Android软件越来越多的走向免费加广告模式了,但在我们日常应用中,还是不乏一些收费应用,一部分通过Market收费下载,另一部分将收费部分放到了软件的实现中,我们今天要讨论的就是后者,就我见到的一部分Android软件中,它们有通过序列号验证的,有通过Linsence绑定的,更有甚者是通过网络激活验证的,那它们的安全措施都有哪些?如何分析并破解它们?这将是这篇文章将要讲到的。 破解工具介绍 下表列举出了破解Android程序时可能会用到的工具: 工具名称 用途 AXMLPrinter2.jar dex-translator JD-GUI.exe DeDexer 用来解密输出APK中加密的XML文件包含dex2jar可以将APK中的classes.dex生成相应的JAR文件查看dex2jar生成的JAR文件(源码级显示,不过不太准确) DEX文件反编译工具,使用Jasmin格式Smali,BakSmali DEX文件编译与反编译工具,使用smali格式 EditPlus IDA Pro Apktool 查看及编辑反汇编后的文件 DEX反编译查看工具,可用来查找DEX文件补丁位置集成了Smali与BakSmali,编译与反编译DEX更方便Eclipse,ADT插件编译Android补丁或测试程序 Netbeans AndBug 配合ApkTool单步调试Smali文件APK调试工具(只支持Linux平台) Android SDK 这个开发与测试APK都需要,ADB,AAPT,DDMS经常要用到Jarsigner.exe.,对APK进行签名(JDK的Bin目录下) keytool.exe ApkTool_GUI 这个现在用的人比较多,集成了反编译、编译、签名功能于一体 Android设备 测试程序用,没有的话模拟器或Android-x86(Android的PC版)也行. 这些工具经常配合在一起使用来反编译与编译APK文件,但ApkTool_GUI的出现将这些繁琐的工作化繁为简。EditPlus主要用来高亮显示查看生成的反编译文件,为此我制作了Editplus的高亮语法文件一起打包给大家。DeDexer与BakSmali是目前广泛使用的两款DEX反编译工具,两个工具在语法上有细微的差别,我们在下面会此进行比较。 Dalvik VM & OpCodes 如同破解Windows程序需要掌握Windows程序特点一样,破解Android平台的程序需要先掌握Android程序开发的一些基本知识,一般的程序破解不需要深入的了解Android程序的开发,不过对于Android程序的运行机制应该有个大致的了解,完全不懂Android程序开发的朋友还是先打打基础吧!在Windows程序的调试时代,破解者将需要分析的程序载入Ollydbg之类的调试器中,在成千上万条汇编指令中寻找突破点,MASM语法的汇编自己也成为解密者需要掌握的基础,而我们要想熟练的分析Android程序,就必须要掌握Dalvik虚拟机的指令,听到虚拟机可能一部分人开始发怵了,其实Dalvik虚拟机与我们常说的Windows平台的VM虚拟机有着很大的区别,下面我们来看看什么是Dalvik虚拟机指令是何方神圣,它在Android程序破解中又有着怎样的地位? Dalvik虚拟机是专门为 Android平台上的程序运行而设计的一种代码运行机制,它主要的作用是对JAVA程序的ByteCode进行优化,以提高代码执行效率。可以说,从Android2.2版本开始,Android系统手机真正的拉开了市场,这背后很大一部分功劳要取决于强大的Dalvik JIT编译器,正是由于它大幅提升Android2.2的各种性能。与传统的Java虚拟机(JVM)基于栈有所不同,Dalvik是基于寄存器的虚拟机,这使得它们在编译的时候只需花费更短的时间。DalvikJIT解释的JAVAByteCode源于JVM而又优于JVM,在JAVA虚拟机中,代码是基于Method方式来运行解释编译的,而在Android2.2版本及以后的DalvikJIT则是基于 Trace解释编译的,Dalvik最多支持256个寄存器,但嵌入式CPU自身并不带那么多的寄存器,Dalvik除了使用ARM本身的几个寄存器外,其它需要用到的寄存器会借用外部存储器来模拟,那Android程序运行时会用到多少个寄存器呢?答案是不确定的,它会在生成代码时进行计算。在这里,我们不去详细的探究 Dalvik的运行机制,但掌握Dalvik指令的语法为以后的逆向工程做基础却是十分有必要的。一份详细的 Dalvik opcodes表可以从Android源码中获得,在 Android4.0的源码中,可以从dalvik/opcode-gen/bytecode.txt查看到完整支持的OpCodes ,在dalvik/docs/dalvik-bytecode.html中可以找到Dalvik OpCodes的详细说明。早期的OpCodes使用一个字节就可以保存,意味着最多可以有256条指令,在最新的一份OpCodes列表中,OpCodes扩展了一字节,并扩充了一些指令。下面我们来看看Dalvik指令的格式,毕竟我们要看的不是这些OpCodes,而是由它们在一起组成的代码。新建一个Android工程命名为HelloAndroid,HelloAndroidActivity.java文件使用默认生成的代码: package cn.feicong.HelloAndroid; import android.app.Activity; import android.os.Bundle; public class HelloAndroidActivity extends Activity { /** Called when the activity is first created. */ @Override public void onCreate(Bundle savedInstanceState) { super.onCreate(savedInstanceState); setContentView(R.layout.main); } } 编译生成APK文件,接下来看看反编译后的结果。 首先是DeDexer,进入命令行并定位到HelloAndroid/bin目录下,在命令行下运行java-jar ddx.jar -d outdir classes.dex (可从下载DeDexer)会在outdir目录中生成六个ddx文件,如图1所示:
