Smali注入之打造屬於自己的安卓crack利器

加好友 · 發表於 2016-3-22 15:08

馬上加入Android 台灣中文網，立即免費下載應用遊戲。

您需要登錄才可以下載或查看，沒有帳號？註冊

x

關於Smali注入大家應該瞭解過，網上有不少教程。那些注入代碼看上去簡單，實際用起來得花不少功夫。

普通的注入就是在軟體源代碼中新增幾行代碼，用於改變軟體的功能，或查看某個寄存器在執行中具體的值。

需要注意的地方是：新增的注入代碼所使用的寄存器不影響其他代碼的執行。當注入代碼較多時，這個要求就變得很困難了。

在這裡我的解決辦法是：把注入代碼寫進自己專屬的crack.smali，然後在要注入的地方調用crack.smali裡的注入方法即可，只用一行注入代碼，而且不影響其他寄存器。

舉個例子說明下兩種方法的區別，假設原軟體中有以下代碼：

.method public methodName()Ljava/lang/String;
.locals 4
.prologue
const-string v0, "test1"

const-string v3, "test2"

invoke-static {v0}, Lpackage/name/ObjectName;——>methodName1(Ljava/lang/String;)Ljava/lang/String;

move-result-object v1

invoke-static {v1}, Lpackage/name/ObjectName;——>methodName2(Ljava/lang/String;)Ljava/lang/String;

move-result-object v2

invoke-static {v3}, Lpackage/name/ObjectName;——>methodName3(Ljava/lang/String;)V

new-instance v3, Ljava/lang/StringBuilder;

invoke-direct {v0, v3}, Ljava/lang/StringBuilder;-><init>(Ljava/lang/String;)V

invoke-virtual {v0, v2}, Ljava/lang/StringBuilder;->append(Ljava/lang/String;)Ljava/lang/StringBuilder;

move-result-object v0

invoke-virtual {v0}, Ljava/lang/StringBuilder;->toString()Ljava/lang/String;

move-result-object v0

return-object v0
.end method

假如我要查看move-result-object v1和move-result-object v2，兩處中v1、v2的值該如何注入？

普通的log.d注入方法如下（可以用Logcat查看日誌）：

.method public methodName()Ljava/lang/String;
.locals 5
.prologue
const-string v0, "test1"

const-string v3, "test2"

invoke-static {v0}, Lpackage/name/ObjectName;——>methodName1(Ljava/lang/String;)Ljava/lang/String;

move-result-object v1

const-string v4, "info"

invoke-static {v4, v1}, Landroid/util/Log;->d(Ljava/lang/String;Ljava/lang/String;)I

invoke-static {v1}, Lpackage/name/ObjectName;——>methodName2(Ljava/lang/String;)Ljava/lang/String;

move-result-object v2

const-string v4, "info"

invoke-static {v4, v2}, Landroid/util/Log;->d(Ljava/lang/String;Ljava/lang/String;)I

invoke-static {v3}, Lpackage/name/ObjectName;——>methodName3(Ljava/lang/String;)V

new-instance v3, Ljava/lang/StringBuilder;

invoke-direct {v0, v3}, Ljava/lang/StringBuilder;-><init>(Ljava/lang/String;)V

invoke-virtual {v0, v2}, Ljava/lang/StringBuilder;->append(Ljava/lang/String;)Ljava/lang/StringBuilder;

move-result-object v0

invoke-virtual {v0}, Ljava/lang/StringBuilder;->toString()Ljava/lang/String;

move-result-object v0

return-object v0
.end method

在上面的代碼中，我先是修改了開頭的「.locals 5」，表示使用的寄存器為v0-v4。然後我用v4作為log.d的第一個參數，寄存器v1、v2為第二個參數。

由於原代碼中，v0、v1、v2、v3從頭到尾都有使用，所以注入時使用這幾個寄存器會影響軟體的正常執行，所以我才修改「.locals」開闢新的寄存器v4。

明顯這樣注入很麻煩。而且剛好v1、v2都是字符串，符合log.d的要求。如果v1、v2為整數值，注入就更加複雜了。

下面看看建立了crack.smali的注入會如何。

假設我已經有了個crack.smali，代碼如下：

.class public Lcrack;
.super Ljava/lang/Object;
.source "crack.java"
.method public static log(Ljava/lang/String;)V
.locals 1
.prologue
const-string v0, "info"
invoke-static {v0, p0}, Landroid/util/Log;->d(Ljava/lang/String;Ljava/lang/String;)I
return-void
.end method

