Smali - Decompiling/[Modifying]/Compiling

Reading time: 6 minutes

Czasami interesujące jest modyfikowanie kodu aplikacji, aby uzyskać dostęp do ukrytych informacji (może dobrze zafałszowanych haseł lub flag). Wtedy może być interesujące, aby zdekompilować apk, zmodyfikować kod i ponownie go skompilować.

Opcodes reference: http://pallergabor.uw.hu/androidblog/dalvik_opcodes.html

Fast Way

Używając Visual Studio Code i rozszerzenia APKLab, możesz automatycznie zdekompilować, zmodyfikować, skompilować, podpisać i zainstalować aplikację bez wykonywania jakiejkolwiek komendy.

Inny skrypt, który bardzo ułatwia to zadanie, to https://github.com/ax/apk.sh

Decompile the APK

Używając APKTool, możesz uzyskać dostęp do smali code and resources:

apktool d APP.apk

Jeśli apktool zgłasza jakikolwiek błąd, spróbuj zainstalować najowszą wersję

Niektóre interesujące pliki, które powinieneś sprawdzić to:

• res/values/strings.xml (i wszystkie xml w res/values/*)
• AndroidManifest.xml
• Każdy plik z rozszerzeniem .sqlite lub .db

Jeśli apktool ma problemy z dekodowaniem aplikacji, sprawdź https://ibotpeaches.github.io/Apktool/documentation/#framework-files lub spróbuj użyć argumentu -r (Nie dekoduj zasobów). Wtedy, jeśli problem był w zasobie, a nie w kodzie źródłowym, nie będziesz miał problemu (nie zdekodujesz również zasobów).

Zmiana kodu smali

Możesz zmienić instrukcje, zmienić wartość niektórych zmiennych lub dodać nowe instrukcje. Zmieniam kod Smali używając VS Code, następnie instalujesz rozszerzenie smalise, a edytor powie ci, czy jakakolwiek instrukcja jest niepoprawna.
Niektóre przykłady można znaleźć tutaj:

• Przykłady zmian smali
• Google CTF 2018 - Shall We Play a Game?

Lub możesz sprawdzić poniżej niektóre zmiany smali wyjaśnione.

Rekompilacja APK

Po modyfikacji kodu możesz rekompilować kod używając:

apktool b . #In the folder generated when you decompiled the application

To skompiluje nowy APK wewnątrz folderu dist.

Jeśli apktool zgłosi błąd, spróbuj zainstalować najowszą wersję

Podpisz nowy APK

Następnie musisz wygenerować klucz (zostaniesz poproszony o hasło i kilka informacji, które możesz wypełnić losowo):

keytool -genkey -v -keystore key.jks -keyalg RSA -keysize 2048 -validity 10000 -alias <your-alias>

Na koniec, podpisz nowy APK:

jarsigner -keystore key.jks path/to/dist/* <your-alias>

Optymalizuj nową aplikację

zipalign to narzędzie do wyrównywania archiwów, które zapewnia ważne optymalizacje plików aplikacji Android (APK). More information here.

zipalign [-f] [-v] <alignment> infile.apk outfile.apk
zipalign -v 4 infile.apk

Podpisz nowy APK (jeszcze raz?)

Jeśli wolisz używać apksigner zamiast jarsigner, musisz podpisać apk po zastosowaniu optymalizacji z zipalign. ALE ZWRÓĆ UWAGĘ, ŻE MUSISZ PODPISAĆ APLIKACJĘ TYLKO RAZ Z jarsigner (przed zipalign) LUB Z aspsigner (po zipalign).

apksigner sign --ks key.jks ./dist/mycompiled.apk

Modyfikacja Smali

Dla poniższego kodu Java Hello World:

public static void printHelloWorld() {
System.out.println("Hello World")
}

Kod Smali będzie:

.method public static printHelloWorld()V
.registers 2
sget-object v0, Ljava/lang/System;->out:Ljava/io/PrintStream;
const-string v1, "Hello World"
invoke-virtual {v0,v1}, Ljava/io/PrintStream;->println(Ljava/lang/String;)V
return-void
.end method

Zestaw instrukcji Smali jest dostępny tutaj.

Lekkie zmiany

Modyfikacja początkowych wartości zmiennej wewnątrz funkcji

Niektóre zmienne są definiowane na początku funkcji za pomocą opkodu const, możesz modyfikować ich wartości lub możesz zdefiniować nowe:

#Number
const v9, 0xf4240
const/4 v8, 0x1
#Strings
const-string v5, "wins"

Podstawowe operacje

#Math
add-int/lit8 v0, v2, 0x1 #v2 + 0x1 and save it in v0
mul-int v0,v2,0x2 #v2*0x2 and save in v0

#Move the value of one object into another
move v1,v2

#Condtions
if-ge #Greater or equals
if-le #Less or equals
if-eq #Equals

#Get/Save attributes of an object
iget v0, p0, Lcom/google/ctf/shallweplayagame/GameActivity;->o:I #Save this.o inside v0
iput v0, p0, Lcom/google/ctf/shallweplayagame/GameActivity;->o:I #Save v0 inside this.o

#goto
:goto_6 #Declare this where you want to start a loop
if-ne v0, v9, :goto_6 #If not equals, go to: :goto_6
goto :goto_6 #Always go to: :goto_6

Większe zmiany

Rejestrowanie

#Log win: <number>
iget v5, p0, Lcom/google/ctf/shallweplayagame/GameActivity;->o:I #Get this.o inside v5
invoke-static {v5}, Ljava/lang/String;->valueOf(I)Ljava/lang/String; #Transform number to String
move-result-object v1 #Move to v1
const-string v5, "wins" #Save "win" inside v5
invoke-static {v5, v1}, Landroid/util/Log;->d(Ljava/lang/String;Ljava/lang/String;)I #Logging "Wins: <num>"

Zalecenia:

• Jeśli zamierzasz używać zadeklarowanych zmiennych wewnątrz funkcji (zadeklarowane v0,v1,v2...) umieść te linie między .local <number> a deklaracjami zmiennych (const v0, 0x1)
• Jeśli chcesz umieścić kod logowania w środku kodu funkcji:
• Dodaj 2 do liczby zadeklarowanych zmiennych: Przykład: z .locals 10 do .locals 12
• Nowe zmienne powinny być następnymi numerami już zadeklarowanych zmiennych (w tym przykładzie powinny być v10 i v11, pamiętaj, że zaczyna się od v0).
• Zmień kod funkcji logowania i użyj v10 i v11 zamiast v5 i v1.

Toasting

Pamiętaj, aby dodać 3 do liczby .locals na początku funkcji.

Ten kod jest przygotowany do wstawienia w środku funkcji (zmień numer zmiennych w razie potrzeby). Weźmie wartość this.o, przekształci ją na String i następnie wykona toast z jej wartością.

const/4 v10, 0x1
const/4 v11, 0x1
const/4 v12, 0x1
iget v10, p0, Lcom/google/ctf/shallweplayagame/GameActivity;->o:I
invoke-static {v10}, Ljava/lang/String;->valueOf(I)Ljava/lang/String;
move-result-object v11
invoke-static {p0, v11, v12}, Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/CharSequence;I)Landroid/widget/Toast;
move-result-object v12
invoke-virtual {v12}, Landroid/widget/Toast;->show()V