|
Android软件越来越多的走向免费加广告模式了,但在我们日常应用中,还是不乏一些收费应用,一部分通过Market收费下载,另一部分将收费部分放到了软件的实现中,我们今天要讨论的就是后者,就我见到的一部分Android软件中,它们有通过序列号验证的,有通过Linsence绑定的,更有甚者是通过网络激活验证的,那它们的安全措施都有哪些?如何分析并破解它们?这将是这篇文章将要讲到的。 破解工具介绍 下表列举出了破解Android程序时可能会用到的工具: 工具名称 用途 AXMLPrinter2.jar dex-translator JD-GUI.exe DeDexer 用来解密输出APK中加密的XML文件包含dex2jar可以将APK中的classes.dex生成相应的JAR文件查看dex2jar生成的JAR文件(源码级显示,不过不太准确) DEX文件反编译工具,使用Jasmin格式Smali,BakSmali DEX文件编译与反编译工具,使用smali格式 EditPlus IDA Pro Apktool 查看及编辑反汇编后的文件 DEX反编译查看工具,可用来查找DEX文件补丁位置集成了Smali与BakSmali,编译与反编译DEX更方便Eclipse,ADT插件编译Android补丁或测试程序 Netbeans AndBug 配合ApkTool单步调试Smali文件APK调试工具(只支持Linux平台) Android SDK 这个开发与测试APK都需要,ADB,AAPT,DDMS经常要用到Jarsigner.exe.,对APK进行签名(JDK的Bin目录下) keytool.exe ApkTool_GUI 这个现在用的人比较多,集成了反编译、编译、签名功能于一体 Android设备 测试程序用,没有的话模拟器或Android-x86(Android的PC版)也行. 这些工具经常配合在一起使用来反编译与编译APK文件,但ApkTool_GUI的出现将这些繁琐的工作化繁为简。EditPlus主要用来高亮显示查看生成的反编译文件,为此我制作了Editplus的高亮语法文件一起打包给大家。DeDexer与BakSmali是目前广泛使用的两款DEX反编译工具,两个工具在语法上有细微的差别,我们在下面会此进行比较。 Dalvik VM & OpCodes 如同破解Windows程序需要掌握Windows程序特点一样,破解Android平台的程序需要先掌握Android程序开发的一些基本知识,一般的程序破解不需要深入的了解Android程序的开发,不过对于Android程序的运行机制应该有个大致的了解,完全不懂Android程序开发的朋友还是先打打基础吧!在Windows程序的调试时代,破解者将需要分析的程序载入Ollydbg之类的调试器中,在成千上万条汇编指令中寻找突破点,MASM语法的汇编自己也成为解密者需要掌握的基础,而我们要想熟练的分析Android程序,就必须要掌握Dalvik虚拟机的指令,听到虚拟机可能一部分人开始发怵了,其实Dalvik虚拟机与我们常说的Windows平台的VM虚拟机有着很大的区别,下面我们来看看什么是Dalvik虚拟机指令是何方神圣,它在Android程序破解中又有着怎样的地位? Dalvik虚拟机是专门为 Android平台上的程序运行而设计的一种代码运行机制,它主要的作用是对JAVA程序的ByteCode进行优化,以提高代码执行效率。可以说,从Android2.2版本开始,Android系统手机真正的拉开了市场,这背后很大一部分功劳要取决于强大的Dalvik JIT编译器,正是由于它大幅提升Android2.2的各种性能。与传统的Java虚拟机(JVM)基于栈有所不同,Dalvik是基于寄存器的虚拟机,这使得它们在编译的时候只需花费更短的时间。DalvikJIT解释的JAVAByteCode源于JVM而又优于JVM,在JAVA虚拟机中,代码是基于Method方式来运行解释编译的,而在Android2.2版本及以后的DalvikJIT则是基于 Trace解释编译的,Dalvik最多支持256个寄存器,但嵌入式CPU自身并不带那么多的寄存器,Dalvik除了使用ARM本身的几个寄存器外,其它需要用到的寄存器会借用外部存储器来模拟,那Android程序运行时会用到多少个寄存器呢?答案是不确定的,它会在生成代码时进行计算。在这里,我们不去详细的探究 Dalvik的运行机制,但掌握Dalvik指令的语法为以后的逆向工程做基础却是十分有必要的。一份详细的 Dalvik opcodes表可以从Android源码中获得,在 Android4.0的源码中,可以从dalvik/opcode-gen/bytecode.txt查看到完整支持的OpCodes ,在dalvik/docs/dalvik-bytecode.html中可以找到Dalvik OpCodes的详细说明。早期的OpCodes使用一个字节就可以保存,意味着最多可以有256条指令,在最新的一份OpCodes列表中,OpCodes扩展了一字节,并扩充了一些指令。下面我们来看看Dalvik指令的格式,毕竟我们要看的不是这些OpCodes,而是由它们在一起组成的代码。新建一个Android工程命名为HelloAndroid,HelloAndroidActivity.java文件使用默认生成的代码: package cn.feicong.HelloAndroid; import android.app.Activity; import android.os.Bundle; public class HelloAndroidActivity extends Activity { /** Called when the activity is first created. */ @Override public void onCreate(Bundle savedInstanceState) { super.onCreate(savedInstanceState); setContentView(R.layout.main); } } 编译生成APK文件,接下来看看反编译后的结果。 