hacktricks/mobile-pentesting/android-app-pentesting/smali-changes.md

Smali - 反编译/【修改】/编译

☁️ HackTricks 云 ☁️ -🐦 推特 🐦 - 🎙️ Twitch 🎙️ - 🎥 YouTube 🎥

• 你在一家网络安全公司工作吗？你想在 HackTricks 中看到你的公司广告吗？或者你想获得PEASS 的最新版本或下载 HackTricks 的 PDF吗？请查看订阅计划！
• 发现我们的独家NFTs收藏品——The PEASS Family
• 获取官方 PEASS & HackTricks 商品
• 加入💬 Discord 群组 或 Telegram 群组，或者关注我在推特上的🐦@carlospolopm。
• 通过向hacktricks 仓库 和hacktricks-cloud 仓库 提交 PR 来分享你的黑客技巧。

有时候，修改应用程序代码以访问隐藏信息可能是有趣的（也许是混淆良好的密码或标志）。然后，反编译 apk，修改代码并重新编译它可能是有趣的。

操作码参考：http://pallergabor.uw.hu/androidblog/dalvik_opcodes.html

快速方法

使用Visual Studio Code和APKLab扩展，您可以自动反编译、修改、重新编译、签名和安装应用程序，而无需执行任何命令。

另一个非常简化此任务的脚本是https://github.com/ax/apk.sh****

反编译 APK

使用 APKTool，您可以访问smali 代码和资源：

apktool d APP.apk

如果apktool出现任何错误，请尝试安装最新版本

一些你应该查看的有趣文件包括：

• res/values/strings.xml（以及res/values/*中的所有xml文件）
• AndroidManifest.xml
• 任何具有_.sqlite_或_.db_扩展名的文件

如果apktool在解码应用程序时出现问题，请查看https://ibotpeaches.github.io/Apktool/documentation/#framework-files或尝试使用参数**-r**（不解码资源）。然后，如果问题出现在资源而不是源代码中，您将不会遇到问题（您也不会反编译资源）。

更改smali代码

您可以更改指令，更改某些变量的值或添加新指令。我使用VS Code更改Smali代码，然后安装smalise扩展，编辑器会告诉您是否有任何不正确的指令。
这里有一些示例：

• Smali更改示例
• Google CTF 2018 - Shall We Play a Game?

或者您可以在下面查看一些解释的Smali更改。

重新编译APK

在修改代码后，您可以使用以下命令重新编译代码：

apktool b . #In the folder generated when you decompiled the application

它将在_dist_文件夹中编译新的APK。

如果apktool出现错误，请尝试安装最新版本

签署新的APK

然后，您需要生成一个密钥（将要求您输入密码和一些可以随机填写的信息）：

keytool -genkey -v -keystore key.jks -keyalg RSA -keysize 2048 -validity 10000 -alias <your-alias>

最后，对新的APK进行签名：

jarsigner -keystore key.jks path/to/dist/* <your-alias>

优化新应用程序

zipalign 是一个归档对齐工具，为 Android 应用程序（APK）文件提供重要的优化。更多信息请参考这里。

zipalign [-f] [-v] <alignment> infile.apk outfile.apk
zipalign -v 4 infile.apk

签署新的APK（再次？）

如果您更喜欢使用[apksigner](https://developer.android.com/studio/command-line/apksigner)**而不是jarsigner，您应该在使用zipalign进行优化后签署apk。但请注意，您只需要使用jarsigner（在zipalign之前）或aspsigner（在zipalign之后）对应用程序进行一次签署。

apksigner sign --ks key.jks ./dist/mycompiled.apk

修改 Smali

对于以下的 Hello World Java 代码：

public static void printHelloWorld() {
System.out.println("Hello World")
}

Smali 代码如下：

.method public static printHelloWorld()V
.registers 2
sget-object v0, Ljava/lang/System;->out:Ljava/io/PrintStream;
const-string v1, "Hello World"
invoke-virtual {v0,v1}, Ljava/io/PrintStream;->println(Ljava/lang/String;)V
return-void
.end method

Smali指令集可以在这里找到。

轻微更改

修改函数内变量的初始值

一些变量在函数开始时使用_const_操作码定义，您可以修改它们的值，或者您可以定义新的变量：

#Number
const v9, 0xf4240
const/4 v8, 0x1
#Strings
const-string v5, "wins"

基本操作

In this section, we will cover some basic operations that can be performed on Smali code.

