Android逆向-Android基礎(chǔ)逆向（2-2）

[toc]

#0x00 前言
##不知所以然，請看
Android逆向-Android基礎(chǔ)逆向（1）
Android逆向-Android基礎(chǔ)逆向（2）
##以及java系列：
Android逆向-java代碼基礎(chǔ)（1）
Android逆向-java代碼基礎(chǔ)（2）
Android逆向-java代碼基礎(chǔ)（3）
Android逆向-java代碼基礎(chǔ)（4）
Android逆向-java代碼基礎(chǔ)（5）
Android逆向-java代碼基礎(chǔ)（6）
Android逆向-java代碼基礎(chǔ)（7）
Android逆向-java代碼基礎(chǔ)（8）
由于之前的Android逆向-Android基礎(chǔ)逆向（2）的偽加密部分篇幅太長，導致其他內(nèi)容沒有完成，所以才有了這里的Android逆向-Android基礎(chǔ)逆向（2-2）。希望可以完成計劃中的內(nèi)容。
##學習內(nèi)容
（1）APK文件偽加密√
（2）資源文件防反編譯
（3）apk打包流程
（4）apk反編譯流程
（5）apk回編譯流程、
#0x01 資源文件防反編譯
之前說過可以通過更改第四個字段來進行防止一定程度的反編譯。那么除了這種偽加密的方式，還有什么方式可以防止這種偽加密的出現(xiàn)呢。
來看看資源文件是如何防止反編譯的。
自然我們需要研究一下xml文件的格式。四哥在2016年已經(jīng)分析過了，不過那是人家分析的，只看別人分析的不能進行更深入的學習。紙上得來終覺淺，絕知此事要躬行。so，就有了這篇。
##1.第一個模塊

這里對應(yīng)使用一個實例分析，就用Android逆向-Android基礎(chǔ)逆向（1）中的簡單的apk來分析吧。
###1.1 Magic Number

這里魔數(shù)是00 08 00 03，這個是一個固定的值。
###1.2File Size
這個就是用來確認文件大小的。

這里是00 00 07 90 ，也就是1970個bytes。
###1.3用python實現(xiàn)分析
四哥用java寫的，我就獻丑寫個python的，還在學習python的過程中，有什么錯誤或者做的不好的地方，還請見諒。
這個是實現(xiàn)這個模塊的代碼。但是感覺自己寫的好繁瑣，等一會兒適當修改一下。
2018年1月27日11:57:35，忙別的事情去了。

def fenxi(filename):
    try:
        f=open(filename,'rb')
        print 'start--------'
        i=0
        p1=""
        p2=""
        p3=""
        p4=""
        p=""
        while True:
            t=f.read(1)
            t1=t.encode('hex')
            if i==0:
                p1=t1
            if i==1:
                p2=t1
            if i==2:
                p3=t1
            if i==3:
                p4=t1
            i=i+1
            if i<4:
                p=p+" "
            if i==4:
                break
            pass
        p=p4+" "+p3+" "+p2+" "+p1   
        print "Magic Number:",p
        i=0
        p1=""
        p2=""
        p3=""
        p4=""
        p=""
        while True:
            t=f.read(1)
            t1=t.encode('hex')
            if i==0:
                p1=t1
            if i==1:
                p2=t1
            if i==2:
                p3=t1
            if i==3:
                p4=t1
            i=i+1
            if i<4:
                p=p+" "
            if i==4:
                break
            pass
        p=p4+" "+p3+" "+p2+" "+p1   
        print "FileSize:",p
    except IOError:
        print "This is bad for input '",name,"'." 
        print "You can enter -h for help." 

2.第二個模塊

###1.Chunk Type
String Chunk 的標識符，默認是00 08 00 03

2.Chunk Size

String Chunk的大小。

3.String Count

字符串的個數(shù)。

4.Style Count

樣式的個數(shù)

