Android逆向入门教程

前言

什么是 Android 逆向开发？

Android 逆向开发是指对已发布的 Android 应用进行分析和破解，以了解应用程序的内部工作原理，获取应用程序的敏感信息，或者修改应用程序的行为。逆向开发可以帮助开发人员了解他人的代码实现，也可以帮助黑客攻击应用程序。

1 APKTool 介绍

APKTool 是一个开源的、跨平台的反编译、回编译 Android 应用程序的工具。它能够将 APK 文件解压并还原成 Android 应用程序的资源文件和 Smali 代码，还能将修改后的资源文件和 Smali 代码重新打包成 APK 文件。APKTool 是 Android 应用程序开发和逆向开发的重要工具之一，它能够帮助开发者对 APK 文件进行修改、分析和定制，也能够帮助安全研究人员和黑客对应用程序进行逆向工程和漏洞分析。

APKTool 的主要功能包括

解压 APK 文件：APKTool 能够将 APK 文件解压为应用程序的源代码和资源文件。解压后的资源文件包括 AndroidManifest.xml、res 目录、assets 目录等；解压后的源代码包括 Java 代码和 Smali 代码。
反编译 APK 文件：APKTool 能够将 APK 文件反编译为 Java 代码和 Smali 代码。反编译后的 Java 代码和 Smali 代码能够帮助开发者了解应用程序的逻辑和实现方式，也能够帮助安全研究人员和黑客分析应用程序的漏洞和安全性。
重打包 APK 文件：APKTool 能够将修改后的源代码和资源文件重新打包成 APK 文件。重打包后的 APK 文件可以直接安装到 Android 设备上运行，也可以用于二次开发、分析和测试。
支持多语言：APKTool 能够处理多语言的应用程序，它支持多种语言的资源文件，可以方便地进行多语言的应用程序开发和本地化。
支持自定义：APKTool 提供了多种配置选项，可以根据需要自定义应用程序的打包和解包过程，也可以定制应用程序的资源文件和 Smali 代码。

2安装apktool

APKtool官网：https://ibotpeaches.github.io/Apktool/

APKtool下载：https://bitbucket.org/iBotPeaches/apktool/downloads/

APKtool源码：GitHub - iBotPeaches/Apktool: A tool for reverse engineering Android apk files

2.1 官方安装说明（Windows版本）

2.1.1下载Windows包装脚本

打开一个新的浏览器窗口。

复制以下链接：

https://raw.githubusercontent.com/iBotPeaches/Apktool/master/scripts/windows/apktool.bat

右键点击，选择“另存为”，并将其保存为一个名为apk_run.bat的文件。

作者已经整理了一份：放在：软件包/apktool目录下

2.1.2下载最新版本的Apktool

访问apktool的GitHub页面：

https://github.com/iBotPeaches/Apktool

在页面上，您通常会看到一个“下载”或“releases”选项。点击它，然后选择最新版本的apktool

下载zip文件或tar文件。

Github 直达链接：github.com/iBotPeaches…]

(https://github.com/iBotPeaches/Apktool)

找到 Releases 选项并点击

我们可以看到 apktool 最新版本是 2.7.0 版本

找到 Assets 区域，找到 apktool_2.7.0.jar Jar 包进行下载

2.1.3重命名下载的jar文件为apktool.jar

解压您刚下载的文件（如果需要）。

在解压后的文件中，找到jar文件。

将其重命名为apktool.jar。

2.1.4 将apktool.jar和apktool.bat移动到Windows目录

(任意目录都可以)

打开文件资源管理器。

导航到C:\Windows目录（这通常是Windows的安装目录）。

将apktool.jar和apktool.bat复制或移动到这个目录中。

2.1.5添加环境变量

如果您没有直接访问C:\Windows的权限，或者想在其他位置安装apktool，您可以将其添加到系统的PATH环境变量中。这样，您就可以在任何目录下访问它。

按Win + Pause/Break键打开系统属性。

选择“高级”选项卡，然后点击“环境变量”。

在“系统变量”部分，找到名为“Path”的变量，然后点击“编辑”。

在值的末尾添加apktool的目录（例如，如果它在C:\Users\YourUsername\Documents\apktool，那么添加C:\Users\YourUsername\Documents\apktool）。确保在值的末尾添加分号（;）作为分隔符。

2.1.6运行apktool

打开命令提示符（CMD）。

输入apktool并按Enter键。如果一切正常，您应该看到apktool的帮助信息。

3 apk 反编译

下载完 jar 后，找一个你想要反编译apk，然后输入以下命令即可

.\apk_run.bat d .\5_base.apk -o .\5_base

或

java -jar xxx/apktool-2.7.0.jar d xxx/test.apk -o xxx/test

这句命令的意思是，将 test.apk 进行反编译，然后输出到 test 目录下

然后我们看到到命令行输出完以下指令就证明反编译成功了

I: Using Apktool 2.7.0 on test.apk

I: Loading resource table...