图 1 打开HelloAndroidActivity.ddx文件代码如下: .class public cn/feicong/HelloAndroid/HelloAndroidActivity .super android/app/Activity .source HelloAndroidActivity.java .method public <init>()V .limit registers 1 ; this: v0 (Lcn/feicong/HelloAndroid/HelloAndroidActivity;) .line 6 invoke-direct {v0},android/app/Activity/<init> return-void ; <init>()V .end method .method public onCreate(Landroid/os/Bundle;)V .limit registers 3 ; this: v1 (Lcn/feicong/HelloAndroid/HelloAndroidActivity;) ; parameter[0] : v2 (Landroid/os/Bundle;) .line 10 invoke-super {v1,v2},android/app/Activity/onCreate ; onCreate(Landroid/os/Bundle;)V .line 11 const/high16 v0,32515 invoke-virtual {v1,v0},cn/feicong/HelloAndroid/HelloAndroidActivity/setContentView ; setContentView(I)V .line 12 return-void .end method .class是程序的类名,.super为它的父类,.source为源文件。.method表示是一个类的方法,后面的大写'V'表示Void,即无返回值,<init表示是构造函数,.limitregisters 1表示用到了一个寄存器,分号后面是注释,.line表示行号,可有可无,invoke-direct与return-void是Dalvik的OpCode,前者调用一个类的方法,后者直接返回。看看 BakSmali的反编译代码,运行 apktool.jar d HelloAndroid.apk outdir2在outdir2目录会生成一个smali目录,同样在相应的目录会生成六个Smali结尾的文件,如 图2所示:
图 2 打开HelloAndroidActivity..smali文件代码如下: .class public Lcn/feicong/HelloAndroid/HelloAndroidActivity; .super Landroid/app/Activity; .source "HelloAndroidActivity.java" # direct methods .method public constructor <init>()V .locals 0 .prologue .line 6 invoke-direct {p0}, Landroid/app/Activity;-><init>()V return-void .end method # virtual methods .method public onCreate(Landroid/os/Bundle;)V .locals 1 .parameter "savedInstanceState" .prologue .line 10 invoke-super {p0, p1}, v0}, Landroid/app/Activity;->onCreate(Landroid/os/Bundle;)V .line 11 const/high16 v0, 0x7f03 invoke-virtual {p0, Lcn/feicong/HelloAndroid/HelloAndroidActivity;->setContentView(I)V .line 12 return-void .end method 可以看出Smali文件的内容与ddx文件内容差别不是很大,ddx文件中有一些寄存器跟踪信息,用注释标了出来,而Smali则只对条件判断进行寄存器跟踪,ddx使用十进制表示数值,Smali则使用十六进制(Android资源ID也使用十六进制,我们搜索起来更方便),其它的不做太多比较了,不过目前使用Smali格式来分析DEX文件的人占多数,这一方面因为它代码漂亮,回编成功率高,更重要的是它能与Netbeans配合对Smali进行单步调试!!这不能不说是一个大亮点,详细的内容不是这篇文章的重点,可能以后会跟大家讨论。 上面的介绍部分就到这里了,下面正式进行实战破解环节。Let's GO! 破解实战 先说说APK的一般破解步骤, 1.对APK进行反编译。 2.对反编译的Smali文件进行分析或调试。 3.找到突破口,对 Smali文件进行修改。(还有一种方法,更高效,我正在测试中,成功后与大家分享) 4.回编生成破解后的DEX文件。 5.重新打包生成APK并签名。 6.测试效果,不成功转到第二步操作。 试炼品我选择了国内著名公司金山出品的WPS Android4.0.3版,此版本的WPS是一个限制试用版,在安装运行后程序会提示软件过期。而目前最新的WPS已经免费了(可能并不好卖,呵呵)。 先安装运行程序,观察它的运行状态,执行这个软件会给出如图3的提示:
图 3 程序很大方的结出提示说已经过期了,我们点击更新即可以升级到最新版(在这里,我们就不升级了,因为升级后是免费的,对于我们练手就没搞头了),我们点击取消,程序退出。 下面我们对这个APK文件进行反编译。使用ApkTool_GUI,运行如图4:
将APK拖到第一个编辑框中,点击反编译APK,稍等片刻解压完成后会生成与文件名同名的文件夹,进入里面可以发现多出了一个smali文件夹,这个文件夹里面存放的就是我们需要分析的 Smali文件。我们双击打开,可以发现里面竟然有几个文件夹及几千个smali文件!!我首次打开时也吃了一惊,如此多的文件让人怎么分析啊(大家可以发怵一下),如图5所示:
图 5 而且每个文件的文件名也很诡异,全是一些a-z的字母组合,打开任意一个smali文件看看,发现里面的方法名也是如此。分析过C#程序的人可能会觉得这里似乎很类似,是的,这些代码如同 C#程序里面的混淆器混淆过一样,在 Android程序开发的 SDK中,提供了一套名叫 Proguard的代码保护机制,它的作用就是通过随机化改变类中的方法及变量名,去除无用的虚方法、注释等手段让代码变得难以阅读,以此来达到保护程序的目的,在这里可能很多人再次发怵,本来就没弄过Android程序,现在一上来就是个混淆过的款,叫人怎么活啊!不要急,其实,被Proguard混淆过的代码还是有办法弄的,如有主要的几个类,如Service、Activity等类名是不能被混淆的,不过这不是我们今天要讲的重点。 我们接着分析,回想一下,我们在安装运行程序时,程序弹出了一个Message,想想我们在OD中破解Windows程序时用到的字符串参考,在这里是否可用呢?回答是:可以!我们在编译Android程序时,定义的字符串都保存在一个名收Strings.xml的文件中,编译生成APK后它也被加密打包到程序中了,而程序通过为每个字符串分配一个ID来进行调用,这些 ID被保存在 public.xml文件中。我们在刚才反编译的 XML文件中找找就可以发现在res/values下有这两个文件,我们打开strings.xml并查找之,很快可以发现如下两行: <string name="expired_title">产品过期</string> <string name="expired_message"> 这是一个有使用期限的版本,从2012年1月1日开始此版本已过期,请确保网络通畅,并立即检查升级。</string>这两行字符串正是前面运行程序时弹出的 MessageBox的标题与文字。我们在这里记下它们的名字为expired_title与 expired_message。打开 strings.xml文件查找expired_title与expired_message则可以找到下面两行: <public type="string" name="expired_title" id="0x7f060166" /> <public type="string" name="expired_message" id="0x7f060167" /> 找到了这两个ID就好办了,我们下面来看看Android程序中是如何构建一个字符串的,修改刚才的HelloAndroid代码如下: public class HelloAndroidActivity extends Activity { /** Called when the activity is first created. */ @Override public void onCreate(Bundle savedInstanceState) { super.onCreate(savedInstanceState); setContentView(R.layout.main); ShowString(); } public void ShowString(){ String str = getString(R.string.hello); Toast.makeText(getApplicationContext(), str,Toast.LENGTH_SHORT).show(); } } 重新生成APK后并编译代码如下: # virtual methods .method public ShowString()V .locals 3 .prologue .line 16 const/high16 v1, 0x7f04 invoke-virtual{p0,v1}, Lcn/feicong/HelloAndroid/HelloAndroidActivity;->getString(I)Ljava/lang/String; move-result-object v0 .line 17 .local v0, str:Ljava/lang/String; invoke-virtual {p0}, Lcn/feicong/HelloAndroid/HelloAndroidActivity;->getApplicationContext()Landroid /content/Context; move-result-object v1 const/4 v2, 0x0 invoke-static 声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系 [邮箱地址] 删除 |