5.Unknow

6.String Pool Offset

首部偏移量，也就是String Chunk的位置。

7.Style Pool Offset

樣式偏移，但是因為樣式?jīng)]有。所以這里全部為0

8.String Offsets

這個是字符串偏移，大小就是String count*4個bytes

9.常量池

這個就是最主要的地方了。不過中間有一個0的空字符串。需要注意，然后使用一個循環(huán)就可以簡單的分析出來了。
這里帖出代碼部分。

while True:
            t1=f.read(1)
            t2=f.read(1)
            tf1=t1.encode('hex')
            tf2=t2.encode('hex')
            p1=tf2+tf1
            ph=int(p1, 16)
            p3=""
            i=0
            while True:
                t=f.read(1)
                t1=t.encode('hex')
                p=int(t1, 16)
                p3=p3+chr(p)
                t=f.read(1)
                i=i+1
                if i==ph:
                    break
                pass
            print "first string:",p3
            t=f.read(2)
            if l==12:
                t=f.read(4)
            l=l+1
            if l==x-1:

                break

運行結(jié)果展示：

3.第三個模塊 Resourceld Chunk

這個Chunk主要是存放的是AndroidManifest中用到的系統(tǒng)屬性值對應(yīng)的資源Id

3.1 Chunk Type

和其他Chunk一樣，都有特征值，Resourceld Chunk的特征值是：0x00080108

3.2 Chunk Size

Size大小沒有什么好解釋的。

3.3Resourcelds

這里可以根據(jù)id在frameworks\base\core\res\res\values\public.xml中查找到相對應(yīng)的string。
一下是簡單的代碼模塊：

a=p/4-2
        i1=0
        while True:
            i=0
            p1=""
            p2=""
            p3=""
            p4=""
            p=""
            while True:
                t=f.read(1)
                t1=t.encode('hex')
                if i==0:
                    p1=t1
                if i==1:
                    p2=t1
                if i==2:
                    p3=t1
                if i==3:
                    p4=t1
                i=i+1
                if i==4:
                    break
                pass
            p=p4+p3+p2+p1   
            p5=p4+" "+p3+" "+p2+" "+p1
            p=int(p, 16)
            print "123id:",p,"bytes","hex:",p5
            i1=i1+1
            if i1==a:
                break 

4.第四個模塊

這個Chunk主要包含一個AndroidManifest文件中的命令空間的內(nèi)容

4.1 Chunk Type

特征碼，這里不強調(diào)了。 特征碼是00 10 01 00。

4.2 Chunk Size

Chunk的大小。

4.3 Line Number

在AndroidManifest文件中的行號

4.4Unknown

未知區(qū)域，一般是ffff

4.5 Prefix

命名空間的前綴

4.6Uri

命名空間的Urk

5.第五個模塊

這個模塊主要是為了存放標簽信息
這里要啰嗦了。第五個模塊要寫完的時候，突然鼠標的返回鍵被按到了。我都在想是不是應(yīng)該在本地寫了，而不是在云端寫，太感人了這個。傷心。準備偷懶了。

5.1 Chunk Type

標志字段，固定字符。
00 10 01 02

5.2 Chunk Size

Chunk 大小

5.3 Line Number

行數(shù)，和上一個段一樣

5.4 Unknown

位置區(qū)域

5.5Namespace Uri

標簽用的uri，但是也有可能是返回 ff ff ff ff。
代碼實現(xiàn)：

i=0
    p1=""
    p2=""
    p3=""
    p4=""
    p=""
    while True:
        t=f.read(1)
        t1=t.encode('hex')
        if i==0:
            p1=t1
        if i==1:
            p2=t1
        if i==2:
            p3=t1
        if i==3:
            p4=t1
        i=i+1
        if i==4:
            break
        pass
    p=p4+p3+p2+p1   
    p=int(p, 16)
    try :
        print "Namespace Uri:",list[p]      
    except IndexError:
        print "Namespace Uri is nothing"

5.6 name

標簽名稱字段

5.7 flags字段

標識是開始flags還是結(jié)束flags

5.8 Attribute Count

包含屬性的個數(shù)

5.9 Class Attribute

標簽包含的類屬性

5.10Attributes Attribute

屬性內(nèi)容。包括NamespaceUri，Name，ValueString,type,Data，這五個字段。

6.第六個模塊

這個和第五個塊一樣。

7.第七個模塊

因為是和之前的模塊一樣這里就不做解釋了

收獲

##python
1.python右移的方式
2.python格式轉(zhuǎn)換
3.對二進制模塊分析
4.這個是最大的收貨，得到了一個xml文件分析工具。
5.github地址：xml.py文件分析

結(jié)束語

感覺這里需要的內(nèi)容很多，就得要分成很多小塊來說。為什么這里要寫關(guān)于xml的分析呢，因為加固的目的就是為了防止反編譯。那么我們可以針對反編譯軟件進行針對化加固，在下一個小塊將會詳細講解。