複製代碼

把crack.smali放到反編譯後的smali根目錄，在源代碼中注入：

.method public methodName()Ljava/lang/String;
.locals 4
.prologue
const-string v0, "test1"

const-string v3, "test2"

invoke-static {v0}, Lpackage/name/ObjectName;——>methodName1(Ljava/lang/String;)Ljava/lang/String;

move-result-object v1

invoke-static {v1}, Lcrack;->log(Ljava/lang/String;)V

invoke-static {v1}, Lpackage/name/ObjectName;——>methodName2(Ljava/lang/String;)Ljava/lang/String;

move-result-object v2

invoke-static {v2}, Lcrack;->log(Ljava/lang/String;)V

invoke-static {v3}, Lpackage/name/ObjectName;——>methodName3(Ljava/lang/String;)V

new-instance v3, Ljava/lang/StringBuilder;

invoke-direct {v0, v3}, Ljava/lang/StringBuilder;-><init>(Ljava/lang/String;)V

invoke-virtual {v0, v2}, Ljava/lang/StringBuilder;->append(Ljava/lang/String;)Ljava/lang/StringBuilder;

move-result-object v0

invoke-virtual {v0}, Ljava/lang/StringBuilder;->toString()Ljava/lang/String;

move-result-object v0

return-object v0
.end method

明顯比前面的注入方式簡單多了。crack.smali的方法可以不斷豐富，需要用時信手拈來。

既然如此，就讓我們打造屬於自己的安卓crack利器吧！

最基本的crack.smali推薦加入log日誌輸出，代碼如下：

.class public Lcrack;
.super Ljava/lang/Object;
.source "crack.java"
.method public static log(Ljava/lang/String;)V
.locals 1
.prologue
const-string v0, "info"
invoke-static {v0, p0}, Landroid/util/Log;->d(Ljava/lang/String;Ljava/lang/String;)I
return-void
.end method

複製代碼

把crack.smali放進smali目錄，在要查看的，保存了字符串的寄存器vx的下面，新增代碼：

invoke-static {vx}, Lcrack;->log(Ljava/lang/String;)V

複製代碼

保存并重新编译，在手机或模拟器上安装软件，连上电脑，打开cmd命令行：

登錄/註冊後可看大圖

220059ljfhi6cvqqmvxfxj.jpg (25.97 KB, 下載次數: 0)

下載附件保存到相冊

2016-3-22 15:12 上傳

cd到桌面，然後輸入命令adb logcat>test.txt，然後在手機上執行軟體，當軟體執行了注入的代碼（自行判斷），按ctrl+c結束，然後回到桌面。

如無法識別adb命令，請先新增adb.exe所在位置的環境變量，如我安裝了靠譜助手，我找到了它提供的adb.exe所在的路徑，然後我照下面圖設定：

登錄/註冊後可看大圖

221931i1mwqjxwimp1yi7l.jpg (44.79 KB, 下載次數: 0)

下載附件保存到相冊

2016-3-22 15:12 上傳

開啟test.txt，查找d/info，在找到的那一行的右邊就是要查看的寄存器的值。

登錄/註冊後可看大圖

220649svhtnnn6hbfatj87.jpg (18.32 KB, 下載次數: 0)

下載附件保存到相冊

2016-3-22 15:12 上傳

「info」是由「 const-string v0, "info" 」給出。可以自行修改。

上面的說的命令還可以新增過濾代碼，有經驗的人自行修改，使得test.txt的內容更簡潔。

從上面test.txt的結果可以看出，如果需要注入的位置有多處，那麼就很難分辨具體哪個結果對應哪個了。

解決辦法是，給crack.smali的log方法加序號，並複製多份log方法，參照下面修改方式，如：

.class public Lcrack;
.super Ljava/lang/Object;
.source "crack.java"
.method public static log1(Ljava/lang/String;)V
.locals 1
.prologue
const-string v0, "info1"
invoke-static {v0, p0}, Landroid/util/Log;->d(Ljava/lang/String;Ljava/lang/String;)I
return-void
.end method
.method public static log2(Ljava/lang/String;)V
.locals 1
.prologue
const-string v0, "info2"
invoke-static {v0, p0}, Landroid/util/Log;->d(Ljava/lang/String;Ljava/lang/String;)I
return-void
.end method

複製代碼

第一處注入調用log1，第二處注入調用log2，依次類推，然後根據序號對應結果。

上面說的注入，前提都是vx是String，如果vx是int型怎麼辦？

可以給crack.smali新增下面方法：

.method public static I(I)V
.locals 2
.prologue
const-string v0, "info_int"
invoke-static {p0}, Ljava/lang/String;->valueOf(I)Ljava/lang/String;
move-result-object v1
invoke-static {v0, v1}, Landroid/util/Log;->d(Ljava/lang/String;Ljava/lang/String;)I
return-void
.end method

