Android逆向分析之APKTool

由于刚踏入Android逆向分析领域，因此有许多的不懂，所以得不断地去学习。

因为是入门，我又有一定的Android应用开发基础，所以先从一些简单工程的反编译开始入手，先了解一些反编译所用到的工具。

上一次写博客，记录了反编译工具dex2jar和jd-gui 的使用，这次继续记录另一款比较强大的反编译工具APKTool。

该工具的使用方法很简单，只需要在dos控制台里输入apktool  d  xxx.apk 则可以在当前文件夹生成一个装有该APK的smali文件夹。

通过记事本可打开smali文件，可以看到一套以smali语法写的编码，实际上就是android虚拟机Dalvik的汇编语言。

算了，本人语言表达技术不好，还是直接上图清晰明了：

第一步，编写一个简单的应用工程，并打包APK，用于下面的反编译（直接用上一次博客中用到的登录界面应用）：

MainActivity.java:

public class MainActivity extends Activity {

    private final String ACCOUNT="samuel";
    private final String PASSWORD="123456";
    private EditText etAccount, etPassword;
    private Button btnLogin;

    @Override
    protected void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        setContentView(R.layout.activity_main);

        etAccount=(EditText)findViewById(R.id.et_account);

        etPassword=(EditText)findViewById(R.id.et_password);

        btnLogin=(Button)findViewById(R.id.btn_login);

        btnLogin.setOnClickListener(new View.OnClickListener() {
            @Override
            public void onClick(View v) {
                if(isOK(etAccount.getText().toString(), etPassword.getText().toString())){
                    Toast.makeText(MainActivity.this, "登录成功", Toast.LENGTH_SHORT).show();
                }else{
                    Toast.makeText(MainActivity.this, "登录失败", Toast.LENGTH_SHORT).show();
                }

            }
        });
    }

    private boolean isOK(String account, String password){
        if(account.equals(ACCOUNT) && password.equals(PASSWORD))
            return true;
        else
            return false;
    }

}
           

布局文件：

<RelativeLayout xmlns:android="http://schemas.android.com/apk/res/android"
    xmlns:tools="http://schemas.android.com/tools"
    android:layout_width="match_parent"
    android:layout_height="match_parent">

    <LinearLayout
        android:layout_width="match_parent"
        android:layout_height="wrap_content"
        android:orientation="vertical"
        android:layout_centerInParent="true">

        <LinearLayout
            android:layout_width="match_parent"
            android:layout_height="wrap_content"
            android:gravity="center_horizontal"
            android:orientation="horizontal">

            <TextView
                android:layout_width="wrap_content"
                android:layout_height="wrap_content"
                android:text="帐号:"/>

            <EditText
                android:id="@+id/et_account"
                android:layout_width="100dp"
                android:layout_height="wrap_content" />

        </LinearLayout>

        <LinearLayout
            android:layout_width="match_parent"
            android:layout_height="wrap_content"
            android:gravity="center_horizontal"
            android:orientation="horizontal">

            <TextView
                android:layout_width="wrap_content"
                android:layout_height="wrap_content"
                android:text="密码:"/>

            <EditText
                android:id="@+id/et_password"
                android:layout_width="100dp"
                android:layout_height="wrap_content" />

        </LinearLayout>

        <Button
            android:id="@+id/btn_login"
            android:layout_width="wrap_content"
            android:layout_height="wrap_content"
            android:layout_gravity="center_horizontal"
            android:text="登录"/>

    </LinearLayout>

</RelativeLayout>
           

第二步，下载APKTool，下面底部附有下载连接：

第三步，dos下cd到APKTool的位置，再输入apktool  d  login.apk，回车进入反编译，完了后在当前文件夹下生成login文件夹，该文件夹里有smali文件：

第四步，用记事本打开login->smali中的LoginActivity.smali：

.class public Lcom/samuelzhan/logintest/LoginActivity;
.super Landroid/app/Activity;


# instance fields
.field private final a:Ljava/lang/String;

.field private final b:Ljava/lang/String;

.field private c:Landroid/widget/EditText;

.field private d:Landroid/widget/EditText;

.field private e:Landroid/widget/Button;