I: Decoding AndroidManifest.xml with resources...

I: Loading resource table from file: /Users/xxx/Library/apktool/framework/1.apk

I: Regular manifest package...

I: Decoding file-resources...

I: Decoding values */* XMLs...

I: Baksmaling classes.dex...

I: Copying assets and libs...

I: Copying unknown files...

I: Copying original files...

然后我们看到 test 目录就生成了以下这些文件

那么 apktool 生成这些文件和目录分别是什么呢？

original 目录：保存了原始的 AndroidManifest.xml 和签名信息
res 目录：应用程序的资源文件目录，包含了应用程序的布局文件、字符串资源、图片资源等。
smali 目录：应用程序的 Smali 代码目录，包含了应用程序的所有 smali 代码文件（Smali 就是字节码）
assets 目录：应用程序的 assets 目录，包含了应用程序需要使用的各种资源文件，例如音频、视频、图片、配置文件等。
lib 目录：应用程序的库目录，包含了应用程序需要使用的库文件，例如 so 文件等。
AndroidManifest.xml：应用程序的清单文件，包含应用程序的名称、包名、版本号、权限等信息。
apktool.yml：是 APKTool 工具使用的配置文件，用于指定反编译和打包 APK 文件时的各种参数和选项。

4 apk 回编译

反编译完成后，我们可以尝试修改 apk 内容了，我们这里尝试修改 App 名字，方法也简单，在直接修改清单文件的属性值

<?xml version="1.0" encoding="utf-8" standalone="no"?>

<manifest

    xmlns:android="http://schemas.android.com/apk/res/android"

    package="com.xxx.xxx"

    platformBuildVersionCode="25"

    platformBuildVersionName="7.1.1">



    <uses-permission android:name="android.permission.SYSTEM_ALERT_WINDOW"/>



    <application

        android:allowBackup="true"

        android:icon="@mipmap/ic_launcher"

        android:label="我是被反编译修改过的名字"

        android:supportsRtl="true"

        android:theme="@android:style/Theme.Holo.Light.DarkActionBar">

    </application>

</manifest>

然后输入以下命令进行回编译

.\apk_run.bat b .\5_base -o .\6_base.apk

或

java -jar xxx/apktool-2.7.0.jar b xxx/test -o xxx/test2.apk

这句命令的意思是，对 test 目录进行回编译，然后输出到 test.apk 文件

I: Using Apktool 2.7.0

I: Checking whether sources has changed...

I: Smaling smali folder into classes.dex...

W: Unknown file type, ignoring: xxx/test/smali/.DS_Store

W: Unknown file type, ignoring: xxx/test/smali/com/.DS_Store

W: Unknown file type, ignoring: xxx/test/smali/com/toshiba/.DS_Store

I: Checking whether resources has changed...

I: Building resources...

I: Building apk file...

I: Copying unknown files/dir...

I: Built apk into: xxx/test2.apk

这个时候我们就可以看到 apk 已经回编译完成了，过程十分简单

Ps：如果无法进行反编译或者回编译，可以尝试以下方法

检查路径包含中文

检查当前电脑用户文件夹包含中文
检查当前反编译或者回编译输入和输出的路径包含中文

更换 apktool jar 包版本
指定 framework-res.apk

1提取高版本的 framework-res.apk（存放在 /system/framework 目录下）

2提取完后放到某个文件夹中并且重名为 1.apk，这里示例放在了 framework-res/1.apk

3在反编译或者回编译的时候，在命令尾处加入 -p xxx/framework-res/ 来指定 framework-res.apk 文件

5 apk 签名（apksigner工具）

这个时候回编译出来的 apk 还不能安装到手机上面，因为它还有没有签名，需要先进行签名，说到签名，就必须要介绍的两个工具

jarsigner：是 JDK 自带的工具，用于给 Java 程序的 jar 包进行数字签名。该工具可以对 jar 包进行签名、验证签名、查看签名信息等操作，可以用于保证 Java 程序的完整性和安全性。

apksigner：是 Android SDK 自带的工具，用于给 Android 应用程序进行数字签名。该工具可以对 APK 文件进行签名、验证签名、查看签名信息等操作，可以用于保证 Android 应用程序的完整性和安全性。

