Smali基础知识

2024-05-09 09:48
文章标签 基础知识 smali

本文主要是介绍Smali基础知识,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

亲测可用,如有问题请私信!

Smali是什么?
简介
Smali是用于Dalvik(Android虚拟机)的反汇编程序实现,汇编工具(将Smali代码汇编为dex文件)为smali.jar,与之对应的baksmali.jar则是反汇编程序(下载地址),官方所说的基于Jasmin/dedexer语法,实际根不知道是什么鬼……

Smali支持注解、调试信息、行数信息等基本Java的基本特性,可以说是很接近Java编译在JVM上的中间语言了,一般用来做Android程序的逆向工程,还可以。。搞搞小名堂

个人认为Smali只是用于做反汇编的一种语言实现,如果可以,自己也能定义一套这样的语言,实现反汇编的效果

Smali基础
下面的内容涉及一些Smali编程的结构和基本语法,这些基本语法,在使用Smali修改App逻辑时需要用到
Smali文件结构
一个Smali文件对应的是一个Java的类,更准确的说是一个.class文件,如果有内部类,需要写成ClassName$InnerClassA、ClassName$InnerClassB…这样的形式

基本类型
类型关键字    对应Java中的类型说明
V    void,只能用于返回类型
Z    boolean
B    byte
S    short
C    char
I    int
J    long (64 bits)
F    float
D    double (64 bits)
对象
Object类型,即引用类型的对象,在引用时,使用L开头,后面紧接着的是完整的包名,比如:java.lang.String对应的Smali语法则是Ljava/lang/String

数组
数组定义比较有意思,一维数组在类型的左边加一个方括号,比如:[I等同于Java的int[],每多一维就加一个方括号,最多可以设置255维。。。

方法声明及调用
官方Wiki中给出的Smali引用方法的模板如下:

    Lpackage/name/ObjectName;->MethodName(III)Z
1
第一部分Lpackage/name/ObjectName;用于声明具体的类型,以便JVM寻找

第二部分MethodName(III)Z,其中MethodName为具体的方法名,()中的字符,表示了参数数量和类型,即3个int型参数,Z为返回值的类型,即返回Boolean类型

由于方法的参数列表没有使用逗号这样的分隔符进行划分,所以只能从左到右,根据类型定义来区分参数个数,这一点需要比较仔细来观察

如果需要调用构造方法,则MethodName为:<init>

寄存器声明及使用
在Smali中,如果需要存储变量,必须先声明足够数量的寄存器,1个寄存器可以存储32位长度的类型,比如Int,而两个寄存器可以存储64位长度类型的数据,比如Long或Double

声明可使用的寄存器数量的方式为:.registers N,N代表需要的寄存器的总个数,同时,还有一个关键字.locals,它用于声明非参数的寄存器个数(包含在registers声明的个数当中),也叫做本地寄存器,只在一个方法内有效,但不常用,一般使用registers即可

示例:

.method private test(I)V
    .registers 4  # 声明总共需要使用4个寄存器

    const-string v0, "LOG"  # 将v0寄存器赋值为字符串常量"LOG"

    move v1, p1  # 将int型参数的值赋给v1寄存器

    return-void
.end method

结合Dalvik常用的指令进行操作,即可实现一些需要的功能

那么,如何确定需要使用的寄存器的个数?

由于非static方法,需要占用一个寄存器以保存this指针,那么这类方法的寄存器个数,最低就为1,如果还需要处理传入的参数,则需要再次叠加,此时还需要考虑Double和Float这种需要占用两个寄存器的参数类型,举例来看:

如果一个Java方法声明如下:

myMethod(int p1, float p2, boolean p3)

那么对应的Smali则为:

method LMyObject;->myMethod(IJZ)V

此时,寄存器的对应情况如下:

寄存器名称    对应的引用
p0    this
p1    int型的p1参数
p2, p3    float型的p2参数
p4    boolean型的p3参数
那么最少需要的寄存器个数则为:5

如果方法体内含有常量、变量等定义,则需要根据情况增加寄存器个数,数量只要满足需求,保证需要获取的值不被后面的赋值冲掉即可,方法有:存入类中的字段中(存入后,寄存器可被重新赋值),或者长期占用一个寄存器

Dalvik指令集
如果需要使用Smali编写程序,还需要掌握常用的Dalvik虚拟机指令,其合集称为Dalvik指令集。这些指令有点类似x86汇编的指令,但指令更多,使用也非常简单方便。最详尽的介绍,可以参考Android官方的Dalvik相关文档:https://source.android.com/devices/tech/dalvik/dalvik-bytecode#instructions

一般的指令格式为:[op]-[type](可选)/[位宽,默认4位] [目标寄存器],[源寄存器](可选),比如:move v1,v2,move-wide/from16 v1,v2