在本节中，我们将介绍一些可以在Smali代码上执行的基本操作。

Modifying Constants

修改常量

To modify a constant value in Smali code, you need to locate the instruction that loads the constant value onto the stack and replace it with a new value.

要修改Smali代码中的常量值，您需要找到将常量值加载到堆栈上的指令，并将其替换为新值。

For example, if you want to change the constant value 123 to 456, you would locate the instruction const/16 v0, 123 and replace 123 with 456.

例如，如果您想将常量值123更改为456，您需要找到指令const/16 v0, 123并将123替换为456。

Modifying Method Calls

修改方法调用

To modify a method call in Smali code, you need to locate the instruction that invokes the method and replace it with a new method call.

要修改Smali代码中的方法调用，您需要找到调用方法的指令，并将其替换为新的方法调用。

For example, if you want to change the method call invoke-virtual {v0, v1}, Lcom/example/Class;->method()V to invoke-static {v0, v1}, Lcom/example/Class;->method()V, you would locate the instruction invoke-virtual {v0, v1}, Lcom/example/Class;->method()V and replace invoke-virtual with invoke-static.

例如，如果您想将方法调用invoke-virtual {v0, v1}, Lcom/example/Class;->method()V更改为invoke-static {v0, v1}, Lcom/example/Class;->method()V，您需要找到指令invoke-virtual {v0, v1}, Lcom/example/Class;->method()V并将invoke-virtual替换为invoke-static。

Modifying Field Access

修改字段访问

To modify a field access in Smali code, you need to locate the instruction that accesses the field and replace it with a new field access.

要修改Smali代码中的字段访问，您需要找到访问字段的指令，并将其替换为新的字段访问。

For example, if you want to change the field access iget-object v0, v1, Lcom/example/Class;->field:Landroid/widget/TextView; to sget-object v0, Lcom/example/Class;->field:Landroid/widget/TextView;, you would locate the instruction iget-object v0, v1, Lcom/example/Class;->field:Landroid/widget/TextView; and replace iget-object with sget-object.

例如，如果您想将字段访问iget-object v0, v1, Lcom/example/Class;->field:Landroid/widget/TextView;更改为sget-object v0, Lcom/example/Class;->field:Landroid/widget/TextView;，您需要找到指令iget-object v0, v1, Lcom/example/Class;->field:Landroid/widget/TextView;并将iget-object替换为sget-object。

Modifying Control Flow

修改控制流

To modify the control flow in Smali code, you need to locate the instructions that define the control flow and modify them accordingly.

要修改Smali代码中的控制流，您需要找到定义控制流的指令并相应地进行修改。

For example, if you want to change the condition for a branch instruction, you would locate the instruction if-eqz v0, :label and modify the condition if-eqz to if-nez.

例如，如果您想更改分支指令的条件，您需要找到指令if-eqz v0, :label并将条件if-eqz修改为if-nez。

Modifying Exception Handling

修改异常处理

To modify exception handling in Smali code, you need to locate the instructions that define the exception handling and modify them accordingly.

要修改Smali代码中的异常处理，您需要找到定义异常处理的指令并相应地进行修改。

For example, if you want to change the catch type for an exception handler, you would locate the instruction .catch Ljava/lang/Exception; and modify Ljava/lang/Exception; to the desired catch type.

例如，如果您想更改异常处理程序的catch类型，您需要找到指令.catch Ljava/lang/Exception;并将Ljava/lang/Exception;修改为所需的catch类型。

Modifying Local Variables

修改局部变量

To modify local variables in Smali code, you need to locate the instructions that define the local variables and modify them accordingly.

