Android 反编译初探 应用是如何被注入广告的
hejack0207
8年前
<h2>一、概述</h2> <p>最近和朋友聊天,发现一些灰色产业链通过批量反编译市场上的apk,然后进行注入广告,再重新打包上渠道。</p> <p>我想大家都不希望自己家的产品或者自己的app那么容易被“占据”,但是想要自身能够防御,首先要知道对方的手段。所以本篇博客的目的不是教大家如何破解别人的app,而是让大家提升安全防御意识,对我们的应用做一些必要的防护,让自己的app不会那么容易被“占领”。</p> <p>因为是初探,也不需要掌握太多的技术,主要是各种工具的使用了~~</p> <h2>二、工具</h2> <p>几个重要的工具,注意使用最新版本。</p> <ul> <li><a href="/misc/goto?guid=4959654904389388747" rel="nofollow,noindex">https://ibotpeaches.github.io/Apktool/</a></li> <li><a href="/misc/goto?guid=4958847400236508335" rel="nofollow,noindex">http://jd.benow.ca/</a></li> <li><a href="/misc/goto?guid=4959675046562019558" rel="nofollow,noindex">https://sourceforge.net/projects/dex2jar/</a></li> </ul> <p>相信就是为了学习,大家或多或少都使用过上述几个工具了:</p> <ul> <li>apktools主要用户反编译和打包;</li> <li>JD-GUI 主要用于对.class文件展示为源码(比如jar文件)</li> <li>dex2jar 主要用于将dex文件转化为jar文件</li> </ul> <p>如果没有的话,自行下载,尽可能的下载最新版本。</p> <p>题目是注入广告,那么我们选择一类广告注入,大多数app都有闪屏广告,那么我们就模拟:反编译一个apk,加入我们的闪屏广告页,然后重新打包。</p> <h2>三、步骤</h2> <p>首先需要准备一个apk,我们随便写一个简单的demo。</p> <pre> <code class="language-java">package com.zhy.decompile; import android.support.v7.app.AppCompatActivity; import android.os.Bundle; public class MainActivity extends AppCompatActivity { @Override protected void onCreate(Bundle savedInstanceState) { super.onCreate(savedInstanceState); setContentView(R.layout.activity_main); } }</code></pre> <p style="text-align:center"><img src="https://simg.open-open.com/show/0814454f4fca6265b8d20a347aebaefe.jpg"></p> <p>app的样子是这样的,凑合截个图,据说没图不利于阅读。</p> <p>然后点击run,拿debug的apk就可以,当然不嫌麻烦可以自己签名拿个混淆的apk,也可以随便下载一个小众的app。</p> <h3>1.反编译一个app</h3> <pre> <code class="language-java">./apktool d app.apk</code></pre> <p style="text-align:center"><img src="https://simg.open-open.com/show/cf40e33d89540065096d5ca69cd311b6.jpg"></p> <p>其中res目录为资源目录,smali目录下可以认为是源码目录,不过都是对应的smali文件。</p> <p>如果你对smali的语法比较清晰,可以直接在代码中添加逻辑。</p> <p>我们这里就算了,不过我们这里可以打开res目录,找到activity_main的布局文件,然后修改里面的字符串为: This is hacked app! ,这里自己玩。</p> <p>对了,我们要注入闪屏广告。</p> <p>思考下,闪屏广告我们可以用Activity来呈现,那么我有个思路是这样的步骤:</p> <ol> <li>编写闪屏广告页的Activity</li> <li>修改AndroidManifest.xml中的入口Activity为我们闪屏页Activity</li> <li>闪屏页面中,3s后跳转到原有的入口Activity</li> </ol> <p>那就搞定了。</p> <p>好像有什么不对的地方,我们这里的源码都是smali格式的,那么闪屏页的Activity我只会java呀,这怎么转化,有什么大力出奇迹的工具么?</p> <p>恩,还真有。</p> <p>工具就是Android Studio,开个玩笑,虽然我们不会,但是我们知道smali文件可以反编译生成,那么我们可以查看反编译apk的包名,然后我们新建一个app,在相同的包名下编写一个闪屏页Activity,然后打包成apk。把这个apk再反编译,提取出闪屏页对应的Smali文件,粘贴到被反编译apk的目录不就好了么。</p> <h3>2. 新建项目(为了Smali文件)</h3> <p>内容如下:</p> <pre> <code class="language-java">package com.zhy.decompile; public class HackAdActivity extends AppCompatActivity { private Handler mHandler = new Handler(Looper.getMainLooper()); private Runnable mCallback = new Runnable() { @Override public void run() { Intent intent = new Intent(); intent.setComponent(new ComponentName("com.zhy.decompile", "com.zhy.decompile.MainActivity")); startActivity(intent); } }; @Override protected void onCreate(Bundle savedInstanceState) { super.onCreate(savedInstanceState); mHandler.postDelayed(mCallback, 3000); } @Override protected void onDestroy() { super.onDestroy(); mHandler.removeCallbacks(mCallback); } }</code></pre> <p>注意包名一定要和原包名一致&先不要使用到布局文件,后面会说~~</p> <p>然后提取出apk,重新进行上面的操作,取到Smali文件。</p> <p style="text-align:center"><img src="https://simg.open-open.com/show/7a75a1529d8a7218937d058b6297d0af.jpg"></p> <p>注意我们的编写方式包含内部类,两个一起copy到反编译app的目录。</p> <p>然后打开AndroidManifest.xml修改入口Activity…</p> <p><img src="https://simg.open-open.com/show/acb08ded6688b8dc04dd29b7b7c2e774.jpg"></p> <p>可以看到入口Activity改为我们新建的Activity了,原来的入口Activity切换为普通Activity了。