做android framework方面的工作將近三年的時(shí)間了,現(xiàn)在公司讓做一下android apk安全方面的研究，于是最近就在網(wǎng)上找大量的資料來學(xué)習(xí)?，F(xiàn)在將最近學(xué)習(xí)成果做一下整理總結(jié)。學(xué)習(xí)的這些成果我會(huì)做成一個(gè)系列慢慢寫出來與大家分享，共同進(jìn)步。這篇主要講apk的加殼技術(shù)，廢話不多說了直接進(jìn)入正題。

一、加殼技術(shù)原理

所謂apk的加殼技術(shù)和pc exe的加殼原理一樣，就是在程序的外面再包裹上另外一段代碼，保護(hù)里面的代碼不被非法修改或反編譯，在程序運(yùn)行的時(shí)候優(yōu)先取得程序的控制權(quán)做一些我們自己想做的工作。（哈哈，跟病毒的原理差不多）

PC exe的加殼原理如下：

二、android apk加殼實(shí)現(xiàn)

要想實(shí)現(xiàn)加殼需要解決的技術(shù)點(diǎn)如下：

（1）怎么第一時(shí)間執(zhí)行我們的加殼程序?

首先根據(jù)上面的原理我們?cè)赼pk中要想優(yōu)先取得程序的控制權(quán)作為android apk的開發(fā)人員都知道Application會(huì)被系統(tǒng)第一時(shí)間調(diào)用而我們的程序也會(huì)放在這里執(zhí)行。

（2）怎么將我們的加殼程序和原有的android apk文件合并到一起?

我們知道android apk最終會(huì)打包生成dex文件，我們可以將我們的程序生成dex文件后，將我們要進(jìn)行加殼的apk和我們dex文件合并成一個(gè)文件，然后修改dex文件頭中的checksum、signature 和file_size的信息，并且要附加加殼的apk的長度信息在dex文件中，以便我們進(jìn)行解殼保證原來apk的正常運(yùn)行。加完殼后整個(gè)文件的結(jié)構(gòu)如下：

（3）怎么將原來的apk正常的運(yùn)行起來?

按照（2）中的合并方式在當(dāng)我們的程序首先運(yùn)行起來后，逆向讀取dex文件獲取原來的apk文件通過DexClassLoader動(dòng)態(tài)加載。

具體實(shí)現(xiàn)如下：

（1）修改原來apk的AndroidMainfest.xml文件，假如原來apk的AndroidMainfest.xml文件內(nèi)容如下：

1. <application

2. android:icon="@drawable/ic_launcher"

3. android:label="@string/app_name"

4. android:theme="@style/AppTheme" android:name="com.android.MyApplication" >

5. </application>

修改后的內(nèi)容如下：

1. <application

2. android:icon="@drawable/ic_launcher"

3. android:label="@string/app_name"

4. android:theme="@style/AppTheme" android:name="com.android.shellApplication" >

5. <meta-data android:name="APPLICATION_CLASS_NAME" android:value="com.android.MyApplication"/>

6. </application>

com.android.shellApplication這個(gè)就是我們的程序的的application的名稱，而

7. <meta-data android:name="APPLICATION_CLASS_NAME" android:value="com.android.MyApplication"/>

是原來的apk的application名稱。

（2）合并文件代碼實(shí)現(xiàn)如下：
?

public class ShellTool { 
/** 
* @param args 
*/ 
public static void main(String[] args) { 
// TODO Auto-generated method stub 
try { 
File payloadSrcFile = new File("payload.apk");//我們要加殼的apk文件 
File unShellDexFile = new File("classes.dex");//我們的程序生成的dex文件 
byte[] payloadArray = encrpt(readFileBytes(payloadSrcFile)); 
byte[] unShellDexArray = readFileBytes(unShellDexFile); 
int payloadLen = payloadArray.length; 
int unShellDexLen = unShellDexArray.length; 
int totalLen = payloadLen + unShellDexLen +4; 
byte[] newdex = new byte[totalLen]; 
//添加我們程序的dex 
System.arraycopy(unShellDexArray, 0, newdex, 0, unShellDexLen); 
//添加要加殼的apk文件 
System.arraycopy(payloadArray, 0, newdex, unShellDexLen, 
payloadLen); 
//添加apk文件長度 
System.arraycopy(intToByte(payloadLen), 0, newdex, totalLen-4, 4); 
//修改DEX file size文件頭 
fixFileSizeHeader(newdex); 
//修改DEX SHA1 文件頭 
fixSHA1Header(newdex); 
//修改DEX CheckSum文件頭 
fixCheckSumHeader(newdex); 
 