首先是DeDexer,进入命令行并定位到HelloAndroid/bin目录下,在命令行下运行java-jar ddx.jar -d outdir classes.dex (可从下载DeDexer)会在outdir目录中生成六个ddx文件,如图1所示: 图 1 打开HelloAndroidActivity.ddx文件代码如下: .class public cn/feicong/HelloAndroid/HelloAndroidActivity .super android/app/Activity .source HelloAndroidActivity.java .method public .limit registers 1 ; this: v0 (Lcn/feicong/HelloAndroid/HelloAndroidActivity;) .line 6 invoke-direct {v0},android/app/Activity/ return-void ; .end method .method public onCreate(Landroid/os/Bundle;)V .limit registers 3 ; this: v1 (Lcn/feicong/HelloAndroid/HelloAndroidActivity;) ; parameter[0] : v2 (Landroid/os/Bundle;) .line 10 invoke-super {v1,v2},android/app/Activity/onCreate ; onCreate(Landroid/os/Bundle;)V .line 11 const/high16 v0,32515 invoke-virtual {v1,v0},cn/feicong/HelloAndroid/HelloAndroidActivity/setContentView ; setContentView(I)V .line 12 return-void .end method .class是程序的类名,.super为它的父类,.source为源文件。.method表示是一个类的方法,后面的大写'V'表示Void,即无返回值,<> 1表示用到了一个寄存器,分号后面是注释,.line表示行号,可有可无,invoke-direct与return-void是Dalvik的OpCode,前者调用一个类的方法,后者直接返回。看看 BakSmali的反编译代码,运行 apktool.jar d HelloAndroid.apk outdir2在outdir2目录会生成一个smali目录,同样在相应的目录会生成六个Smali结尾的文件,如 图2所示: 图 2 打开HelloAndroidActivity..smali文件代码如下: .class public Lcn/feicong/HelloAndroid/HelloAndroidActivity; .super Landroid/app/Activity; .source 'HelloAndroidActivity.java' # direct methods .method public constructor .locals 0 .prologue .line 6 invoke-direct {p0}, Landroid/app/Activity;-> return-void .end method # virtual methods .method public onCreate(Landroid/os/Bundle;)V .locals 1 .parameter 'savedInstanceState' .prologue .line 10 invoke-super {p0, p1}, v0}, Landroid/app/Activity;->onCreate(Landroid/os/Bundle;)V .line 11 const/high16 v0, 0x7f03 invoke-virtual {p0, Lcn/feicong/HelloAndroid/HelloAndroidActivity;->setContentView(I)V .line 12 return-void .end method 可以看出Smali文件的内容与ddx文件内容差别不是很大,ddx文件中有一些寄存器跟踪信息,用注释标了出来,而Smali则只对条件判断进行寄存器跟踪,ddx使用十进制表示数值,Smali则使用十六进制(Android资源ID也使用十六进制,我们搜索起来更方便),其它的不做太多比较了,不过目前使用Smali格式来分析DEX文件的人占多数,这一方面因为它代码漂亮,回编成功率高,更重要的是它能与Netbeans配合对Smali进行单步调试!!这不能不说是一个大亮点,详细的内容不是这篇文章的重点,可能以后会跟大家讨论。 上面的介绍部分就到这里了,下面正式进行实战破解环节。Let's GO! 破解实战 先说说APK的一般破解步骤, 1.对APK进行反编译。 2.对反编译的Smali文件进行分析或调试。 3.找到突破口,对 Smali文件进行修改。(还有一种方法,更高效,我正在测试中,成功后与大家分享) 4.回编生成破解后的DEX文件。 5.重新打包生成APK并签名。 6.