分析Android程序之破解第一个程序

破解Android程序通常的方法是将apk文件利用ApkTool反编译，生成Smali格式的反汇编代码，然后阅读Smali文件的代码来理解程序的运行机制，找到程序的突破口进行修改，最后使用ApkTool重新编译生成apk文件并签名，最后运行测试，如此循环，直至程序被成功破解。

1. 反编译APK文件

ApkTool是跨平台的工具，可以在windows平台与linux平台下直接使用。使用前到：http://code.google.com/p/android-apktool/
下载ApkTool，目前最新版本为1.4.3，Windows平台需要下载apktool1.4.3.tar.bz2与apktool-install-windows-r04-brut1.tar.bz2两个压缩包，如果是linux系统则需要下载apktool1.4.3.tar.bz2与apktool-install-linux-r04-brut1.tar.bz2，将下载后的文件解压到同一目录下。进入到命令行的解压目录下，执行apktool命令会列出程序的用法：

反编译apk文件的命令为： apktool d[ecode] [OPTS] <file.apk> [<dir>]

编译apk文件的命令为： apktool b[uild] [OPTS] [<app_path>] [<out_file>]

那么在命令行下进入到apktool工具目录，输入命令：

?
稍等片刻，程序就会反编译完成，如图：





2. 分析APK文件

如上例，反编译apk文件成功后，会在当前的outdir目录下生成一系列目录与文件。其中smali目录下存放了程序所有的反汇编代码，res目录则是程序中所有的资源文件，这些目录的子目录和文件与开发时的源码目录组织结构是一致的。

如何寻找突破口是分析一个程序的关键。对于一般Android来说，错误提示信息通常是指引关键代码的风向标。以书中的注册示例为例，在错误提示附近一般是程序的核心验证代码，分析人员需要阅读这些代码来理解软件的注册流程。

错误提示是Android程序中的字符串资源，开发Android程序时，这些字符串可能硬编码到源码中，也可能引用 自“res/values”目录下的strings.xml文件，apk文件在打包时，strings.xml中的字符串被加密存储为“resources.arsc”文件保存到apk程序包中，apk被成功反编译后这个文件也被解密出来了。

以书中2.1.2节运行程序时的错误提示，在软件注册失败时会Toast弹出“无效用户名或注册码”，我们以此为线索来寻找关键代码。打开“res/values/strings.xml”文件，内容如下：

?
开发Android程序时，strings.xml文件中的所有字符串资源都在“gen/<packagename>/R.java”文件的String类中被标识，每个字符串都有唯一的int类型索引值，使用Apktool反编译apk文件后，所有的索引值保存在strings.xml文件同目录下的public.xml文件中。

从上面列表中找到“无效用户名或注册码”的字符串名称unsuccessed。打开public.xml文件，它的内容如下：

?
unsuccessed的id值为0x7f05000c，在smali目录中搜索含有内容为0x7f05000c的文件，最后发现只有MainActivity$1.smali文件一处调用，代码如下：

?
Smali代码中添加的注释使用“＃”号开头，".line
32"行调用了checkSN()函数进行注册码的合法检查，接着下面有如下两行代码：

?
checkSN()函数返回Boolean类型的值。这里的第一行代码将返回的结果保存到v0寄存器中，第二行代码对v0进行判断，如果v0的值不为零，即条件为真的情况下，跳转到cond_0标号处，反之，程序顺序向下执行。

如果代码不跳转，会执行如下几行代码：

?
“.line 34”行使用iget-object指令获取MainActivity实例的引用。代码中的->this$0是内部类MainActivity$1中的一个synthetic字段，存储 的是父类MainActivity的引用，这是Java语言的一个特性，类似的还有->access$0，这一类代码会在后面进行详细介绍。“.line 35”行将v1寄存器传入unsuccessed字符串的id值，接着调用Toast;->makeText()创建字符串，然后调用Toast;->show()V方法弹出提示，最后.line
40行调用return-void函数返回。

如果代码跳转，会执行如下代码：

?
这段代码的功能是弹出注册成功提示，也就是说，上面的跳转如果成功意味着程序会成功注册。

3. 修改Smali文件代码

经过上一小节的分析可以发现，“.line 32”行的代码“if-nez v0,:cond_0”是程序的破解点。if-nez是Dalvik指令集中的一个条件跳转指令。类似的还有if-eqz，if-gez，if-lez等。这些指令会在后面blog中进行介绍，在这里只需要知道，与if-nez指令功能相反的指令为if-eqz，表示比较结果为0或相等时进行跳转。

用任意一款文本编辑器打开MainActivity$1.smali文件，将“.line 32”行的代码“if-nez v0,:cond_0”修改为“if-eqz v0,:cond_0”，保存后退出，代码就算修改完成了。

4. 重新编译APK文件并签名

修改完Smali文件代码后，需要将修改后的文件重新进行编译打包成apk文件。编译apk文件的命令格式为：

apktool b[uild] [OPTS] [<app_path>] [<out_file>]，打开命令行进入到apktool工具的目录，执行以下命令：

?
不出意外的话，程序就会编译成功。编译成功 后会在outdir目录下生成dist目录，里面存放着编译成功的apk文件。编译生成的crackme02.apk没有签名，还不能安装测试，接下来需要使用signapk.jar工具对apk文件进行签名。signapk.jar是Android源码包中的一个签名工具。代码位于Android源码目录下的/build/tools/signapk/SignApk.java文件中，源码编译后可以在/out/host/linux-x86/framework目录中找到它。使用signapk.jar签名时需要提供签名文件，我们在此可以使用Android源码中提供的签名文件 testkey.pk8与testkey.x509.pem，它们位于Android源码的build/target/product/security目录。将signapk.jar，testkey.x509.pem，testkey.pk8，3个文件放到同一目录，然后在命令提示符下输入如下命令对APK文件进行签名：

?
签名成功后会在同目录下生成crackme02sign.apk文件。

4. 安装测试

现在是时候测试修改后的成果了。启动一个Android ***D，或者使用数据线连接手机与电脑，然后在命令提示符下执行以下命令安装破解后的程序：

?

?