</p> <p>到这里,我们的文件就修改完毕了。</p> <p>然后我们重新打包,与其打包之后的apk,还可以安装,安装后启动首先是闪屏广告页,然后才是原来的页面。</p> <p>那接下来就是打包了~~</p> <h3>3.打包</h3> <pre> <code class="language-java">./apktool b apk1127 -o app1127_new.apk</code></pre> <pre> <code class="language-java">./apktool b apk1127 -o app1127_new.apk I: Using Apktool 2.2.0 I: Checking whether sources has changed... I: Smaling smali folder into classes.dex... W: Unknown file type, ignoring: apk1127/smali/.DS_Store W: Unknown file type, ignoring: apk1127/smali/com/.DS_Store W: Unknown file type, ignoring: apk1127/smali/com/zhy/.DS_Store I: Checking whether resources has changed... I: Building resources... I: Building apk file... I: Copying unknown files/dir...</code></pre> <p>ok,打包成功后,可以看到一个新的app1127_new.apk。</p> <p>这个apk现在是无法安装的,安装后出现下图结果:</p> <p style="text-align:center"><img src="https://simg.open-open.com/show/5730a30ec839004aa9d256c5dcd668ef.jpg"></p> <p>主要是因为没有签名。</p> <p>那么接下来就开始签名吧~</p> <h3>4.签名</h3> <p>签名的话,我们需要一个签名文件,我们一起来新生成下。</p> <pre> <code class="language-java">keytool -genkey -alias zhy.keystore -keyalg RSA -validity 20000 -keystore zhy.keystore</code></pre> <p>然后按照提示往下输入即可。</p> <p>当然如果你嫌命令太难记,你也可以利用Android Studio进行可视化生成一个:</p> <p>点击Build:</p> <p style="text-align:center"><img src="https://simg.open-open.com/show/4b8c21d449d036c9ae4b2272380d8efd.jpg"></p> <p style="text-align:center"><img src="https://simg.open-open.com/show/6e6183415c7124938497957ea8a41b3e.jpg"></p> <p>选择create New,然后在弹出面板填写就行了,你肯定会填。</p> <p>有了keystore之后呢,我们可以利用新生成的keystore来签名我们刚才hack的apk。</p> <pre> <code class="language-java">jarsigner -verbose -sigalg SHA1withRSA -digestalg SHA1 -keystore zhy.keystore -storepass 123456 app1127_new.apk zhy.keystore</code></pre> <p>记得上述代码弄成一行去执行:</p> <p>上面的options其实并不多,文件路径,密码,别名呀什么的,应该可以看明白,有兴趣可以详细的搜索下相关文件。</p> <p>签名完成之后一般就可以安装了,不过我们一般还会做一个对齐操作。</p> <h3>5.对齐</h3> <pre> <code class="language-java">zipalign 4 app1127_new.apk app1127_new_align.apk</code></pre> <p>此刻运行:</p> <p style="text-align:center"><img src="https://simg.open-open.com/show/443bef085351cd4e3ee01702271d58b9.gif"></p> <p>原本只有一个页面,可以看到现在被我们注入了一个 I am ad 的页面。</p> <p>当然了,如果你是一路模拟过来的,因为前面说了,先不要使用资源,所以你应该能看出页面的跳转,但是并Ad页面并没有布局文件。</p> <p>下面我们来说使用布局文件。</p> <h2>四、使用布局文件</h2> <p>HackAdActivity中添加一行:</p> <pre> <code class="language-java">setContentView(R.layout.ad);</code></pre> <p>还是刚才的活,重新反编译copy Smali文件,并且把ad这个layout复制到想要注入的app的反编译后的文件夹中。</p> <p>然后是不是打包就好了呢?</p> <p>当然不是,如果是,刚才就直接说好了。我们在写代码的时候,都知道会生成一个R.layout.ad,那么这个值,在原本的app里面肯定是没有的(不考虑重名情况)。</p> <p>所以,我们需要手动加入进去:</p> <p>打开 R$layout.smali 文件:</p> <p><img src="https://simg.open-open.com/show/338162c89fc0aa7e1032b6168e0e0374.jpg"></p> <p>我们在最后添加一个ad的资源id:</p> <pre> <code class="language-java">.field public static final ad:I = 0x7f04002e</code></pre> <p>然后保存退出。</p> <p>别急着打包…</p> <p>这里定义完了,我们的HackAdActivity.smali中还需要修改呢。</p> <p>你别说smali文件里面我看不懂怎么改?</p> <p>改个id还是可以的。</p> <p><img src="https://simg.open-open.com/show/07fa8d0edc014ac4cd1d234dc8801d4b.jpg"></p> <p>找到setContentView前一行,是不是还蛮容易定位的。</p> <p>改完之后,重新打包、签名、对齐就ok了~~</p> <p>如果你使用了更多的资源,记得基本都要处理。</p> <h2>五、总结</h2> <p>那么到这里就完成了反编译一个apk,然后往里面注入一个新的Activity并且可以自定义这个布局文件,至于这个Activity能看什么事大家肯定都明白。</p> <p>但是,但是,我们的目的并不是让大家去反编译人家的apk,而是知道我们的apk能够被别人这么玩。</p> <p>所以要思考的是:</p> <pre> <code class="language-java">如何预防这种行为呢? 欢迎留言说说如何预防?</code></pre> <p> </p> <p> </p> <p>来自:http://blog.csdn.net/lmj623565791/article/details/53370414</p> <p> </p>