# direct methods
.method public constructor <init>()V
    .locals 1

    invoke-direct {p0}, Landroid/app/Activity;-><init>()V

    const-string v0, "samuel"

    iput-object v0, p0, Lcom/samuelzhan/logintest/LoginActivity;->a:Ljava/lang/String;

    const-string v0, "123456"

    iput-object v0, p0, Lcom/samuelzhan/logintest/LoginActivity;->b:Ljava/lang/String;

    return-void
.end method

.method static synthetic a(Lcom/samuelzhan/logintest/LoginActivity;)Landroid/widget/EditText;
    .locals 1

    iget-object v0, p0, Lcom/samuelzhan/logintest/LoginActivity;->c:Landroid/widget/EditText;

    return-object v0
.end method

.method static synthetic a(Lcom/samuelzhan/logintest/LoginActivity;Ljava/lang/String;Ljava/lang/String;)Z
    .locals 1

    invoke-direct {p0, p1, p2}, Lcom/samuelzhan/logintest/LoginActivity;->a(Ljava/lang/String;Ljava/lang/String;)Z

    move-result v0

    return v0
.end method

.method private a(Ljava/lang/String;Ljava/lang/String;)Z
    .locals 1

    const-string v0, "samuel"

    invoke-virtual {p1, v0}, Ljava/lang/String;->equals(Ljava/lang/Object;)Z

    move-result v0

    if-eqz v0, :cond_0

    const-string v0, "123456"

    invoke-virtual {p2, v0}, Ljava/lang/String;->equals(Ljava/lang/Object;)Z

    move-result v0

    if-eqz v0, :cond_0

    const/4 v0, 0x1

    :goto_0
    return v0

    :cond_0
    const/4 v0, 0x0

    goto :goto_0
.end method

.method static synthetic b(Lcom/samuelzhan/logintest/LoginActivity;)Landroid/widget/EditText;
    .locals 1

    iget-object v0, p0, Lcom/samuelzhan/logintest/LoginActivity;->d:Landroid/widget/EditText;

    return-object v0
.end method


# virtual methods
.method protected onCreate(Landroid/os/Bundle;)V
    .locals 2

    invoke-super {p0, p1}, Landroid/app/Activity;->onCreate(Landroid/os/Bundle;)V

    const v0, 0x7f040019

    invoke-virtual {p0, v0}, Lcom/samuelzhan/logintest/LoginActivity;->setContentView(I)V

    const v0, 0x7f0c0050

    invoke-virtual {p0, v0}, Lcom/samuelzhan/logintest/LoginActivity;->findViewById(I)Landroid/view/View;

    move-result-object v0

    check-cast v0, Landroid/widget/EditText;

    iput-object v0, p0, Lcom/samuelzhan/logintest/LoginActivity;->c:Landroid/widget/EditText;

    const v0, 0x7f0c0051

    invoke-virtual {p0, v0}, Lcom/samuelzhan/logintest/LoginActivity;->findViewById(I)Landroid/view/View;

    move-result-object v0

    check-cast v0, Landroid/widget/EditText;

    iput-object v0, p0, Lcom/samuelzhan/logintest/LoginActivity;->d:Landroid/widget/EditText;

    const v0, 0x7f0c0052

    invoke-virtual {p0, v0}, Lcom/samuelzhan/logintest/LoginActivity;->findViewById(I)Landroid/view/View;

    move-result-object v0

    check-cast v0, Landroid/widget/Button;

    iput-object v0, p0, Lcom/samuelzhan/logintest/LoginActivity;->e:Landroid/widget/Button;

    iget-object v0, p0, Lcom/samuelzhan/logintest/LoginActivity;->e:Landroid/widget/Button;

    new-instance v1, Lcom/samuelzhan/logintest/a;

    invoke-direct {v1, p0}, Lcom/samuelzhan/logintest/a;-><init>(Lcom/samuelzhan/logintest/LoginActivity;)V

    invoke-virtual {v0, v1}, Landroid/widget/Button;->setOnClickListener(Landroid/view/View$OnClickListener;)V

    return-void
.end method
           

对比一下MainActivity.java里的源代码，其实Dalvik汇编语言还是比较好理解的。

第五步，修改smali文件，让登录系统无论帐号密码是否正确，均可以实现登录成功，即破解：

修改返回值，让它只返回0x1，即true

第六步，重新打包：

在dos下，cd到apktool.jar当前的位置，输入apktool  b  <刚刚反编译生成文件夹的路径>

反编译后和打包后的login文件夹会多出两个文件夹，dist里有打包后的apk

第七步，因为反编译后签名被破坏，需要重新签名才能在手机上安装：

签名工具很多，我这里使用的是Auto-sign，下面附加下载

用记事本打开批处理文件Sign.bat，并修改

修改后保存，并运行Sign.bat文件

多出一个已签名的APK，至此反编译修改smali文件重新打包的工作基本已完成，现在验证一下，是否输入任意的帐号密码也能显示登录成功。

效果图：

本来输入的帐号密码应该是 samuel   123456，现在随便输入都可以显示“登录成功”提示字符，说明破解成功了~

工具下载：APKTool & Auto-sign