这两者不同之处在于，jarsigner 只能进行 v1 签名，而 apksigner 可以进行 v1 + v2 + v3 签名，那么这几种签名方式分别有什么区别呢？

v1 签名：基于签名的 Jar 包的方案，但是有如下两个缺陷：

有篡改的风险：META-INF 目录用来存放签名，自然此目录本身是不计入签名校验过程的，可以随意在这个目录中添加文件，比如一些快速批量打包方案就选择在这个目录中添加渠道文件。
apk 校验速度慢：校验过程中需要对 apk 中所有文件进行解压和摘要计算（ SHA-256 ），在 APK 资源很多、性能较差的机器上签名校验会花费较长时间，导致安装速度慢。

v2 签名（Android 7.0 引入）：对整个 apk 进行签名（通过二进制流运算出哈希值），解决了 v1 带来的问题。v2 签名会在 apk 块中新增一个签名块，里面中存储了签名、签名算法、摘要等。一个签名块还可以包含多个 id 和 value，apk 的签名信息会存放在 ID 为 0x7109871a 的键值对里，而美团多渠道打包(瓦力) 正是直接将渠道信息通过添加到签名块的 id 和 value 中。

v3 签名（Android 9.0 引入）：在 v2 的签名块里面添加了一个 ID 为 0xf05368c0 的新块（证书块），在这里支持添加多个签名证书（可以看成单链表），由此来做证书替换和升级。

签名兼容过程：为了最大限度地提高兼容性，会按照 v1、v2、v3 的先后顺序采用所有方案对应用进行签名，系统验证签名方案是从高往低走，如果没有 v2 签名，才会用 v1 签名对 apk 进行校验。另外如果 targetSdk 已经适配 Android 11 版本及以上，那么如果 apk 不签名 v2 会无法安装到 Android 11 的机型上面，需要注意的是，对于覆盖安装的情况，签名校验只支持升级，而不支持降级。也就是说设备上安装了一个使用 v1 签名的 APK，可以使用 v2 签名的 APK 进行覆盖安装，反之则不允许。

了解了 Android 相关的知识点，所以我们这里选择 apksigner 来签名。

5.0 apksigner工具从哪里找？

打开Android Studio软件

点击：file > project structure...

在Android Studio本地SDK目录中查找签名工具

5.1签名命令

java -jar C:\Users\Lenovo\AppData\Local\Android\Sdk\build-tools\34.0.0\lib\apksigner.jar sign --ks "密钥库文件路径" --ks-pass pass:"密钥库密码" --ks-key-alias "密钥别名" --key-pass pass:"密钥别名密码" --out 签名后输出的文件.apk 需要被签名的文件.apk

上面的命令解释如下：

sign：使用 apksigner 工具进行数字签名操作

--ks：指定签名证书的 keystore 文件路径

Keystore的用法，详见《安全加密基础-基础概念、keytool、openssl》

--ks-pass pass：指定签名证书的 keystore 密码

--ks-key-alias：指定签名证书的别名

--key-pass pass：指定签名证书的别名密码

--out：指定签名后的 APK 文件名

那么我如果想指定 apksigner 签名方案，需要怎么做呢？我们可以在 Android 官网找到答案

5.2同时签名 v1 + v2 + v3 的命令

如果我要同时签名 v1 + v2 + v3 方案，那么可以将上面的命令修改成下面这样

java -jar C:\Users\Lenovo\AppData\Local\Android\Sdk\build-tools\34.0.0\lib\apksigner.jar sign --v1-signing-enabled true --v2-signing-enabled true --v3-signing-enabled true --ks "密钥库文件路径" --ks-pass pass:"密钥库密码" --ks-key-alias "密钥别名" --key-pass pass:"密钥别名密码" --out 签名后输出的文件.apk 需要被签名的文件.apk

5.3验证apk签名

我如果签名完了，如何去验证 apk 签名？可以输入以下命令进行验证

java -jar C:\Users\Lenovo\AppData\Local\Android\Sdk\build-tools\34.0.0\lib\apksigner.jar sign verify -verbose -print-certs 需要验证签名的文件.apk

Verified using v1 scheme (JAR signing): true

Verified using v2 scheme (APK Signature Scheme v2): true

Verified using v3 scheme (APK Signature Scheme v3): true

Verified using v3.1 scheme (APK Signature Scheme v3.1): false

Verified using v4 scheme (APK Signature Scheme v4): false

当然还有另外一种土方子，就是在知道 apk 有签名的情况下，但是你只想知道 apk 有没有用 v2 以上的签名方案，又嫌输入命令行太麻烦，可以通过这种方式来判断：可以在 apk 根目录找到 META-INF/CERT.SF 文件，如果其文件头有 X-Android-APK-Signed 字段，证明使用了 v2 以上的签名方式，如果没有则可能使用了 v1 的签名或者没有签名。