学习破解一个Android步伐

起首编写一个android测试步伐

功能：校验用户名和注册码，成功则弹出注册成功提示
以下仅给出关键部分的代码
res/layout/activity_main.xml

1. <?xml version="1.0" encoding="utf-8"?>
2. <LinearLayout xmlns:android="http://schemas.android.com/apk/res/android"
3.     android:layout_width="fill_parent"
4.     android:layout_height="fill_parent"
5.     android:orientation="vertical">
7.     <TextView
8.         android:id="@+id/textView1"
9.         android:layout_width="match_parent"
10.         android:layout_height="wrap_content"
11.         android:gravity="center"
12.         android:text="@string/info"
13.         android:textSize="20dp" />
15.     <LinearLayout
16.         android:layout_width="match_parent"
17.         android:layout_height="wrap_content"
18.         android:layout_marginLeft="10dp"
19.         android:orientation="horizontal">
21.         <TextView
22.             android:layout_width="wrap_content"
23.             android:layout_height="wrap_content"
24.             android:text="@string/username" />
26.         <EditText
27.             android:id="@+id/edit_username"
28.             android:layout_width="0dp"
29.             android:layout_height="wrap_content"
30.             android:layout_marginLeft="10dp"
31.             android:layout_marginRight="10dp"
32.             android:layout_weight="1"
33.             android:ems="10"
34.             android:hint="@string/hint_username"></EditText>
35.     </LinearLayout>
37.     <LinearLayout
38.         android:layout_width="match_parent"
39.         android:layout_height="wrap_content"
40.         android:layout_marginLeft="10dp"
41.         android:orientation="horizontal">
43.         <TextView
44.             android:layout_width="wrap_content"
45.             android:layout_height="wrap_content"
46.             android:text="@string/sn" />
48.         <EditText
49.             android:id="@+id/edit_sn"
50.             android:layout_width="0dp"
51.             android:layout_height="wrap_content"
52.             android:layout_marginLeft="10dp"
53.             android:layout_marginRight="10dp"
54.             android:layout_weight="1"
55.             android:ems="10"
56.             android:hint="@string/hint_sn"></EditText>
57.     </LinearLayout>
59.     <Button
60.         android:id="@+id/button_register"
61.         android:layout_width="wrap_content"
62.         android:layout_height="wrap_content"
63.         android:layout_gravity="right"
64.         android:layout_marginRight="10dp"
65.         android:text="@string/register" />
67. </LinearLayout>

复制代码

java/com/example/myapplication/MainActivity.java

1. package com.example.myapplication;
3. import android.app.Activity;
4. import android.os.Bundle;
5. import android.view.Menu;
6. import android.view.View;
7. import android.view.View.OnClickListener;
8. import android.widget.Button;
9. import android.widget.EditText;
10. import android.widget.Toast;
12. import java.security.MessageDigest;
13. import java.security.NoSuchAlgorithmException;
15. public class MainActivity extends Activity {
16.     private EditText edit_userName;
17.     private EditText edit_sn;
18.     private Button btn_register;
20.     @Override
21.     public void onCreate(Bundle savedInstanceState) {
22.         super.onCreate(savedInstanceState);
23.         setContentView(R.layout.activity_main);
24.         setTitle(R.string.unregister);  //模拟程序未注册
25.         edit_userName = (EditText) findViewById(R.id.edit_username);
26.         edit_sn = (EditText) findViewById(R.id.edit_sn);
27.         btn_register = (Button) findViewById(R.id.button_register);
28.         btn_register.setOnClickListener(new OnClickListener() {
30.             public void onClick(View v) {
31.                 if (!checkSN(edit_userName.getText().toString().trim(),
32.                         edit_sn.getText().toString().trim())) {
33.                     Toast.makeText(MainActivity.this,       //弹出无效用户名或注册码提示
34.                             R.string.unsuccessed, Toast.LENGTH_SHORT).show();
35.                 } else {
36.                     Toast.makeText(MainActivity.this,       //弹出注册成功提示
37.                             R.string.successed, Toast.LENGTH_SHORT).show();
38.                     btn_register.setEnabled(false);
39.                     setTitle(R.string.registered);  //模拟程序已注册
40.                 }
41.             }
42.         });
43.     }
45.     @Override
46.     public boolean onCreateOptionsMenu(Menu menu) {
47.         getMenuInflater().inflate(R.menu.activity_main, menu);
48.         return true;
49.     }
51.     private boolean checkSN(String userName, String sn) {
52.         try {
53.             if ((userName == null) || (userName.length() == 0))
54.                 return false;
55.             if ((sn == null) || (sn.length() != 16))
56.                 return false;
57.             MessageDigest digest = MessageDigest.getInstance("MD5");
58.             digest.reset();
59.             digest.update(userName.getBytes());
60.             byte[] bytes = digest.digest();     //采用MD5对用户名进行Hash
61.             String hexstr = toHexString(bytes, ""); //将计算结果转化成字符串
62.             StringBuilder sb = new StringBuilder();
63.             for (int i = 0; i < hexstr.length(); i += 2) {
64.                 sb.append(hexstr.charAt(i));
65.             }
66.             String userSN = sb.toString(); //计算出的SN
67.             //Log.d("crackme", hexstr);
68.             //Log.d("crackme", userSN);
69.             if (!userSN.equalsIgnoreCase(sn))   //比较注册码是否正确
70.                 return false;
71.         } catch (NoSuchAlgorithmException e) {
72.             e.printStackTrace();
73.             return false;
74.         }
75.         return true;
76.     }
78.     private static String toHexString(byte[] bytes, String separator) {
79.         StringBuilder hexString = new StringBuilder();
80.         for (byte b : bytes) {
81.             String hex = Integer.toHexString(0xFF & b);
82.             if (hex.length() == 1) {
83.                 hexString.append('0');
84.             }
85.             hexString.append(hex).append(separator);
86.         }
87.         return hexString.toString();
88.     }
90. }

