Android逆向分析之APKTool

由于刚踏入Android逆向分析领域，因此有许多的不懂，所以得不断地去学习。

因为是入门，我又有一定的Android应用开发基础，所以先从一些简单工程的反编译开始入手，先了解一些反编译所用到的工具。

上一次写博客，记录了反编译工具dex2jar和jd-gui 的使用，这次继续记录另一款比较强大的反编译工具APKTool。

该工具的使用方法很简单，只需要在dos控制台里输入apktool  d  xxx.apk 则可以在当前文件夹生成一个装有该APK的smali文件夹。

通过记事本可打开smali文件，可以看到一套以smali语法写的编码，实际上就是android虚拟机Dalvik的汇编语言。

算了，本人语言表达技术不好，还是直接上图清晰明了：

第一步，编写一个简单的应用工程，并打包APK，用于下面的反编译（直接用上一次博客中用到的登录界面应用）：

MainActivity.java:

public class MainActivity extends Activity {    private final String ACCOUNT="samuel";    private final String PASSWORD="123456";    private EditText etAccount, etPassword;    private Button btnLogin;    @Override    protected void onCreate(Bundle savedInstanceState) {        super.onCreate(savedInstanceState);        setContentView(R.layout.activity_main);        etAccount=(EditText)findViewById(R.id.et_account);        etPassword=(EditText)findViewById(R.id.et_password);        btnLogin=(Button)findViewById(R.id.btn_login);        btnLogin.setOnClickListener(new View.OnClickListener() {            @Override            public void onClick(View v) {                if(isOK(etAccount.getText().toString(), etPassword.getText().toString())){                    Toast.makeText(MainActivity.this, "登录成功", Toast.LENGTH_SHORT).show();                }else{                    Toast.makeText(MainActivity.this, "登录失败", Toast.LENGTH_SHORT).show();                }            }        });    }    private boolean isOK(String account, String password){        if(account.equals(ACCOUNT) && password.equals(PASSWORD))            return true;        else            return false;    }}

布局文件：

<RelativeLayout xmlns:android="http://schemas.android.com/apk/res/android"    xmlns:tools="http://schemas.android.com/tools"    android:layout_width="match_parent"    android:layout_height="match_parent">    <LinearLayout        android:layout_width="match_parent"        android:layout_height="wrap_content"        android:orientation="vertical"        android:layout_centerInParent="true">        <LinearLayout            android:layout_width="match_parent"            android:layout_height="wrap_content"            android:gravity="center_horizontal"            android:orientation="horizontal">            <TextView                android:layout_width="wrap_content"                android:layout_height="wrap_content"                android:text="帐号:"/>            <EditText                android:id="@+id/et_account"                android:layout_width="100dp"                android:layout_height="wrap_content" />        </LinearLayout>        <LinearLayout            android:layout_width="match_parent"            android:layout_height="wrap_content"            android:gravity="center_horizontal"            android:orientation="horizontal">            <TextView                android:layout_width="wrap_content"                android:layout_height="wrap_content"                android:text="密码:"/>            <EditText                android:id="@+id/et_password"                android:layout_width="100dp"                android:layout_height="wrap_content" />        </LinearLayout>        <Button            android:id="@+id/btn_login"            android:layout_width="wrap_content"            android:layout_height="wrap_content"            android:layout_gravity="center_horizontal"            android:text="登录"/>    </LinearLayout></RelativeLayout>

第二步，下载APKTool，下面底部附有下载连接：

第三步，dos下cd到APKTool的位置，再输入apktool  d  login.apk，回车进入反编译，完了后在当前文件夹下生成login文件夹，该文件夹里有smali文件：