测试效果,不成功转到第二步操作。 试炼品我选择了国内著名公司金山出品的WPS Android4.0.3版,此版本的WPS是一个限制试用版,在安装运行后程序会提示软件过期。而目前最新的WPS已经免费了(可能并不好卖,呵呵)。 先安装运行程序,观察它的运行状态,执行这个软件会给出如图3的提示: 图 3 程序很大方的结出提示说已经过期了,我们点击更新即可以升级到最新版(在这里,我们就不升级了,因为升级后是免费的,对于我们练手就没搞头了),我们点击取消,程序退出。 下面我们对这个APK文件进行反编译。使用ApkTool_GUI,运行如图4: 将APK拖到第一个编辑框中,点击反编译APK,稍等片刻解压完成后会生成与文件名同名的文件夹,进入里面可以发现多出了一个smali文件夹,这个文件夹里面存放的就是我们需要分析的 Smali文件。我们双击打开,可以发现里面竟然有几个文件夹及几千个smali文件!!我首次打开时也吃了一惊,如此多的文件让人怎么分析啊(大家可以发怵一下),如图5所示: 图 5 而且每个文件的文件名也很诡异,全是一些a-z的字母组合,打开任意一个smali文件看看,发现里面的方法名也是如此。分析过C#程序的人可能会觉得这里似乎很类似,是的,这些代码如同 C#程序里面的混淆器混淆过一样,在 Android程序开发的 SDK中,提供了一套名叫 Proguard的代码保护机制,它的作用就是通过随机化改变类中的方法及变量名,去除无用的虚方法、注释等手段让代码变得难以阅读,以此来达到保护程序的目的,在这里可能很多人再次发怵,本来就没弄过Android程序,现在一上来就是个混淆过的款,叫人怎么活啊!不要急,其实,被Proguard混淆过的代码还是有办法弄的,如有主要的几个类,如Service、Activity等类名是不能被混淆的,不过这不是我们今天要讲的重点。 我们接着分析,回想一下,我们在安装运行程序时,程序弹出了一个Message,想想我们在OD中破解Windows程序时用到的字符串参考,在这里是否可用呢?回答是:可以!我们在编译Android程序时,定义的字符串都保存在一个名收Strings.xml的文件中,编译生成APK后它也被加密打包到程序中了,而程序通过为每个字符串分配一个ID来进行调用,这些 ID被保存在 public.xml文件中。我们在刚才反编译的 XML文件中找找就可以发现在res/values下有这两个文件,我们打开strings.xml并查找之,很快可以发现如下两行: 这是一个有使用期限的版本,从2012年1月1日开始此版本已过期,请确保网络通畅,并立即检查升级。 找到了这两个ID就好办了,我们下面来看看Android程序中是如何构建一个字符串的,修改刚才的HelloAndroid代码如下: public class HelloAndroidActivity extends Activity { /** Called when the activity is first created. */ @Override public void onCreate(Bundle savedInstanceState) { super.onCreate(savedInstanceState); setContentView(R.layout.main); ShowString(); } public void ShowString(){ String str = getString(R.string.hello); Toast.makeText(getApplicationContext(), str,Toast.LENGTH_SHORT).show(); } } 重新生成APK后并编译代码如下: # virtual methods .method public ShowString()V .locals 3 .prologue .line 16 const/high16 v1, 0x7f04 invoke-virtual{p0,v1}, Lcn/feicong/HelloAndroid/HelloAndroidActivity;->getString(I)Ljava/lang/String; move-result-object v0 .line 17 .local v0, str:Ljava/lang/String; invoke-virtual {p0}, Lcn/feicong/HelloAndroid/HelloAndroidActivity;->getApplicationContext()Landroid /content/Context; move-result-object v1 const/4 v2, 0x0 invoke-static {v1,v0,v2}, Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/CharSequen ce;I)Landroid/widget/Toast; move-result-object v1 invoke-virtual {v1}, Landroid/widget/Toast;->show()V .line 18 return-void .end method .method public onCreate(Landroid/os/Bundle;)V .locals 1 .parameter 'savedInstanceState' .prologue .line 11 invoke-super{p0,p1}, Landroid/app/Activity;->onCreate(Landroid/os/Bundle;)V .line 12 const/high16 v0, 0x7f03 