複製代碼

上面方法調用代碼為：

invoke-static {vx}, Lcrack;->I(I)V

複製代碼

vx為要查看的寄存器。

當vx保存的是long型的話，就比較麻煩了，稍微用錯就會導致程式停止執行，所以盡量避免查看long型vx。

給crack.smali新增以下代碼：

.method public static J(J)V
.locals 2
.prologue
const-string v0, "info_long"
invoke-static {p0, p1}, Ljava/lang/String;->valueOf(J)Ljava/lang/String;
move-result-object v1
invoke-static {v0, v1}, Landroid/util/Log;->d(Ljava/lang/String;Ljava/lang/String;)I
return-void
.end method

複製代碼

上面方法調用代碼為：

invoke-static {vx, vx+1}, Lcrack;->J(J)V

複製代碼

vx為要查看的寄存器，同時確保vx+1在上面的代碼中沒有被使用過，且在.locals聲明的可使用的寄存器範圍內。

至於[C、[B、[Ljava/lang/String的查看，有機會再補上。

軟體大部分時間都在跟字符串、資料打交道。很多時候就因為某個寄存器的值不知，導致軟體代碼很難分析下去。

因此在沒有調試器的前提下，通過注入查看寄存器的值就變得非常重要了。

總是通過logcat查看寄存器值，多少有點不方便，所以下面講下如何將字符串輸出到文本。

直接用smali寫有點麻煩，所以先用java寫，編譯後再反編譯為smali，參考java代碼如下：

import java.io.*;
import android.util.Log;
public class crack
{
/*將字符串s輸出到/sdcard/debug.txt*/
public static void puts(String s)
{
try
{
String path= "/sdcard/debug.txt";
FileOutputStream outStream = new FileOutputStream(path,true);
OutputStreamWriter writer = new OutputStreamWriter(outStream,"gb2312");
writer.write(s);
write.write("
");
writer.flush();
writer.close();
outStream.close();
}
catch (Exception e)
{
Log.e("debug", "file write error");
}
}
}

複製代碼

反編譯後smali代碼如下：

.method public static puts(Ljava/lang/String;)V
.locals 7
.prologue
:try_start_0
const-string v3, "/sdcard/debug.txt"
new-instance v2, Ljava/io/FileOutputStream;
const/4 v5, 0x1
invoke-direct {v2, v3, v5}, Ljava/io/FileOutputStream;-><init>(Ljava/lang/String;Z)V
.line 19
new-instance v4, Ljava/io/OutputStreamWriter;
const-string v5, "gb2312"
invoke-direct {v4, v2, v5}, Ljava/io/OutputStreamWriter;-><init>(Ljava/io/OutputStream;Ljava/lang/String;)V
.line 21
invoke-virtual {v4, p0}, Ljava/io/OutputStreamWriter;->write(Ljava/lang/String;)V
const-string v5, "
"
invoke-virtual {v4, v5}, Ljava/io/OutputStreamWriter;->write(Ljava/lang/String;)V
.line 23
invoke-virtual {v4}, Ljava/io/OutputStreamWriter;->flush()V
.line 25
invoke-virtual {v4}, Ljava/io/OutputStreamWriter;->close()V
.line 27
invoke-virtual {v2}, Ljava/io/FileOutputStream;->close()V
:try_end_0
.catch Ljava/lang/Exception; {:try_start_0 .. :try_end_0} :catch_0
.line 37
:cond_0
:goto_0
return-void
.line 30
:catch_0
move-exception v0
.line 34
const-string v5, "debug"
const-string v6, "file write error"
invoke-static {v5, v6}, Landroid/util/Log;->e(Ljava/lang/String;Ljava/lang/String;)I
goto :goto_0
.end method

複製代碼

使用方法為，在要查看的寄存器vx的下方換行新增代碼：

invoke-static {vx}, Lcrack;->puts(Ljava/lang/String;)V

複製代碼

至於輸出整型變量到文本，請參考之前的例子，先將整型變量轉為字符串，再輸出，具體代碼這裡略過。。。

下面介紹通過注入，改變軟體獲得的imei號，讓軟體改為讀取保存在「/sdcard/deviceid/imei.txt」裡的串號。

參考java代碼如下：

import java.io.*;
public class crack {
public static String getDeviceId()
{
String path = "/sdcard/deviceid/imei.txt";
String str = null;
File f = new File(path);
if (f != null && f.exists())
{
FileInputStream fis = null;
try {
fis = new FileInputStream(f);
} catch (FileNotFoundException e1) {
e1.printStackTrace();
}
InputStreamReader inputStreamReader = null;
try {
inputStreamReader = new InputStreamReader(fis, "utf-8");
try {
BufferedReader reader = new BufferedReader(inputStreamReader);
StringBuffer sb = new StringBuffer("");
String line;
line = reader.readLine();
sb.append(line);
reader.close();
fis.close();
str = sb.toString();
} catch (IOException e) {
e.printStackTrace();
}
} catch (UnsupportedEncodingException e) {
e.printStackTrace();
}
}
return str;
}
}