要修改Smali代码中的局部变量，您需要找到定义局部变量的指令并相应地进行修改。

For example, if you want to change the value of a local variable v0 to 123, you would locate the instruction const/16 v0, 0 and replace 0 with 123.

例如，如果您想将局部变量v0的值更改为123，您需要找到指令const/16 v0, 0并将0替换为123。

Modifying Method Parameters

修改方法参数

To modify method parameters in Smali code, you need to locate the instructions that define the method parameters and modify them accordingly.

要修改Smali代码中的方法参数，您需要找到定义方法参数的指令并相应地进行修改。

For example, if you want to change the value of a method parameter p0 to 456, you would locate the instruction const/16 p0, 0 and replace 0 with 456.

例如，如果您想将方法参数p0的值更改为456，您需要找到指令const/16 p0, 0并将0替换为456。

#Math
add-int/lit8 v0, v2, 0x1 #v2 + 0x1 and save it in v0
mul-int v0,v2,0x2 #v2*0x2 and save in v0

#Move the value of one object into another
move v1,v2

#Condtions
if-ge #Greater or equals
if-le #Less or equals
if-eq #Equals

#Get/Save attributes of an object
iget v0, p0, Lcom/google/ctf/shallweplayagame/GameActivity;->o:I #Save this.o inside v0
iput v0, p0, Lcom/google/ctf/shallweplayagame/GameActivity;->o:I #Save v0 inside this.o

#goto
:goto_6 #Declare this where you want to start a loop
if-ne v0, v9, :goto_6 #If not equals, go to: :goto_6
goto :goto_6 #Always go to: :goto_6

较大的更改

日志记录

#Log win: <number>
iget v5, p0, Lcom/google/ctf/shallweplayagame/GameActivity;->o:I #Get this.o inside v5
invoke-static {v5}, Ljava/lang/String;->valueOf(I)Ljava/lang/String; #Transform number to String
move-result-object v1 #Move to v1
const-string v5, "wins" #Save "win" inside v5
invoke-static {v5, v1}, Landroid/util/Log;->d(Ljava/lang/String;Ljava/lang/String;)I #Logging "Wins: <num>"

推荐：

• 如果你要在函数内使用已声明的变量（声明为v0、v1、v2...），请将这些行放在_.local <number>_和变量声明（const v0, 0x1）之间。
• 如果你想在函数的代码中间插入日志代码：
• 将已声明变量的数量增加2：例如，从_.locals 10_变为_.locals 12_。
• 新的变量应该是已声明变量的下一个数字（在这个例子中应该是_v10_和_v11_，记住它从v0开始）。
• 更改日志函数的代码，并使用_v10_和_v11_代替_v5_和_v1_。

Toasting

记得在函数开头的_.locals_数量上加3。

这段代码准备好了可以插入到函数的中间（根据需要更改变量的数量）。它将获取this.o的值，将其转换为字符串，然后用其值制作一个toast。

const/4 v10, 0x1
const/4 v11, 0x1
const/4 v12, 0x1
iget v10, p0, Lcom/google/ctf/shallweplayagame/GameActivity;->o:I
invoke-static {v10}, Ljava/lang/String;->valueOf(I)Ljava/lang/String;
move-result-object v11
invoke-static {p0, v11, v12}, Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/CharSequence;I)Landroid/widget/Toast;
move-result-object v12
invoke-virtual {v12}, Landroid/widget/Toast;->show()V

☁️ HackTricks云 ☁️ -🐦 推特 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥

• 你在一家网络安全公司工作吗？想要在HackTricks中看到你的公司广告吗？或者你想要获取PEASS的最新版本或下载HackTricks的PDF吗？请查看订阅计划！
• 发现我们的独家NFTs收藏品——The PEASS Family
• 获取官方PEASS和HackTricks周边产品
• 加入💬 Discord群组 或者 Telegram群组，或者关注我在Twitter上的🐦@carlospolopm。
• 通过向hacktricks repo 和hacktricks-cloud repo 提交PR来分享你的黑客技巧。