invoke-virtual{p0,v0}, Lcn/feicong/HelloAndroid/HelloAndroidActivity;->setContentView(I)V .line 13 invoke-virtual {p0}, Lcn/feicong/HelloAndroid/HelloAndroidActivity;->ShowString()V .line 14 return-void .end method 可以看到 const/high16 v1, 0x7f04将 V1寄存器的高 16位设置为0x7f04,低位未设置则为 0,然后调用getString()将结果保存到v0并设置到str中,在这里注意一下invoke-virtual之类调用的格式,在OpCode后面的括号中是参数列表,用逗号分隔,后面'L'打头的是相应参数的数据类型,用分号隔开,大写字符'I’表示为int类型。我们在反编译的文件夹中搜索调用了ID为0x7f060167文件。发现R$string.smali与DocumentManager.smali两个文件中有调用,第1个为代码编写时自动生成的,可以无视,第2个就是重点了,我们打开DocumentManager.smali文件查找调用处,代码为: .methodstaticsynthetice(Lcn/wps/moffice/documentmanager/DocumentManager;)V.locals 3 iget-objectv0,p0, Lcn/wps/moffice/documentmanager/DocumentManager;->cPj:Lcn/wps/moffice/write r/view/beans/g; if-eqz v0, :cond_0 //如果g对象获取失败就跳到过期提示,这里是爆破点(g就是我们见到的过期提示框) iget-objectv0,p0, Lcn/wps/moffice/documentmanager/DocumentManager;->cPj:Lcn/wps/moffice/write r/view/beans/g; invoke-virtual {v0}, Lcn/wps/moffice/writer/view/beans/g;->isShowing()Z//g对象是否已经显示 move-result v0 if-nez v0, :cond_1 //如果g显示了就直接返回就直接返回 :cond_0 new-instance v0, Lcn/wps/moffice/writer/view/beans/g; //创建一个g的实例 invoke-direct {v0, p0}, Lcn/wps/moffice/writer/view/beans/g;-> const v1, 0x7f060166 //字符串常量产品过期 invoke-virtual{v0,v1}, Lcn/wps/moffice/writer/view/beans/g;->eb(I)Lcn/wps/moffice/writer/view/beans/g; move-result-object v0 //调用g的eb()方法,应该是设置弹出框的标题 const v1, 0x7f060167 //字符串常量这是一个有使用期限的版本,从2012年1月1日开始此版本已过期,请确保网络通畅,并立即检查升级。 invoke-virtual {p0, v1}, Lcn/wps/moffice/documentmanager/DocumentManager;->getString(I)Ljava/lan g/String; move-result-object v1 //取得字符串 invoke-virtual{v0,v1}, Lcn/wps/moffice/writer/view/beans/g;->be(Ljava/lang/String;)Lcn/wps/moffice /writer/view/beans/g; move-result-object v0//调用g的be()方法,应该是设置弹出框的内容 const v1, 0x7f060112 new-instance v2, Lcn/wps/moffice/documentmanager/DocumentManager$4; invoke-direct{v2,p0}, Lcn/wps/moffice/documentmanager/DocumentManager$4;-> mentmanager/DocumentManager;)V invoke-virtual //构造DocumentManager{v0,v1,v2}, Lcn/wps/moffice/writer/view/beans/g;->a(ILandroid/content/DialogInterface$OnCli ckListener;)Lcn/wps/moffice/writer/view/beans/g; move-result-object v0 //设置按钮监听器 const v1, 0x7f060165 new-instance v2, Lcn/wps/moffice/documentmanager/DocumentManager$7; invoke-direct{v2,p0}, Lcn/wps/moffice/documentmanager/DocumentManager$7;-> mentmanager/DocumentManager;)V //DocumentManager对象 invoke-virtual{v0,v1,v2}, Lcn/wps/moffice/writer/view/beans/g;->b(ILandroid/content/DialogInterface$OnCli