Android APK逆向解析
众所周知,Android系统是开源的,运行其上的Android应用APK即Android Package也是可以通过各种工具进行反编译或者逆向工程,从而可以对其他APP进行研究或者借鉴学习,亦或从APK中获取相关信息(比如清单文件AndroidManifest.xml里面的package、versionName和versionCode等等)。
Android的构建流程
要真正进行Android反编译和逆向,首先需要对Android的编译和构建过程有一个大致的了解。因为反编译和编译的过程是相逆的。本文从Android开发者官网摘取了关于Android构建的描述,详细信息请参见Android构建流程。
构建流程涉及许多将您的项目转换成 Android 应用软件包 (APK) 的工具和流程。构建流程非常灵活,因此了解它的一些底层工作原理会很有帮助。典型Android应用模块的构建流程如下图所示:
如上图所示,典型 Android 应用模块的构建流程通常依循下列步骤:
- 编译器(这里涉及到JDK、aapt等工具)将您的源代码转换成 DEX(Dalvik Executable) 文件(其中包括运行在 Android 设备上的字节码),将所有其他内容转换成已编译资源。
- APK 打包器将 DEX 文件和已编译资源合并成单个 APK。不过,必须先签署 APK,才能将应用安装并部署到 Android 设备上。
- APK 打包器使用调试或发布密钥库签署您的 APK:
- a.如果您构建的是调试版本的应用(即专用于测试和分析的应用),打包器会使用调试密钥库签署您的应用。Android Studio 自动使用调试密钥库配置新项目。
- b.如果您构建的是打算向外发布的发布版本应用,打包器会使用发布密钥库签署您的应用。要创建发布密钥库,请阅读在 Android Studio 中签署您的应用。
- 在生成最终 APK 之前,打包器会使用 zipalign 工具对应用进行优化,减少其在设备上运行时的内存占用。
Android APK逆向解析
首先,要对APK文件进行分析,需要了解APK文件的结构。其实APK文件就是一个zip文件,所以采用解压缩软件可以查看里面的子项。典型的APK文件的解压缩视图如下:
classes.dex:classes.dex是java源码编译后生成的java字节码文件(非传统JVM解释执行的class字节码)。但由于Android使用的dalvik虚拟机与标准的java虚拟机是不兼容的,dex文件与class文件相比,不论是文件结构还是opcode都不一样。Android模拟器中提供了一个dex文件的反编译工具,dexdump。用法为首先启动Android模拟器,把要查看的dex文件用adb push上传的模拟器中,然后通过adb shell登录,找到要查看的dex文件,执行dexdump xxx.dex(或者从压缩文件取出dex文件,直接在PC上面找到dexdump.exe的路径,然后执行命令)。另外Dedexer是一个反编译dex文件的开源工具,需要自己编译源代码。而当前,还有比如dex2jar(https://github.com/pxb1988/dex2jar)甚至封装好的GUI的工具(比如安卓逆向助手等等,可网上搜索下载)可以反编译dex文件为jar文件,再利用jd-gui(http://jd.benow.ca/)工具打开jar文件,就可以阅读java源代码了。
resources.arsc:编译Android资源文件后的生成的二进制文件,resources.arsc有固定的格式,包括了资源索引和字符串资源池等,详细可参见resources.arsc解析
AndroidManifest.xml:清单文件,该文件是每个应用都必须定义和包含的,它描述了应用的名字、版本、权限、引用的库文件等等信息,如要把apk上传到Google Market上,也要对这个xml做一些配置。在apk中的AndroidManifest.xml是经过编译的,即是二进制格式,如果直接用编辑器打开,显示会是乱码。因此需要先进行反编译处理,得到原始的AndroidManifest.xml文件。可以通过AXMLPrinter2或aapt工具解开或解析,具体命令为:java -jar AXMLPrinter2.jar AndroidManifest.xml
assets:assets目录可以存放一些配置文件(比如webview本地资源、图片资源、音视频等等),不会经过编译,和原始工程里面的文件是一致的,这些文件的内容在程序运行过程中可以通过相关的API(android.content.res.AssetManager)获得。
lib:lib目录下的子目录存放的是一些与手机CPU架构对应的C/C++代码编译生成的so文件,一般用于JNI开发。
META-INF:META-INF目录下存放的是签名信息,用来保证apk包的完整性和系统的安全。在eclipse编译生成一个apk包时,会对所有要打包的文件做一个校验计算,并把计算结果放在META-INF目录下。这就保证了apk包里的文件不能被随意替换。比如拿到一个apk包后,如果想要替换里面的一幅图片,一段代码, 或一段版权信息,想直接解压缩、替换再重新打包,基本是不可能的。如此一来就给病毒感染和恶意修改增加了难度,有助于保护系统的安全。
res:res目录存放经过编译后的资源文件,虽与原始工程目录下的res目录层次结构类似,但是实际上是经过编译处理的,只有图片资源和原始工程是一致,其他类型的资源则是编译处理过,无法直接查看。
从上面对APK内部文件的分析来看,要想反编译或者逆向工程获取信息,其实主要涉及两个方面,一是对classes.dex反编译,转换成jar或者smali等,可以利用dex2jar(https://github.com/pxb1988/dex2jar)等工具生成jar,二是结合resources.arsc和res对资源进行反编译,从而得到原始的资源文件。本文罗列平时工作和搜集到的一些常见的Android APK反编译和逆向分析工具,对工具的使用不做过多阐述,关于各个工具的详细使用和技巧,可以参见下文中提及的工具的官方链接。
全能型选手-apktool