复制代码

运行没有问题之后，通过AndroidStudio编译成apk文件
开始破解步伐

破解 Android 步伐通常的方法是将 apk 文件利用 ApkTool 反编译，生成 Smali 格式的反汇编代码，然后阅读 Smali 文件的代码来理解步伐的运行机制，找到步伐的突破口举行修改，最后利用 ApkTool 重新编译生成 apk 文件并签名，最后运行测试，如此循环，直至步伐被成功破解。
利用apk-tool反编译apk步伐
下载地址：https://down.52pojie.cn/Tools/Android_Tools/apktool_2.9.3.jar
实行

1. java -jar apktool_2.9.3.jar d -f app-debug.apk -o output

复制代码

smail目录下存放了步伐的全部反汇编代码，res目录下则是步伐的全部资源文件
先通过res\values\string.xml定位步伐的错误信息

1. <resources>
2. ...
3.     <string name="unsuccessed">无效用户名或注册码</string>
4. ...
5. </resources>

复制代码

再通过同目录下的public.xml找到name="unsuccessed"的id

1. [/code]通过该id可以到smail目录搜索，在output\smali_classes3\com\example\myapplication\MainActivity$1.smali搜索到一处结果
2. [code]   91      iget-object v0, p0, Lcom/example/myapplication/MainActivity$1;->this$0:Lcom/example/myapplication/MainActivity;
3.    92  
4.    93:     const v2, 0x7f1000a5
5.    94  
6.    95      invoke-static {v0, v2, v1}, Landroid/widget/Toast;->makeText(Landroid/content/Context;II)Landroid/widget/Toast;

