dex文件分为三大块
dex文件头
字段6: 数据排列方式-小端方式
dex 文件
or
pe文件数据格式都是小端方式保存;网络传输都是大端方式传输,使用小端主要原因是为了保存数据类型
各种表的大小以及偏移
各种数据的数组,包括字符串、类型、方法原型、字段、方法
dex 文件,例如,名称等字符串,用数组的方式保存到一起,使用的时候使用数组的索引。
string_data 结构中有两个字段:
类型表dex_type_ids 类型表表项,是一个索引值,存放的是字符串表数组下标。 类型描述符包括基本数据类型的描述符和类类型的描述符。 LHelloworld;是HelloWorld类的类描述符。
原型表 (方法原型)
原型表项存储的是函数原型的各部分描述信息。包括短类型(shorty_idx)、返回类型(return_type_idx)、参数的类型(parameters_off) 最终还是一个指向字符串表的数组下标
注:字段为返回类型(return_type_idx)的值,是类型表中的索引,无双引号;短类型是字符串,有双引号,是字符串的索引
字段表(类成员)
字段表项中内容存储的是字段的信息。包括字段所在类(class_idx)、字段的类型(type_idx)、字段的名称(name_idx),class_idx是类型表中的索引,type_idx是类型表中的索引,字段名称的索引是字符串表的数组下标
方法表项存储的是方法的信息,包括方法所在的类(class_idx)、方法的原型(proto_idx)、方法的名称(name_idx),其中class_idx是类型表中的索引,proto_idx是原型表的索引,方法名称是字符床表数组的下标
类数据
类数据也是一个数组,每一个元素就是一个类的相关信息。
所在的类class_idx,父类superclass_idx,接口 interface_off,访问权限access_flags
类名索引,访问flags,父类索引,接口偏移,源码索引,注解偏移,类数据偏移
数据保存在,class_data
这个结构存放fields字段和method方法
对我们重要的是类方法查找:
class_data
-
>encoded_method method
>code_item code
>insns_size 指令长度
insns[] 指令
简单分析一些指令转smali代码:需要查dalvik操作码
1
、
6200
0000
> sget
object
v0,field[
0
]
/
字段表索引
sget
v0,out
名称:out
类型:java.io.PrintStream
所在类:java.lang.System
smali: sget
v0,Ljava
lang
System;
>out:Ljava.io.PrintStream;
2
1A01
const
string v1,string[
字符串表索引
string v1,“Hello world”
3
6E53
0600
0421
invoke
virtual {v4,v0,v1,v2,v3},Test2.method5:(IIII)V;
http:
androidxref.com 安卓源码下载
[培训]《安卓高级研修班(网课)》月薪三万计划,掌 握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