这里也列举一些常用的指令,并结合Smali进行说明:

移位操作:
此类操作常用于赋值

指令    说明
move v1,v2    将v2中的值移入到v1寄存器中(4位,支持int型)
move/from16 v1,v2    将16位的v2寄存器中的值移入到8位的v1寄存器中
move/16 v1,v2    将16位的v2寄存器中的值移入到16位的v1寄存器中
move-wide v1,v2    将寄存器对(一组,用于支持双字型)v2中的值移入到v1寄存器对中(4位,猜测支持float、double型)
move-wide/from16 v1,v2    将16位的v2寄存器对(一组)中的值移入到8位的v1寄存器中
move-wide/16 v1,v2    将16位的v2寄存器对(一组)中的值移入到16位的v1寄存器中
move-object v1,v2    将v2中的对象指针移入到v1寄存器中
move-object/from16 v1,v2    将16位的v2寄存器中的对象指针移入到v1(8位)寄存器中
move-object/16 v1,v2    将16位的v2寄存器中的对象指针移入到v1(16位)寄存器中
move-result v1    将这个指令的上一条指令计算结果,移入到v1寄存器中(需要配合invoke-static、invoke-virtual等指令使用)
move-result-object v1    将上条计算结果的对象指针移入v1寄存器
move-result-wide v1    将上条计算结果(双字)的对象指针移入v1寄存器
move-exception v1    将异常移入v1寄存器,用于捕获try-catch语句中的异常
- 返回操作:

用于返回值,对应Java中的return语句

指令    说明
return-void    返回void,即直接返回
return v1    返回v1寄存器中的值
return-object v1    返回v1寄存器中的对象指针
return-wide v1    返回双字型结果给v1寄存器
- 常量操作:

用于声明常量,比如字符串常量(仅声明,String a = “abc”这种语句包含声明和赋值)

指令    说明
const(/4、/16、/hight16) v1 xxx    将常量xxx赋值给v1寄存器,/后的类型,需要根据xxx的长度选择
const-wide(/16、/32、/hight16) v1 xxx    将双字型常量xxx赋值给v1寄存器,/后的类型,需要根据xxx的长度选择
const-string(/jumbo) v1 “aaa”    将字符串常量”aaa”赋给v1寄存器,过长时需要加上jumbo
const-class v1 La/b/TargetClass    将Class常量a.b.TargetClass赋值给v1,等价于a.b.TargetClass.class
- 调用操作:

用于调用方法,基本格式:invoke-kind {vC, vD, vE, vF, vG}, meth@BBBB,其中,BBBB代表方法引用(参见上面介绍的方法定义及调用),vC~G为需要的参数,根据顺序一一对应

指令    说明
invoke-virtual    用于调用一般的,非private、非static、非final、非构造函数的方法,它的第一个参数往往会传p0,也就是this指针
invoke-super    用于调用父类中的方法,其他和invoke-virtual保持一致
invoke-direct    用于调用private修饰的方法,或者构造方法
invoke-static    用于调用静态方法,比如一些工具类
invoke-interface    用于调用interface中的方法
- 判断操作:

判断操作用来比较一个寄存器中的值,是否与目标寄存器中的值相等或不等,对应Java中的if语句,格式为:if-[test] v1,v2, [condition],其衍生操作还有专门与0进行比较的if-[test]z v1, [condition],其中[condition]为符合判断结果后的跳转条件,需要提前定义好。判断操作也通常和goto配合使用,用来实现循环或者if-else语句

指令    说明
if-eq v1,v2    判断两个寄存器中的值是否相等
if-ne v1,v2    判断两个寄存器中的值是否不相等
if-lt v1,v2    判断v1寄存器中的值是否小于v2寄存器中的值(lt == less than)
if-ge v1,v2    判断v1寄存器中的值是否大于或等于v2寄存器中的值(ge == great than or equals)
if-gt v1,v2    判断v1寄存器中的值是否大于v2寄存器中的值(gt == great than)
if-le v1,v2    判断v1寄存器中的值是否小于或等于v2寄存器中的值(le == less than or equals)
需要注意的是,在Java中编写的if语句,往往在对应的Smali中,会变成相反的判断逻辑,如下面所示:

    private void test() {
        int a = 0;
        int b = 1;
        String result;
        if (a > b) {
            result = "a great than b";
        } else {
            result = "a less than or equals b";
        }
    }

上面的Java代码逻辑很简单——一个很简单的if语句,为了在Smali中看的更清楚,我只做了字符串赋值操作。下面是对应的Smali代码:

.method private test()V
    .registers 4

    .line 24
    const/4 v0, 0x0

    .line 25
    .local v0, "a":I
    const/4 v1, 0x1

    .line 27
    .local v1, "b":I
    if-le v0, v1, :cond_7

    .line 28
    const-string v2, "a great than b"

    .line 28
    .local v2, "result":Ljava/lang/String;
    goto :goto_9

    .line 30
    .end local v2    # "result":Ljava/lang/String;
    :cond_7
    const-string v2, "a less than or equals b"

    .line 32
    .restart local v2    # "result":Ljava/lang/String;
    :goto_9
    return-void
.end method

仔细观察可以发现:

属性操作:
属性操作的分为:取值(get)和赋值(put)

目标类型分为:数组(array)、实例(instance)和静态(static)三种,对应的缩写前缀就是a、i、s

长度类型分为:默认(什么都不写)、wide(宽,64位)、object(对象)、boolean、byte、char、short(后面几种就不解释了,和Java一致)

指令格式:[指令名] [源寄存器], [目标字段所在对象寄存器], [字段指针],示例代码如下,操作是为int型的类成员变量mIntA赋值为100:

const/16 v0, 0x64

iput v0, p0, Lcom/coderyuan/smali/MainActivity;->mIntA:I

下面列出用于实例字段的指令,其中i都可以换成a或者s,分别用于操作数组字段或者静态字段

指令    说明
iget    取值,用于操作int这种的值类型
iget-wide    取值,用于操作wide型字段
iget-object    取值,用于操作对象引用
iget-boolean    取值,用于操作布尔类型
iget-byte    取值,用于操作字节类型
iget-char    取值,用于操作字符类型
iget-short    取值,用于操作short类型
iput    赋值,用于操作int这种的值类型
iput-wide    赋值,用于操作wide型字段
iput-object    赋值,用于操作对象引用
iput-boolean    赋值,用于操作布尔类型
iput-byte    赋值,用于操作字节类型
iput-char    赋值,用于操作字符类型
iput-short    赋值,用于操作short类型
举例:

以下Java代码是进行的是最基本的类成员变量的赋值、取值操作

    private String mStringA;
    private int mIntA;
    private Activity mActivityA;

    public void fieldTest() {
        mStringA = "Put String to mStringA";
        mIntA = 100;
        mActivityA = this;

        int len = mStringA.length();
    }

对应的Smali代码如下:

# instance fields
.field private mActivityA:Landroid/app/Activity;

.field private mIntA:I

.field private mStringA:Ljava/lang/String;

# virtual methods
.method public fieldTest()V
    .registers 2

    .line 55
    const-string v0, "Put String to mStringA"

    iput-object v0, p0, Lcom/coderyuan/smali/MainActivity;->mStringA:Ljava/lang/String;

    .line 56
    const/16 v0, 0x64

    iput v0, p0, Lcom/coderyuan/smali/MainActivity;->mIntA:I

    .line 57
    iput-object p0, p0, Lcom/coderyuan/smali/MainActivity;->mActivityA:Landroid/app/Activity;

    .line 59
    iget-object v0, p0, Lcom/coderyuan/smali/MainActivity;->mStringA:Ljava/lang/String;

    invoke-virtual {v0}, Ljava/lang/String;->length()I

    move-result v0

    .line 60
    .local v0, "len":I
    return-void
.end method

根据Java和Smali代码的对比,值得注意的是,Smali获取类成员变量的方法,比较接近函数调用,只不过没有函数调用时的参数

其他指令:
除以上介绍的几种基本的Dalvik指令外,Dalvik还支持值类型转换(如:int转float,double转float等)、基本运算(数学运算、逻辑运算、自增)两种指令集,这里只列举一些常用的指令,其他的可以参考上面提到的Google官方文档

指令    说明
add-int/lit8 v1, v2, 0x1    给v2寄存器+1,并存入v1寄存器(注意:lit8是对要加的常量的长度限制,如果不写,则为4位,还可选择lit16,即16位)
add-int/2addr v1, v2    将v1、v2寄存器中的值相加,并赋值给v1寄存器
float-to-int v1, v2    将v2寄存器中的float类型值转换为int类型,并赋值给v1寄存器
Smali能干什么?
虽然我们了解了Smali的基本语法,但一般不会直接编写Smali来进行功能开发,这样成本过高,而了解Smali的目的,是为了做Android的逆向工程,如:分析APP的原理、漏洞检测,当然,也可以对一些APP做一些小改动(最好不要做一些伤天害理、违法乱纪、损人不利己的事),具体如何进行逆向,我将在下一篇Smali相关的文章中进一步介绍!
 