ckListener;)Lcn/wps/moffice/writer/view/beans/g; move-result-object v0 //设置按钮监听器 iput-object v0, p0, Lcn/wps/moffice/documentmanager/DocumentManager;->cPj:Lcn/wps/moffice/writer/vi ew/beans/g; iget-object v0, p0, Lcn/wps/moffice/documentmanager/DocumentManager;->cPj:Lcn/wps/moffice/writer/vi ew/beans/g; const/4 v1, 0x0 invoke-virtual{v0,v1},p0, Lcn/wps/moffice/writer/view/beans/g;->setCancelable(Z)V //设置是否可取消 iget-object v0, Lcn/wps/moffice/documentmanager/DocumentManager;->cPj:Lcn/wps/moffice/writer/vi ew/beans/g; invoke-virtual {v0}, Lcn/wps/moffice/writer/view/beans/g;->show()V //显示g,也就是过期对话框 :cond_1 return-void .end method 这个e方法看得出来是重要的地方,我做了详细的注释,功能就是首先g是否已经显示,如果没显示就初始化并显示,我们爆破就简单了,直接if-eqzv0,:cond_0改成if-eqzv0, :cond_1。保存文件并退出,拖动不整个文件夹到ApkTool_Gui第二个编辑框重建APK。 完成后拿到Android设备上测试。会发现程序弹出个Toast提示软件过期,然后就退出了,看来还有地方需要处理。按照上面的方法如法炮制搜索 0x7f060166(软件过期字符串的ID),发现有两处调用,而且两处调用都是类似的代码: .method public final a(Lcn/wps/moffice/documentmanager/DocumentManager$a;Ljava/lang/String;)V .locals 4 invoke-static {}, Lcn/wps/moffice/OfficeApp;->zc()Lcn/wps/moffice/OfficeApp; move-result-object v0 invoke-virtual {v0}, Lcn/wps/moffice/OfficeApp;->zd()Z ///对程序进行验证 move-result v0 if-eqz v0, :cond_1 //验证为0就跑去运行程序 const v0, 0x7f060166 invoke-virtual //软件过期字符串ID{p0,v0}, Lcn/wps/moffice/documentmanager/DocumentManager;->getString(I)Ljava/lang/String ; move-result-object v0 const/4 v1, 0x0 invoke-static {p0, v0, v1}, Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/CharSequen ce;I)Landroid/widget/Toast; move-result-object v0 invoke-virtual {v0}, Landroid/widget/Toast;->show()V //弹出了Toast iget-object v0, p0, Lcn/wps/moffice/documentmanager/DocumentManager;->DY:Lcn/wps/moffice/documentma nager/history/HistoryFiles; iget-object v1, p0, Lcn/wps/moffice/documentmanager/DocumentManager;->cPk:Ljava/lang/Runnable; const-wide/16 v2, 0x7d0 invoke-virtual {v0, v1, v2, v3}, Lcn/wps/moffice/documentmanager/history/HistoryFiles;->postDelayed(Ljava/lang/R unnable;J)Z //这里就OVER了 :cond_0 :goto_0 return-void :cond_1 invoke-static{},Lcn/wps/moffice/OfficeApp;->zc()Lcn/wps/moffice/OfficeApp; move-result-object v0 invoke-virtual {p1}, Lcn/wps/moffice/documentmanager/DocumentManager$a;->toString()Ljava/lang/String ; move-result-object v1 invoke-virtual {v0, v1}, Lcn/wps/moffice/OfficeApp;->bO(Ljava/lang/String;)Z move-result v0 同样,两处的修改很简单,只需要将 if-eqz v0, :cond_1改成 if-nez v0, :cond_1就可以了。保存文件后重新回编,安装测试就会发现程序被破解掉了。运行效果如图6: |
|
|