第四步，用记事本打开login->smali中的LoginActivity.smali：

.class public Lcom/samuelzhan/logintest/LoginActivity;.super Landroid/app/Activity;# instance fields.field private final a:Ljava/lang/String;.field private final b:Ljava/lang/String;.field private c:Landroid/widget/EditText;.field private d:Landroid/widget/EditText;.field private e:Landroid/widget/Button;# direct methods.method public constructor <init>()V    .locals 1    invoke-direct {p0}, Landroid/app/Activity;-><init>()V    const-string v0, "samuel"    iput-object v0, p0, Lcom/samuelzhan/logintest/LoginActivity;->a:Ljava/lang/String;    const-string v0, "123456"    iput-object v0, p0, Lcom/samuelzhan/logintest/LoginActivity;->b:Ljava/lang/String;    return-void.end method.method static synthetic a(Lcom/samuelzhan/logintest/LoginActivity;)Landroid/widget/EditText;    .locals 1    iget-object v0, p0, Lcom/samuelzhan/logintest/LoginActivity;->c:Landroid/widget/EditText;    return-object v0.end method.method static synthetic a(Lcom/samuelzhan/logintest/LoginActivity;Ljava/lang/String;Ljava/lang/String;)Z    .locals 1    invoke-direct {p0, p1, p2}, Lcom/samuelzhan/logintest/LoginActivity;->a(Ljava/lang/String;Ljava/lang/String;)Z    move-result v0    return v0.end method.method private a(Ljava/lang/String;Ljava/lang/String;)Z    .locals 1    const-string v0, "samuel"    invoke-virtual {p1, v0}, Ljava/lang/String;->equals(Ljava/lang/Object;)Z    move-result v0    if-eqz v0, :cond_0    const-string v0, "123456"    invoke-virtual {p2, v0}, Ljava/lang/String;->equals(Ljava/lang/Object;)Z    move-result v0    if-eqz v0, :cond_0    const/4 v0, 0x1    :goto_0    return v0    :cond_0    const/4 v0, 0x0    goto :goto_0.end method.method static synthetic b(Lcom/samuelzhan/logintest/LoginActivity;)Landroid/widget/EditText;    .locals 1    iget-object v0, p0, Lcom/samuelzhan/logintest/LoginActivity;->d:Landroid/widget/EditText;    return-object v0.end method# virtual methods.method protected onCreate(Landroid/os/Bundle;)V    .locals 2    invoke-super {p0, p1}, Landroid/app/Activity;->onCreate(Landroid/os/Bundle;)V    const v0, 0x7f040019    invoke-virtual {p0, v0}, Lcom/samuelzhan/logintest/LoginActivity;->setContentView(I)V    const v0, 0x7f0c0050    invoke-virtual {p0, v0}, Lcom/samuelzhan/logintest/LoginActivity;->findViewById(I)Landroid/view/View;    move-result-object v0    check-cast v0, Landroid/widget/EditText;    iput-object v0, p0, Lcom/samuelzhan/logintest/LoginActivity;->c:Landroid/widget/EditText;    const v0, 0x7f0c0051    invoke-virtual {p0, v0}, Lcom/samuelzhan/logintest/LoginActivity;->findViewById(I)Landroid/view/View;    move-result-object v0    check-cast v0, Landroid/widget/EditText;    iput-object v0, p0, Lcom/samuelzhan/logintest/LoginActivity;->d:Landroid/widget/EditText;    const v0, 0x7f0c0052    invoke-virtual {p0, v0}, Lcom/samuelzhan/logintest/LoginActivity;->findViewById(I)Landroid/view/View;    move-result-object v0    check-cast v0, Landroid/widget/Button;    iput-object v0, p0, Lcom/samuelzhan/logintest/LoginActivity;->e:Landroid/widget/Button;    iget-object v0, p0, Lcom/samuelzhan/logintest/LoginActivity;->e:Landroid/widget/Button;    new-instance v1, Lcom/samuelzhan/logintest/a;    invoke-direct {v1, p0}, Lcom/samuelzhan/logintest/a;-><init>(Lcom/samuelzhan/logintest/LoginActivity;)V    invoke-virtual {v0, v1}, Landroid/widget/Button;->setOnClickListener(Landroid/view/View$OnClickListener;)V    return-void.end method

对比一下MainActivity.java里的源代码，其实Dalvik汇编语言还是比较好理解的。

第五步，修改smali文件，让登录系统无论帐号密码是否正确，均可以实现登录成功，即破解：

修改返回值，让它只返回0x1，即true

第六步，重新打包：

在dos下，cd到apktool.jar当前的位置，输入apktool  b  <刚刚反编译生成文件夹的路径>

反编译后和打包后的login文件夹会多出两个文件夹，dist里有打包后的apk

第七步，因为反编译后签名被破坏，需要重新签名才能在手机上安装：

签名工具很多，我这里使用的是Auto-sign，下面附加下载

用记事本打开批处理文件Sign.bat，并修改

修改后保存，并运行Sign.bat文件

多出一个已签名的APK，至此反编译修改smali文件重新打包的工作基本已完成，现在验证一下，是否输入任意的帐号密码也能显示登录成功。

效果图：

本来输入的帐号密码应该是 samuel   123456，现在随便输入都可以显示“登录成功”提示字符，说明破解成功了~

工具下载：APKTool & Auto-sign