《CTF特训营》学习笔记——APK逆向基础

目录

一、Android基本架构

1.Android操作系统基本分层

2.Dalvik虚拟机层

3.Native层

二、ARM架构基础

1.基本架构介绍

2.工作状态

3.函数调用和转跳指令

4.出栈入栈指令

5.保存/恢复寄存器的值

三、abd

四、APK文件格式

---

一、Android基本架构

1.Android操作系统基本分层

一般由4层，Linux内核层，系统运行层，应用框架层和应用层，从开发人员的角度来讲，一个Android应用可以分为两个部分：一部分使用java来实现，也称为Dalvik虚拟机层，一部分使用C/C++实现，也称为Native层。

2.Dalvik虚拟机层

Android应用虽然可以使用Java开发，但是Android应用却不是运行在标准Java虚拟机上的，而是运行在谷歌专门为Android开发的Dalvik虚拟机上，虽然Android从5.0开始默认使用ART虚拟机，抛弃了Dalvik虚拟机，但是Dalvik虚拟机任然很重要，尤其是对DEX文件的反编译。

Dalvik虚拟机中运行的是Dalvik字节码，并不是Java字节码，所有的Dalvik字节码均由Java字节码转换而来，并打包成一个DEX可执行文件。Dalvik虚拟机有一套自己的指令集，以及一套专门的Dalvik汇编代码。

3.Native层

Android既可以使用Java开发，也可以用C/C++结合，甚至可以使用纯C/C++开发，使用C/C++开发的代码会形成一个so文件，会在Android应用运行时加载到内存中。这与x86平台中Linux加载so库的方式非常独特，唯一不同的是Native蹭的函数与Dalvik层的函数进行关联，使得Native层的函数在Dalvik层中可以很方便地调用。

二、ARM架构基础

1.基本架构介绍

ARM处理器一共有37个32位的寄存器，31个通用寄存器，6个为状态寄存器，共7种运行模式，除用户模式之外，其余6种称为特权模式，Android应用主要在用户模式下运行。

用户模式下，处理器可访问寄存器为不分组寄存器R0-R7，分组寄存器R8-R14、程序计数器R15(PC)以及当前程序状态寄存器CSPSR。

2.工作状态

有两种，ARM状态和Thumb状态，处理器可以在这两种状态下随意切换，区别在：ARM状态下会执行32位对齐的ARM指令，而在Thumb状态时，，主要执行16位对齐的Thumb指令。处理器判断当前的状态的主要标志是程序状态寄存器CPSR中的T标志，当T位为1时，处理器处于Thumb状态，反之为ARM状态。两种状态下寄存器命名有所不同：

两种状态下的R0-R7与CPSR相同。

通过实例来介绍一下为什么ARM有两种状态，加入有一个这样的函数：

int func (int i,int j)
{
	int x = i + j - i / j * 3;
	printf("%d\n",x );
	return x;
}

通过ARM交叉编译工具编译以后的结果：

 可以看出，ARM的汇编代码与intel x86的汇编代码非常相似，参数都是采用从目标到源的方式，汇编指令也比较相似。

3.函数调用和转跳指令

在ARM汇编当中，函数调用和转跳指令都可以使用b系列指令，常见的有b,bx,bl,blx，其中x的指令表示根据地址的最后一位进行Thumb模式和ARM模式的切换，当地址最后一位为1时切换至Thumb模式，为0时切换至ARM模式（9寄存器PC的值的最后一位总为0），带1的指令表示处理器跳转的时候，会将当前指令的下一条指令地址存入寄存器LR中，这样当子程序需要跳转回来时，只需要把LR的值存入PC即可。

4.出栈入栈指令

使用push和pop指令，不同的是ARM汇编的push和pop指令后面可以接多个单数，例如上面的push{r4,lr}

5.保存/恢复寄存器的值

利用LDR，STR，LDM，STM系列指令用于将寄存器的值存入内存以及将寄存器的从内存中读出，其中LDR，STR用于处理单个寄存器，LDM，STM用于一次性保存或恢复多个内存器，因此有时候我们也会看见使用LDM，STM系列指令执行出栈和入栈操作。

三、abd

adb是谷歌官方提供的命令行工具，用来连接真机或者模拟器，只要在相应的Android系统设置中打开USB调试，即可使用abd连接手机。abd最主要的功能是查看连接的手机，打开一个shell、查看日志、上传与下载文件，相关命令如下：

1.查看连接的手机或者模拟器
adb devices
 
2.安装APK
abd install 
 
3.卸载APP
abd uninstall 
 
4.打开shell
adb shell
 
5.查看日志
adb logcat
 
6.上传文件
abd push xxx/data/local/tmp
 
7.下载文件
abd pull/data/local/tmp/some_file some_location
 
8.将本地端口转发到远程设备端口
abd forward [--no-rebind] LOCAL REMOTE
 
9.列出所有的转发端口
abd forward -list
 
10.将远程设备的端口转发到本地
abd reverse [--no-rebind] REMOTE LOCAL
 
11.列出所有反向端口转发
abd reverse --list
 
12.终止ADB server
abd kill-server
 
13.启动ADB server
abd start-server
 
14.以root权限重启ADB DAEMON
abd root
 
15.重启设备
abd reboot
 
16.重启并进入bootloader
abd reboot bootloader
 
17.重启并进入recovery
abd reboot recovery
 
18.将system分区重新挂在为可读写分区
abd remount
 
19.通过TCP/IP连接设备（默认5555端口）
abd connect HOST[:PORT]
 

四、APK文件格式

APK文件其实是一个zip压缩文件，使用unzip可以直接解压，例如

.

|————AndriodManifest.xml

|————META-INF

|————assets

|————classes.dex

|————libs

|————res

|————resources.arsc

AndriodManifest.xml是一个APK属性文件，所有的APK都要包含这个文件，这个文件中写明了该APK所有具有的Activity、所需要的函数、启动类是哪一个等信息。打开之后一堆乱码，需要工具去解析。

META-INF是编译过程中自动生成的一个文件夹，尽量不要手动去修改

assets文件夹中，存放在这个文件夹里面的文件将会原封不动地打包到APK里，因为这个文件夹里经常会存放一些程序中使用的文件。

classes.dex是存放Dalvik字节码的DEX文件

libs文件包含Native层所需要的lib库，一般为libxxx.so格式，libs文件夹中可以包含多个lib文件

res文件夹存放与资源相关的文件

resources.arsc文件里存放APK中所使用资源的名字，ID，类型等信息