这篇关于Smali基础知识的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/973069

相关文章

linux-基础知识3

打包和压缩 zip 安装zip软件包 yum -y install zip unzip 压缩打包命令: zip -q -r -d -u 压缩包文件名 目录和文件名列表 -q:不显示命令执行过程-r:递归处理,打包各级子目录和文件-u:把文件增加/替换到压缩包中-d:从压缩包中删除指定的文件 解压:unzip 压缩包名 打包文件 把压缩包从服务器下载到本地 把压缩包上传到服务器(zip

计组基础知识

操作系统的特征 并发共享虚拟异步 操作系统的功能 1、资源分配,资源回收硬件资源 CPU、内存、硬盘、I/O设备。2、为应⽤程序提供服务操作系统将硬件资源的操作封装起来,提供相对统⼀的接⼝(系统调⽤)供开发者调⽤。3、管理应⽤程序即控制进程的⽣命周期:进程开始时的环境配置和资源分配、进程结束后的资源回收、进程调度等。4、操作系统内核的功能(1)进程调度能⼒: 管理进程、线

go基础知识归纳总结

无缓冲的 channel 和有缓冲的 channel 的区别? 在 Go 语言中,channel 是用来在 goroutines 之间传递数据的主要机制。它们有两种类型:无缓冲的 channel 和有缓冲的 channel。 无缓冲的 channel 行为:无缓冲的 channel 是一种同步的通信方式,发送和接收必须同时发生。如果一个 goroutine 试图通过无缓冲 channel

java常用面试题-基础知识分享

什么是Java? Java是一种高级编程语言,旨在提供跨平台的解决方案。它是一种面向对象的语言,具有简单、结构化、可移植、可靠、安全等特点。 Java的主要特点是什么? Java的主要特点包括: 简单性:Java的语法相对简单,易于学习和使用。面向对象:Java是一种完全面向对象的语言,支持封装、继承和多态。跨平台性:Java的程序可以在不同的操作系统上运行,称为"Write once,

关于回调函数和钩子函数基础知识的整理

回调函数:Callback Function 什么是回调函数? 首先做一个形象的比喻:   你有一个任务,但是有一部分你不会做,或者说不愿做,所以我来帮你做这部分,你做你其它的任务工作或者等着我的消息,但是当我完成的时候我要通知你我做好了,你可以用了,我怎么通知你呢?你给我一部手机,让我做完后给你打电话,我就打给你了,你拿到我的成果加到你的工作中,继续完成其它的工作.这就叫回叫,手机

有关机械硬盘的基础知识

1,机械硬盘的品牌   目前市场中常见的笔记本电脑的机械硬盘品牌主要有希捷、西部数据、三星等。   2,机械硬盘的容量   硬盘容量,即硬盘所能存储的最大数据量。虽然笔记本电脑硬盘的容量会因单位密度的提升而增加,不过和台式电脑的大容量比起来,笔记本电脑硬盘的容量仍然落后许多。笔记本电脑的硬盘除了对磁盘有体积较小和数量较少的要求之外,对功耗、耐用程度、抗震性及成本等的考虑,也让笔记

OpenGL ES学习总结:基础知识简介

什么是OpenGL ES? OpenGL ES (为OpenGL for Embedded System的缩写) 为适用于嵌入式系统的一个免费二维和三维图形库。 为桌面版本OpenGL 的一个子集。 OpenGL ES管道(Pipeline) OpenGL ES 1.x 的工序是固定的,称为Fix-Function Pipeline,可以想象一个带有很多控制开关的机器,尽管加工

计算机基础知识复习9.6

点对点链路:两个相邻节点通过一个链路相连,没有第三者 应用:PPP协议,常用于广域网 广播式链路:所有主机共享通信介质 应用:早期的总线以太网,无线局域网,常用于局域网 典型拓扑结构:总线型 星型(逻辑总线型) 介质访问控制  静态划分信道 信道划分介质访问控制 频分多路复用FDM 时分多路复用TDM 波分多路复用WDM 码分多路复用CDM 动态分配信道 轮询访问介质访问控

Gitflow基础知识

0.理想状态 现状 听完后的理想状态 没使用过 git 知道 git 是什么,会用 git 基础流程命令 用过 git,但只通过图形化界面操作 脱离图形化界面操作,通过 git 命令操作 会 git 命令 掌握 gitflow 规范,合理使用 rebase 和解决代码冲突问题 1.Git 的基础流程&命令 1.1 基础概念 工作区:代码生产基地,pycharm

[JAVA基础知识汇总-1] 创建线程的几种方式

文章目录 1. 继承Thread类2. 实现Runnable接口3. 实现Callable接口4. 线程池 可以认为有四种方式,也可以认为有一种,因为都跟Runnable接口有关 1. 继承Thread类 代码 public class Thread1ExtendsThread extends Thread {// public Thread1(String n