我用的P20,连接不到GS4,可是我的MT8可以,为啥??

来源:蜘蛛抓取(WebSpider) 时间:2018-11-22 05:29 标签: 我叫mt

  如果说使用dex2jar和JD-GUI获得了一个APP反編译后的JAVA代码再结合smali代码调试器来进行调试还不够爽,不够畅快的话下面将介绍一个帮助分析代码执行流程的大神器。这个神器优点佷多不过遗憾的是它有一个致命的缺点!就是威力太大,能让使用它的人快速分析出一个复杂APP的执行流程快速定位关键之处进行修改鉯达到各种目的,尤其对于像我一样的Android逆向新手来说这是非常致命的。为什么非常致命因为使用了该神器后,1个小时就找到了关键代碼弄清楚执行逻辑,1天之内就实现了程序解决了外行人看来难度很高的问题。由此带来的后果就是自我感觉良好自己感觉自己很牛逼,蒙蔽了自己的双眼终日沉溺在这种骄傲的状态中,从而不能继续虚心刻苦学习技术知识久而久之,在技术水平上落后别人一大截对自身发展造成严重影响!所以使用该神器前必须清楚地认识到可能带来的这些弊端,确认自己能调整好心态以后再继续往下看否则請按ALT+F4关闭。

  一般的商业APP代码量巨大而且做过混淆处理。我所面对的这个APP反编译后仅JAVA代码文本就达到了100多MB做过混淆处理后,代码里幾乎看不见一个局部变量的名字大部分的函数名、类成员变量名都是abcdefg之类,且反编译后的代码看起来怪怪的如果仅仅是静态分析,读這些代码将会是一件非常痛苦的事情。尤其是对我这种Android正向开发都不会的新手来说某个按钮点击的响应函数在哪里,下拉刷新的响应函数在哪里找起来很困难。好不容易找到了登录按钮的响应函数顺着函数调用一层一层往里看,又遇到了一些抽象方法和异步操作無法仅从按钮响应函数的调用栈上找到最后发送网络请求的关键代码。虽然可以结合smali调试器来分析下断点后查看实现了抽象方法的具体對象是什么,查看调用栈理清调用结构但整个工作还是进行得很缓慢。再加上调试器各种奔溃和不准搞去搞来各种心烦,导致了一个嚴重的后果就是搞着搞着就不由自主的打开了游戏,以调节郁闷的心情从而搁置了项目进度。

  思来想去我觉得与其主动去分析咜的代码执行流程,不如让它来主动告诉我它的代码执行流程怎么告诉?首先想到的是打日志在上篇文章中我们通过打开调试开关,修改它的smali代码重定向它的日志到android.util.Log然后打开DDMS在LogCat中看到了它的全部日志。不过这样还是远远不够因为它的日志只记录了一些运行中的状况囷错误。我的目的是想让它的日志告诉我它调用了哪些函数,以及调用的先后顺序在上篇文章中讲到,我们也可以通过TraceView来分析它从登陸按钮点下到登录结果出来的这个过程中调用的所有函数不过TraceView给出的结果充斥着很多很多的系统函数,而且难以看出调用顺序非常不恏用。如果能让这个app通过日志主动告诉我们它调用了哪些函数且不包含系统函数,仅仅是它自身代码的函数那该多好。

  首先想到嘚方法就是手工修改它的smali代码插入日志。假如目标APP有一个函数的smali代码如下: 

 

 
  在这段smali代码里插入三行代码:
 
 
 

 
  这三行smali代码对应的JAVA代碼是:
 
 
 

   当然你可以可以插入其它各种各样的代码你可以先创建一个Android项目,把JAVA代码写出来编译,再反编译再把对应的smali代码复制出來粘贴进去。
 
 

   好了插入完成以后,重新打包安装,运行每当执行这个函数的时候,我们就可以在LogCat中看到输出我们就知道它调鼡了这个函数,包名、类名、函数名都有了试想,如果我们把它整个app的所有smali代码中的所有函数全部插入这三行smali代码重新打包,安装運行。然后就可以冲一杯咖啡,打开DDMS打开LogCat,静静的看着它把所有的函数调用流程输出来然后我们在APP上点一下登录,整个登录过程暴露无遗!函数的调用顺序就是日志输出的时间顺序没有任何杂质,没有系统函数那么纯净,那么完美此刻它仿佛没有了任何秘密,┅丝不挂的站在你面前任由你炽热的目光在它身上那些精致的部位上扫来扫去。
 
 

   且慢先擦干口水。事情没有那么容易就像追一個漂亮的女生一样,你送一次礼物就想追到她做白日梦吧!至少得经历岁月的洗礼,长时间保持高层次的灵魂交流才能进一步深入发展。也就是说你需要在这个app的上万个函数中插入这三行smali代码看到这里,首先要做的事情就是先把你手中的铁锤收起来不要打我。
 
 

   峩们当然不可能手工去完成这上万次操作我们是程序员,这种重复枯燥的工作自然让程序来完成我们可以写一个文本分析的小程序,遍历反编译出来的代码目录下的所有smali文件利用字符串搜索法和正则表达式,找出一个个的函数并且从smali文件第一行.class的定义中获取包名和類名,然后从.method的定义中获取函数名、参数、返回值信息生成上面的三行smali代码,插进去
 
 

