今天受好友nameless的委托,对一个名叫nokelock的apk进行插桩,希望在日志中打印出蓝牙加密包的密文,密钥与明文,由于本人是第一次对apk进行插桩,于是写了这一篇文章用以学习和记录.

依据本人的拙见，插桩就是在原有的代码中插入自己写的代码，用以打印某些想要知道的变量的值。当然了，插入的代码也可以在原有代码的基础上，为app增加各种各样的额外功能。

在过去学习fuzz的过程中,也有过插桩这一个概念,而过去使用的afl-fuzz是在二进制汇编代码中插桩,这一次是需要在apk中进行插桩,今日总体的插桩流程体验下来,本人明显感觉到在apk中插桩的灵活性明显跟好,而且可操作性更强.

现在我们给到的是一个base.apk

如果我们想要对代码进行插桩,那么我们首先需要知道我们要在代码的什么地方去插桩

很幸运当我给到这一个apk的时候,nameless已经找到了需要插桩的代码位于com.nokelock.blelibrary.b.b中

我们用jadx反编译看一下相关的java代码

一看代码,这就是很典型的AES加密,而我们需要在日志中打印的变量也一目了然,分别是bArr,bArr2和instance.doFinal(bArr)

假如我们想要对apk进行插桩,我们无法直接修改反编译出的java代码,而是需要修改比java代码更加底层的smali代码

简单来说,java和smali代码的关系可以简单类比为c语言和汇编语言之间的关系

那么如何查看smali代码呢?

如果在jadx中,我们可以直接对相关的java代码按一下tab键,然后就能得到更加原始的smali代码

但是需要注意的是,虽然这种方式可以查看其smali代码,但是无法重新编译并打包apk,就是说你可以看,但是你改不了:]

这里我强烈推荐使用apk easy tool这个工具,问就是相当的好用:)

apk easy tool的下载地址：https://www.52pojie.cn/thread-1411747-1-1.html

下载完成之后打开apk easy tool,然后把我们需要反编译的apk拖到这个工具里面,直接先点一下反编译,然后在点一下打开反编译目录,就可以看到apk的smali代码了

之后根据我们需要插桩的代码的路径(com.nokelock.blelibrary.b.b)一级一级的点进去,就得到了可以直接编辑的smali代码

当我们打开b.smali文件后,通过对相同方法名和形参类型的寻找,我们可以快速定位到如下代码段

初见这种smali代码可能会有手足无措的感觉,但是我自己感觉smali代码其实要比汇编更加的简单易懂

回到正题,对于首次插桩,我们可以在github上下载现成的插桩代码 Smali插桩自用代码库

用法很简单,首先将代码下载下来之后,将SewellDinGLog.smali直接复制到apk easy tool反编译完成后的那个smail文件夹中如图所示

ok我们重新回到b.smali中

我们可以插桩的代码位置有两处(为什么是这两处!?没有别的地方吗----亲身经历,要是插桩在别的地方会无法回编译报错:0)

这里的插桩代码我们可以结合SewellDinGLog.java来看

代码很简单,就是直接使用Log来打印变量

随后我们便可以根据插桩的规则,插入相应的代码,位置类似下图

随后我们再次打开apk easy tool,点一下回编译,在点一下打开回编译目录,就能找到最新编译成功的apk

之后使用adb命令运行该apk,然后使用命令就可以查看打印的日志

但是当我将插桩后的代码发给nameless后,确实有日志打印出来,但是却是长这个样子的

我正疑惑呢难道密钥密文明文都是[B@开头的?后来才发现是SewellDinGLog.smali代码有问题

首先我需要打印的是一个byte类型是数组,而打印数组的java代码是长这个样子的

这里就有问题了呀,直接使用toString方法,对于字节数组来说返回是字节数组的地址而非字节数组的值!

在这个过程中,我清楚的认识到我应该修改的是smali代码,但是如何修改?

我认为最为简便的方法就是先编写java代码,然后再编译成smali代码,可是要怎么实现呢?
我java的运行平台都是IDEA,但是我发现SewellDinGLog.java所需要的包android.util.Log根本就没有,在网上找了找也找不到这个包,之后通过google了很久,才知道我需要安装一个Android Studio

安装好了之后,就新建一个项目,然后把要运行的代码复制粘贴进去

要注意这里Language一定要选Java,不要选Kotlin,不然得像我一样下了很久的安装包最后发现代码根本运行不了

第一次使用Android studio,得需要等大约几十分钟安装运行所需要的包

随后点击File-->Settings-->Plugins,然后在插件市场搜索java2smali,安装完之后重启Android studio,然后在Build-->Compile to smali就可以直接生成smali代码了

为了能够成功Log打印字节数组,我们需要对原先的SewellDinGLog.java代码进行相应的修改,然后使用Build-->Compile to smali生成smail代码

修改后的java代码如下

随后在同级文件夹下就会生成SewellDinGLog.smali

这里要注意的是由于我们的SewellDinGLog.smali是放在apk easy tool反编译后的smali文件夹的根文件夹下,所以我们需要对SewellDinGLog.smali内的代码进行修改

例如我这里

那么需要将所有的Lcom/example/newlog/SewellDinGLog全部替换成LSewellDinGLog

变成这样

随后和之前的步骤一模一样,把SewellDinGLog.smali复制到smali文件夹内,然后插桩,回编译就可以了

插桩后的apk我们再用jadx反编译看看

发现相较之前多了SewellDinGLog.Log函数用以打印变量的值

最后我们也是成功打印出变量的值

Q: 为什么不直接使用android.util.Log中的Log函数来打印,即在需要插桩的位置插入这串代码

,而是调用另一个类中的函数来打印呢?

A: 我认为重写一个Log打印方法,灵活性将会更高,我们可以将复杂的代码先用java编写,然后再编译成smali,这样比直接用smali写代码要更简单方便,只需要插桩的位置添加一个函数方法的调用就可以了.

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)