App逆向之smali学习

smali文件

什么是smali文件？

Smali，Baksmali分别是指安卓系统里的Java虚拟机（Dalvik）所使用的一种。dex格式文件的汇编器，反汇编器。其语法是一种宽松式的Jasmin/dedexer语法，而且它实现了.dex格式所有功能（注解，调试信息，线路信息等）

当我们对APK文件进行反编译后，便会生成此类的文件，小编在此对smali文件进行简要的介绍。其中在Davlik字节码中，寄存器都是32位的，能够支持任何类型，64位类型（Long/Double）用2个寄存器表示；Dalvik字节码有两种类型：原始类型；引用类型（包括对象和数组）

• 原始类型

  B---byte
  C---char
  D---double
  F---float
  I---int
  J---long
  S---short
  V---void
  Z---boolean
  [XXX---array
  Lxxx/yyy---object
  

这里解析下最后两项，数组的表示方式是:

在基本类型前加上前中括号“[”，例如int数组和float数组分别表示为：[I、[F；对象的表示则以L作为开头，格式是LpackageName/objectName;（注意必须有个分号跟在最后），例如String对象在smali中为：Ljava/lang/String;，其中java/lang对应java.lang包，String就是定义在该包中的一个对象。

或许有人问，既然类是用LpackageName/objectName;来表示，那类里面的内部类又如何在smali中引用呢？答案是：LpackageName/objectName$subObjectName;。也就是在内部类前加“$”符号，关于“$”符号更多的规则将在后面谈到。

方法的定义方法的定义一般为：

Func-Name (Para-Type1Para-Type2Para-Type3...)Return-Type

注意参数与参数之间没有任何分隔符

1. hello ()V --> void hello()

2. hello (III)Z --> boolean hello(int, int, int)

3. hello (Z[I[ILjava/lang/String;J)Ljava/lang/String;

-->String hello (boolean, int[], int[], String, long)

Smali基本语法

.field private isFlag:z　　定义变量
.method　　方法
.parameter　　方法参数
.prologue　　方法开始
.line 123　　此方法位于第123行
invoke-super　　调用父函数
const/high16  v0, 0x7fo3　　把0x7fo3赋值给v0
invoke-direct　　调用函数
return-void　　函数返回void
.end method　　函数结束
new-instance　　创建实例
iput-object　　对象赋值
iget-object　　调用对象
invoke-static　　调用静态函数

smali条件分支

条件跳转分支：

"if-eq vA, vB, :cond_**"   如果vA等于vB则跳转到:cond_**
"if-ne vA, vB, :cond_**"   如果vA不等于vB则跳转到:cond_**
"if-lt vA, vB, :cond_**"    如果vA小于vB则跳转到:cond_**
"if-ge vA, vB, :cond_**"   如果vA大于等于vB则跳转到:cond_**
"if-gt vA, vB, :cond_**"   如果vA大于vB则跳转到:cond_**
"if-le vA, vB, :cond_**"    如果vA小于等于vB则跳转到:cond_**
"if-eqz vA, :cond_**"   如果vA等于0则跳转到:cond_**
"if-nez vA, :cond_**"   如果vA不等于0则跳转到:cond_**
"if-ltz vA, :cond_**"    如果vA小于0则跳转到:cond_**
"if-gez vA, :cond_**"   如果vA大于等于0则跳转到:cond_**
"if-gtz vA, :cond_**"   如果vA大于0则跳转到:cond_**
"if-lez vA, :cond_**"    如果vA小于等于0则跳转到:cond_**

深入smali

Smali中的包信息

.class public Lcom/aaaaa;     
.super Lcom/bbbbb;
.source "ccccc.java"

它是com.aaaaa这个package下的一个类（第1行）
继承自com.bbbbb这个类（第2行）
这是一个由ccccc.java编译得到的smali文件（第3行）

Smali中的声明

一般来说在Smali文件中是这个样子的：

# annotations
.annotation system
Ldalvik/annotation/MemberClasses;
value = {Lcom/aaa$qqq;,Lcom/aaa$www;}
.end annotation

这个声明是内部类的声明：aaa这个类它有两个成员内部类——qqq和www，内部类将在后面小节中会有提及。

Smali的成员变量

成员变量格式是:
.field public/private [static] [final] varName:<类型>

对于不同的成员变量也有不同的指令:
一般来说，获取的指令有：iget、sget、iget-boolean、sget-boolean、iget-object、sget-object等。

操作的指令有：iput、sput、iput-boolean、sput-boolean、iput-object、sput-object等。
没有“-object”后缀的表示操作的成员变量对象是基本数据类型，带“-object”表示操作的成员变量是对象类型，特别地，boolean类型则使用带“-boolean”的指令操作。

sget-object v0, Lcom/aaa;->ID:Ljava/lang/String;

sget-object就是用来获取变量值并保存到紧接着的参数的寄存器中，本例中，它获取ID这个String类型的成员变量并放到v0这个寄存器中。

注意：前面需要该变量所属的类的类型，后面需要加一个冒号和该成员变量的类型，中间是“->”表示所属关系。

iget-object v0, p0, Lcom/aaa;->view:Lcom/aaa/view;

可以看到iget-object指令比sget-object多了一个参数，就是该变量所在类的实例，在这里就是p0即“this”。

获取array的话我们用aget和aget-object，指令使用和上述一致

put指令的使用和get指令是统一的如下：

const/4 v3, 0x0
sput-object v3, Lcom/aaa;->timer:Lcom/aaa/timer;

相当于：this.timer= null;

.local v0, args:Landroid/os/Message;
      const/4 v1, 0x12
      iput v1, v0, Landroid/os/Message;->what:I

相当于：args.what = 18;（args是Message的实例）

寄存器知识

寄存器是什么意思呢？

在smali里的所有操作都必须经过寄存器来进行：本地寄存器用v开头数字结尾的符号来表示，如v0、v1、v2、…参数寄存器则使用p开头数字结尾的符号来表示，如p0、p1、p2、…特别注意的是，p0不一定是函数中的第一个参数，在非static函数中，p0代指“this”，p1表示函数的第一个参数，p2代表函数中的第二个参数…而在static函数中p0才对应第一个参数（因为Java的static方法中没有this方法)

const/4 v0, 0x1
iput-boolean v0, p0, Lcom/aaa;->IsRegistered:Z

我们来分析一下上面的两句smali代码，首先它使用了v0本地寄存器，并把值0x1存到v0中，然后第二句用iput-boolean这个指令把v0中的值存放到com.aaa.IsRegistered这个成员变量中。
即相当于：this.IsRegistered= true;（上面说过，在非static函数中p0代表的是“this”，在这里就是com.aaa实例）。