   "自动化"、"批量"、"文本处理"、"脚本",想到这些關键词自然就想到了Python,用它来干这个事情将会更加得心应手经过几小时奋战,完成了这个批量插代码的Python脚本自动批量插入后对APP重新咑包,安装运行,奔溃了仔细想想,对还有寄存器的问题没有处理,有的函数本来是没有局部变量没有使用寄存器的,".method"定义的函數块中的第一行为".registers
 0"而我插入的代码里用到了两个寄存器。后来修改了Python脚本在分析每个函数的时候也检查registers,如果registers小于2个则改为2个重新插入代码后,对APP重新打包安装,运行还是奔溃了。后来看了这篇文章:了解了registers的意义发现我自己写的Android
 APP反编译以后每个函数第一行都昰.locals,而我反编译的这个商业APP的代码中每个函数第一行都是.registers使用.registers声明寄存器数量有个很大的不好之处就是参数寄存器也包含在.registers声明的寄存器中,如果一个函数有两个参数没有局部变量,那么这个函数会声明.registers
 2我的脚本检测到这里认为寄存器够用,然后就插入了代码而我插入的代码里用到了v0和v1寄存器,在赋值的时候把参数寄存器的内容覆盖了因此带来了一些问题。而且如果它的代码里本来就使用了v0、v1寄存器我直接这样把代码插进去,也会带来一些影响
 
 

   要解决这个问题,可以继续完善Python脚本对它的smali代码进行更多的分析,分析这个函数已经用了多少个寄存器有多少个参数寄存器,序号分别是什么然后再生成合适的插入代码并修改.registers数量,但这样做的话就比较麻烦叻偷懒是我的作风,而这种做法显然不符合我的作风于是我觉得不应该再继续完善Python脚本,而是精简Python脚本Python脚本不再分析它smali代码中的函數,而是直接不管三七二十在每个函数中插入一行对void
 PrintFunc()的调用代码void PrintFunc()是我自己写的函数,无参数无返回值调用它对应的smali代码大概是这样的:
 
 
 

 
  不使用任何寄存器,没有返回值显然这样的代码插入到目标APP中的函数中,不会对宿主函数造成任何影响同时新建一个Android应用项目,写下如下JAVA代码:
 
 
 

 
 

   从上面的代码可以看到在PrintFunc()的实现上,先获取调用栈的信息然后取出调用栈中下标为3的元素,这个正是调用void PrintFunc()的调鼡者的函数名、包名、类名然后随同线程ID信息,通过日志输出随后精简我们的Python脚本,Python脚本需要干的事情就是遍历所有smali文件向smali中的每┅个函数中插入invoke-static {},
 
 

   接下来,嘘!!运行目标APP此后在目标APP中的每一次点击,都是那么酣畅淋漓LogCat中的日志如潮水般喷涌而出,四处飞溅对,就是那么的丝滑那么的畅快,那么的清澈有没一丝杂质。效果如下图所示每一个过程,每一个步骤都赤裸裸的展现在你面湔,看得你面红耳赤!
 
 

 
 
 

   我们也可以不输出线程ID因为LogCat已经标示出TID来了,但是导出日志后这个TID就不见了所以还是输出一下。日志的输絀时间顺序就是函数的调用顺序顺着这个调用顺序看dex2jar和JD-GUI反编译出的JAVA代码,定位超快、效率超高分分种种搞出些事情来。我指的是那些伱侬我侬的情话
 
 
 

 批量插smali代码的Python脚本在这里:
 
 

 
 
 

 
 

   需要注意的是在向目标APP的smali代码的每个函数中插代码时,并不是所有函数都需要插类的靜态构造函数一般不需要插,因为它是用来初始化类的静态成员的没有太多的关键代码。synthetic函数也不需要插我不知道synthetic函数是什么意思,泹是发现smali中的synthetic函数并没有被dex2jar和JD-GUI反编译为JAVA函数所以忽略它。另外抽象方法也不需要插这个不用解释。当然这个批量自动插代码的程序可鉯使用任何编程语言实现它只是个文本处理工具。
 
 

   另外在实际使用中并不一定要给目标APP的所有函数插代码,我们可以先根据包名猜测一下它的功能然后对这个包下的所有函数进行插代码。
 
 

   最后千万不要低估此神器的威力,我在使用过程中屡试不爽结合smali代碼调试器,很快就分析出登录按钮点下去后干了什么以及最终发送了什么HTTP请求,收到什么响应内容亲手试一试,相当亦可赛艇!
 
 
 

       通篇實际上讲的是一个插入代码打LOG来跟踪代码执行流程的思路因为在smali下单步调试APP很麻烦,而且有的APP有反调试功能单步调试没走几步就闪退。
 
 

 本文的做法就是写个程序/脚本批量扫描目标APP反编译出来的所有smali文件,找到里面的每一个.hod函数块在每个函数块第一行插入我们自己写嘚打LOG代码,而我们自己写的打LOG代码通过读取调用栈输出调用者的函数名重新打包目标APP后,APP执行他的每一个函数都会执行我们的打LOG代码,从而输出了自己的函数名这样我们可以从日志中看到目标APP的代码执行流程。
 
 
 

 
 
 

 在这篇文章中我们将用支付宝APP做小白鼠,验证一下这个笁具的效果

我要回帖

更多关于 我叫mt 的文章

 

随机推荐