复制代码

onclick方法

1. # virtual methods
2. .method public onClick(Landroid/view/View;)V
3.     .locals 3
4.     .param p1, "v"    # Landroid/view/View;
6.     .line 31
7.     iget-object v0, p0, Lcom/example/myapplication/MainActivity$1;->this$0:Lcom/example/myapplication/MainActivity;
9.     invoke-static {v0}, Lcom/example/myapplication/MainActivity;->access$000(Lcom/example/myapplication/MainActivity;)Landroid/widget/EditText;
11.     move-result-object v1
13.     invoke-virtual {v1}, Landroid/widget/EditText;->getText()Landroid/text/Editable;
15.     move-result-object v1
17.     invoke-virtual {v1}, Ljava/lang/Object;->toString()Ljava/lang/String;
19.     move-result-object v1
21.     invoke-virtual {v1}, Ljava/lang/String;->trim()Ljava/lang/String;
23.     move-result-object v1
25.     iget-object v2, p0, Lcom/example/myapplication/MainActivity$1;->this$0:Lcom/example/myapplication/MainActivity;
27.     .line 32
28.     invoke-static {v2}, Lcom/example/myapplication/MainActivity;->access$100(Lcom/example/myapplication/MainActivity;)Landroid/widget/EditText;
30.     move-result-object v2
32.     invoke-virtual {v2}, Landroid/widget/EditText;->getText()Landroid/text/Editable;
34.     move-result-object v2
36.     invoke-virtual {v2}, Ljava/lang/Object;->toString()Ljava/lang/String;
38.     move-result-object v2
40.     invoke-virtual {v2}, Ljava/lang/String;->trim()Ljava/lang/String;
42.     move-result-object v2
44.     .line 31
45.     invoke-static {v0, v1, v2}, Lcom/example/myapplication/MainActivity;->access$200(Lcom/example/myapplication/MainActivity;Ljava/lang/String;Ljava/lang/String;)Z
47.     move-result v0
49.     const/4 v1, 0x0
51.     if-nez v0, :cond_0 # 关键条件判断
53.     .line 33
54.     iget-object v0, p0, Lcom/example/myapplication/MainActivity$1;->this$0:Lcom/example/myapplication/MainActivity;
56.     const v2, 0x7f1000a5
58.     invoke-static {v0, v2, v1}, Landroid/widget/Toast;->makeText(Landroid/content/Context;II)Landroid/widget/Toast;
60.     move-result-object v0
62.     .line 34
63.     invoke-virtual {v0}, Landroid/widget/Toast;->show()V
65.     goto :goto_0
67.     .line 36
68.     :cond_0
69.     iget-object v0, p0, Lcom/example/myapplication/MainActivity$1;->this$0:Lcom/example/myapplication/MainActivity;
71.     const v2, 0x7f1000a2
73.     invoke-static {v0, v2, v1}, Landroid/widget/Toast;->makeText(Landroid/content/Context;II)Landroid/widget/Toast;
75.     move-result-object v0
77.     .line 37
78.     invoke-virtual {v0}, Landroid/widget/Toast;->show()V
80.     .line 38
81.     iget-object v0, p0, Lcom/example/myapplication/MainActivity$1;->this$0:Lcom/example/myapplication/MainActivity;
83.     invoke-static {v0}, Lcom/example/myapplication/MainActivity;->access$300(Lcom/example/myapplication/MainActivity;)Landroid/widget/Button;
85.     move-result-object v0
87.     invoke-virtual {v0, v1}, Landroid/widget/Button;->setEnabled(Z)V
89.     .line 39
90.     iget-object v0, p0, Lcom/example/myapplication/MainActivity$1;->this$0:Lcom/example/myapplication/MainActivity;
92.     const v1, 0x7f100099
94.     invoke-virtual {v0, v1}, Lcom/example/myapplication/MainActivity;->setTitle(I)V
96.     .line 41
97.     :goto_0
98.     return-void
99. .end method

复制代码

经过分析，if-nez v0, :cond_0判断决定了校验是否通过，这句代码的意思是：假如v0不为0则跳转到cond_0，也就是注册失败的分支。
破解方法：将if-nez改为if-eqz也就是等于则为真
修改后保存，实行如下代码重新编译

1. java -jar apktool_2.9.3.jar b output

复制代码

编译后需要对apk举行签名，这里我本地生成了一个测试签名

1. keytool -genkey -alias testalias -keyalg RSA -keysize 2048 -validity 36500 -keystore test.keystore

复制代码

然后用360加固助手的工具包举行签名。
接下来可以通过adb命令安装和启动

1. adb install app-debug_sign.apk
2. adb shell am start -n com.example.myapplication/.MainActivity

复制代码

至此破解就算完成了。
利用IDA pro破解

由于利用apktool每次都需要重新编译，很花时间，idapro提供了快速测试的方法。
下载地址：https://down.52pojie.cn/Tools/Disassemblers/IDA_Pro_v8.3_Portable.zip
用压缩包工具打开app-debug.apk，提取出classes.dex文件，通过ida pro打开

注意：假如classes.dex没有大概在classes3.dex

按照先找错误信息的思路，按alt+t打开文本搜索功能，搜索：0x7f1000a5

定位到关键代码（按空格可以切换视图）

可以看到分支判断位于CODE:000006BE，将光标放在if-nez处，点击hex-view，修改if-nez的字节码
39 00 0F 00改为38 00 0F 00
然后关闭ida pro，不需要保存到database
用c32asm打开classes3.dex定位到000006BE，将39改为38，保存退出

这里由于修改了dex文件，会导致dex文件在验证计算checksum会失败，从而导致步伐安装失败，因此需要重新计算checksum值
用Dexfixer将classes3.dex文件checksum值修复

将修复好的classes3.dex，重新拉入apk

1. aapt r app-debug.apk classes3.dex
2. aapt a app-debug.apk classes3.dex

复制代码

删除META-INT（可利用winrar工具），并重新签名apk即可破解成功。

参考：《Android软件安全与逆向分析》

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。