码,这里一定要熟悉汇编指令,不然看起来很费劲的。我们在反编译之后,看到他的onCreate方法中有一个加载so的代码看看这个代码:获取密码的方法,是native的,我们就来看看那个getDbPassword方法,用IDA打开libpsProcess.so文件:我们看看这个函数的实现,我们一般直接看BL/BLX等信息,跳转逻辑,还有就是返回值,我们在函数的最后部分,发现一个重点,就是:BL __android_log_print 这个是在native层调用log的函数,我们在往上看,发现:tag是System.out.c我们运行程序看起log看看,但是我们此时也可以在java层添加日志的:我们全局搜索这个方法,在yi这个类中调用的我们修改yi.smail代码:回编译,在运行程序,开启log:adb logcat -s JWadb logcat -s System.out.c发现,返回的密码java层和native层是一样的。说明我们静态分析native还是有效的。
好了,到这里我们今天的内容就介绍完了,当然还有很多静态分析apk的方法,这里只是介绍了本人用到的技术。
案例下载:http://download.csdn.net/detail/jiangwei0910410003/9308217案例中有个说明文件,运行前请阅读~~
五、未解决的问题1、如何搞定apktool工具反编译出错的问题这个我在开始的时候也说了,这里出错的原因大部分是apk进行加固了,所以后面我会专门介绍一下如何解决这样的问题2、如何搞定让一个Apk可以调试我们在上面看到一个apk想要能调试的话,需要修改android:debug的值,但是有时候,我们会遇到修改失败,导致程序不能运行,后面会专门介绍有几种方式来让一个发布后的apk可以调试
六、技术总结这篇文章我们介绍了如何使用静态方式去破解一个apk,我们在破解一个apk的时候,其实就是改点代码,然后能够运行起来,达到我们想要的功能,一般就是:1、注释特定功能,比如广告展示等2、得到方法的返回值,比如获取用户的密码3、添加我们的代码,比如加入我们自己的监测代码和广告等我们在静态分析代码的时候,需要遵循的大体路线:1、首先能够反编译,得到AndroidManifest.xml文件,找到程序入口代码2、找到我们想要的代码逻辑,一般会结合界面分析,比如我们想得让用户登录成功,我们肯定想要得到用户登录界面Activity,这时候我们可以用adb shell dumpsys activity top命令得到Activity名称,然后用Eclipse自带的程序当前视图分析工具:得到控件名称,或者是在代码中获取layout布局文件,一般是setContentView方法的调用地方,然后用布局文件结合代码得到用户登录的逻辑,进行修改3、在关键的地方通过代码注入技术来跟踪代码执行逻辑4、注意方法的返回值,条件判断等比较显眼的代码5、对于有些apk中的源码,可能他有自己的加密算法,这时候我们需要获取到这个加密方法,如果加密方法比较复杂的话,我们就需要大批的测试数据来获取这个加密方法的逻辑,一般是输入和输出作为一个测试用例,比如阿里安全第一届比赛的第一题就可以用静态分析的方式破解,它内部就是一个加密算法,我们需要用测试数据来破解。6、对于那些System.loadLibrary加载so文件的代码,我们只需要找到这个so文件,然后用IDA打开进行静态分析,因为有些apk中把加密算法放到了so中了,这时候我们也可以通过测试数据来获取加密算法。7、通过上面的例子,我们可以总结一个方式,就是现在很多apk会做一些校验工作,一般在代码中包含:“signature”字符串信息,所以我们可以全局搜索一下,也许可以获取一些重要信息。
六、总结这篇文章总算是讲解完了,其实早就想用写破解的文章了,因为破解比加固有意思,至少破解成功了有成就感。这篇文章主要介绍了如何通过静态分析方式破解,介绍了一些工具的时候,破解流程和破解技巧。最常用的就是代码注入技术和全局搜索关键字符串等方式,但是我们可以看到,现在市面上的很多apk,光通过静态分析是无法满足我们的破解需求了,所以动态分析方式就来了,而且动态方式破解难度会很大,需要掌握的东西也很多,我后面会分几篇文章来一一介绍动态破解的技巧和常见的问题。但是静态方式破解也是很重要的。当然也是动态分析的前提,所以我们既然玩破解,那么这两种技术都必须很好的掌握。
你好赵四哥二,你好,有个apk应用,拍照时调用系统相机,需要破解不让apk调用系统相机,实现拍照时调用别的第三方相机。还有apk的时间是调用服务器时间,希望实现调用手机本地时间。急用,大神能否做?可以请回复我下。谢谢!!!坐等。 支持一下{:1_927:} 全部看完,期待后续的文章啊,给力 看到有点晕@_@,感觉好复杂。 学习中。 支持下楼主的分享! 四哥,好文章 先收藏了 多谢楼主 学习学习 学习中,谢谢大神