apktool可以对Android APK直接进行反编译(也可以在反编译得到的目录基础上进行回编,生成apk)。其是Android领域反编译最常用的开源工具,虽然有商业级的反编译工具Jeb(https://www.pnfsoftware.com/),但鉴于收费且不开源,更多的程序开发者则选择apktool,其官方链接:https://ibotpeaches.github.io/Apktool/。
Note:apktool反编译之后,得到是目录和文件,因此适用于需要对原始文件和代码进行分析的场景。dex通过apktool依赖的backsmali工具反编译之后得到的是smali文件,关于smali/backsmali可以参见https://github.com/JesusFreke/smali
jadx
可以将dex文件和apk文件反编译成可阅读的格式,主要涉及java代码和AndroidManifest.xml查看。jadx的github链接地址为https://github.com/skylot/jadx。适用场景:可以用于快速查看APK内的java代码和清单文件内容。
ClassyShark
google官方为Android开发者推出的独立的二进制文件检查工具,因此其权威性和强大毋庸赘言,且得到较好的维护和更新。其github地址为:[https://github.com/google/android-classyshark] ,其支持多种文件格式的解析,包括:库文件 (.dex, .aar, .so), 可执行文件 (.apk, .jar, .class) 和所有的Android二进制XML格式文件如AndroidManifest, resources, layouts等等。另外,很重要的一点,其能分析得出dex文件里面包含的方法数,这对于Android一个著名的问题(方法数超限65535,见https://developer.android.com/studio/build/multidex.html)的解决很有帮助。
AXMLParser
AXMLParser仅仅是用于解析APK里面的二进制AndroidManifest.xml,从而得到与原始工程里的AndroidManifest.xml内容一致的可读xml。较轻量级,适用于只想查看和AndroidManifest.xml里面包含的信息,比如包名package,versionCode和versionName,启动Activity等。其原始链接和下载地址为:https://code.google.com/archive/p/xml-apk-parser/
Note:该工具很久没有更新了
AAPT(aapt)
Android SDK中自带的appt工具(位于%ANDROID_HOME%\build-tools\%Android version%\aapt.exe,API Level 24及以后版本新增了aapt2,即%ANDROID_HOME%\build-tools\%Android version%\aapt2.exe。其中%ANDROID_HOME%
是Android SDK的安装目录,%Android version%
表示构建版本,完整示例比如"F:\Android\sdk\build-tools\27.0.0\aapt.exe"
),其实构建APK的过程中,aapt工具起到了非常关键的作用,比如将原始资源等进行编译,生成R.id等。反过来,aapt也可以用于解析APK,包括清单文件AndroidManifest.xml中的信息。appt工具的功能很强大,子命令和参数非常丰富,具体可以进入%ANDROID_HOME%\build-tools\%Android version%
目录,然后在该目录的命令行输入:
cd
%ANDROID_HOME%\build-tools\%Android version%
然后
appt
可得到下面提示(这里重点说明aapt解析zip,jar,apk的命令使用方式。主要使用到appt的两个子命令list和dump,命令的使用请多实践或查阅命令帮助,这里不详细赘述):
示例1:读取APK的包名(Windows下可以使用findstr对输出信息过滤,linux则是grep。从而对信息进行过滤筛选,比如包名packageName)
aapt list -v -a D:\UserProfiles\CoulsonChen\Desktop\QR.apk | findstr package
示例2:读取APK的packageName、versionCode、applicationLabel、launcherActivity、permission等各种详细信息(可以使用findstr对输出信息过滤,关注某一个具体的内容,比如包名packageName)
aapt dump badging D:\UserProfiles\CoulsonChen\Desktop\QR.apk
aapt dump badging D:\UserProfiles\CoulsonChen\Desktop\QR.apk | findstr launchable-activity
通过aapt方式解析APK,需要熟悉命令的使用,也比较繁琐。但好处在于可以将其封装进脚本,用于编写自动化工具去解析和执行,这对于构建自动化测试或者自动打包流程等非常有用,而不依赖于GUI。
新版Android studio(对应于Android SDK里面附带的命令行工具apkanalyzer)
Android studio 2.x及更新版本提供了一个新功能,可以分析APK文件,得到dex的方法数,查看清单文件等。如下图所示:
而实际上,在底层,就是调用Android SDK tools里面附带的apkanalyzer工具,位于$android_sdk/tools/bin/apkanalyzer
,其中$android_sdk
表示Android sdk的安装目录。而apkanalyzer真正的逻辑在$android_sdk/tools/lib/apkanalyzer-cli.jar
和$android_sdk/tools/lib/apkanalyzer.jar
两个jar包中实现,可以用jd-gui等类似工具查看其java源码,学习里面的实现方法。有了apkanalyzer工具,也可以用命令行或者用脚本语言封装,从而在自动化开发或者其他分析场景使用。apkanalyzer工具可以在Android开发者官网找到说明文档。