複製代碼

反編譯後得到的smali代碼如下：

.method public static getDeviceId()Ljava/lang/String;
.locals 13
.prologue
const-string v8, "/sdcard/deviceid/imei.txt"
const/4 v11, 0x0
new-instance v2, Ljava/io/File;
invoke-direct {v2, v8}, Ljava/io/File;-><init>(Ljava/lang/String;)V
if-eqz v2, :cond_0
invoke-virtual {v2}, Ljava/io/File;->exists()Z
move-result v12
if-eqz v12, :cond_0
const/4 v3, 0x0
:try_start_0
new-instance v4, Ljava/io/FileInputStream;
invoke-direct {v4, v2}, Ljava/io/FileInputStream;-><init>(Ljava/io/File;)V
:try_end_0
.catch Ljava/io/FileNotFoundException; {:try_start_0 .. :try_end_0} :catch_0
move-object v3, v4
:goto_0
const/4 v5, 0x0
:try_start_1
new-instance v6, Ljava/io/InputStreamReader;
const-string v12, "utf-8"
invoke-direct {v6, v3, v12}, Ljava/io/InputStreamReader;-><init>(Ljava/io/InputStream;Ljava/lang/String;)V
:try_end_1
.catch Ljava/io/UnsupportedEncodingException; {:try_start_1 .. :try_end_1} :catch_3
:try_start_2
new-instance v9, Ljava/io/BufferedReader;
invoke-direct {v9, v6}, Ljava/io/BufferedReader;-><init>(Ljava/io/Reader;)V
new-instance v10, Ljava/lang/StringBuffer;
const-string v12, ""
invoke-direct {v10, v12}, Ljava/lang/StringBuffer;-><init>(Ljava/lang/String;)V
invoke-virtual {v9}, Ljava/io/BufferedReader;->readLine()Ljava/lang/String;
move-result-object v7
invoke-virtual {v10, v7}, Ljava/lang/StringBuffer;->append(Ljava/lang/String;)Ljava/lang/StringBuffer;
invoke-virtual {v9}, Ljava/io/BufferedReader;->close()V
invoke-virtual {v3}, Ljava/io/FileInputStream;->close()V
invoke-virtual {v10}, Ljava/lang/StringBuffer;->toString()Ljava/lang/String;
:try_end_2
.catch Ljava/io/IOException; {:try_start_2 .. :try_end_2} :catch_1
.catch Ljava/io/UnsupportedEncodingException; {:try_start_2 .. :try_end_2} :catch_2
move-result-object v11
:cond_0
:goto_1
return-object v11
:catch_0
move-exception v1
invoke-virtual {v1}, Ljava/io/FileNotFoundException;->printStackTrace()V
goto :goto_0
:catch_1
move-exception v0
:try_start_3
invoke-virtual {v0}, Ljava/io/IOException;->printStackTrace()V
:try_end_3
.catch Ljava/io/UnsupportedEncodingException; {:try_start_3 .. :try_end_3} :catch_2
goto :goto_1
:catch_2
move-exception v0
move-object v5, v6
:goto_2
invoke-virtual {v0}, Ljava/io/UnsupportedEncodingException;->printStackTrace()V
goto :goto_1
:catch_3
move-exception v0
goto :goto_2
.end method

複製代碼

使用方法為:

查找

Landroid/telephony/TelephonyManager;->getDeviceId()Ljava/lang/String;

複製代碼

在下面換行新增

invoke-static {}, Lcrack;->getDeviceId()Ljava/lang/String;

複製代碼

加好友 · 發表於 2016-9-3 13:50

不錯,謝謝分享!

可以幫我嗎?
求會 JAVA或SMALI 碼幫忙修改apk,感謝!

加好友 · 發表於 2016-9-10 23:04

終於找到教學smali插入代碼的文了.......!!!!!!!!!
想給你一萬個碎鑽
但我真的沒有..
萬分感謝!!

加好友 · 發表於 2016-9-14 09:55

very goooood !!! 很棒！谢谢分享。

加好友 · 發表於 2017-4-10 22:14

很棒！谢谢分享.............

[教程] Smali注入之打造屬於自己的安卓crack利器

馬上加入Android 台灣中文網，立即免費下載應用遊戲。

評分

相關帖子

警告：您的Adblck已啟用