 
String str = "outdir/classes.dex"; 
File file = new File(str); 
if (!file.exists()) { 
file.createNewFile(); 
} 
 
FileOutputStream localFileOutputStream = new FileOutputStream(str); 
localFileOutputStream.write(newdex); 
localFileOutputStream.flush(); 
localFileOutputStream.close(); 
 
 
} catch (Exception e) { 
// TODO Auto-generated catch block 
e.printStackTrace(); 
} 
} 
 
//直接返回?cái)?shù)據(jù)，讀者可以添加自己加密方法 
private static byte[] encrpt(byte[] srcdata){ 
return srcdata; 
} 
 
 
private static void fixCheckSumHeader(byte[] dexBytes) { 
Adler32 adler = new Adler32(); 
adler.update(dexBytes, 12, dexBytes.length - 12); 
long value = adler.getValue(); 
int va = (int) value; 
byte[] newcs = intToByte(va); 
byte[] recs = new byte[4]; 
for (int i = 0; i < 4; i++) { 
recs[i] = newcs[newcs.length - 1 - i]; 
System.out.println(Integer.toHexString(newcs[i])); 
} 
System.arraycopy(recs, 0, dexBytes, 8, 4); 
System.out.println(Long.toHexString(value)); 
System.out.println(); 
} 
 
 
public static byte[] intToByte(int number) { 
byte[] b = new byte[4]; 
for (int i = 3; i >= 0; i--) { 
b[i] = (byte) (number % 256); 
number >>= 8; 
} 
return b; 
} 
 
 
private static void fixSHA1Header(byte[] dexBytes) 
throws NoSuchAlgorithmException { 
MessageDigest md = MessageDigest.getInstance("SHA-1"); 
md.update(dexBytes, 32, dexBytes.length - 32); 
byte[] newdt = md.digest(); 
System.arraycopy(newdt, 0, dexBytes, 12, 20); 
String hexstr = ""; 
for (int i = 0; i < newdt.length; i++) { 
hexstr += Integer.toString((newdt[i] & 0xff) + 0x100, 16) 
.substring(1); 
} 
System.out.println(hexstr); 
} 
 
 
private static void fixFileSizeHeader(byte[] dexBytes) { 
 
 
byte[] newfs = intToByte(dexBytes.length); 
System.out.println(Integer.toHexString(dexBytes.length)); 
byte[] refs = new byte[4]; 
for (int i = 0; i < 4; i++) { 
refs[i] = newfs[newfs.length - 1 - i]; 
System.out.println(Integer.toHexString(newfs[i])); 
} 
System.arraycopy(refs, 0, dexBytes, 32, 4); 
} 
 
 
private static byte[] readFileBytes(File file) throws IOException { 
byte[] arrayOfByte = new byte[1024]; 
ByteArrayOutputStream localByteArrayOutputStream = new ByteArrayOutputStream(); 
FileInputStream fis = new FileInputStream(file); 
while (true) { 
int i = fis.read(arrayOfByte); 
if (i != -1) { 
localByteArrayOutputStream.write(arrayOfByte, 0, i); 
} else { 
return localByteArrayOutputStream.toByteArray(); 
} 
} 
} 
 
 
} 

（3）在我們的程序中加載運(yùn)行原來的apk文件，代碼如下：

public class shellApplication extends Application { 
 
 
private static final String appkey = "APPLICATION_CLASS_NAME"; 
private String apkFileName; 
private String odexPath; 
private String libPath; 
 
 
protected void attachBaseContext(Context base) { 
super.attachBaseContext(base); 
try { 
File odex = this.getDir("payload_odex", MODE_PRIVATE); 
File libs = this.getDir("payload_lib", MODE_PRIVATE); 
odexPath = odex.getAbsolutePath(); 
libPath = libs.getAbsolutePath(); 
apkFileName = odex.getAbsolutePath() + "/payload.apk"; 
File dexFile = new File(apkFileName); 
if (!dexFile.exists()) 
dexFile.createNewFile(); 
// 讀取程序classes.dex文件 
byte[] dexdata = this.readDexFileFromApk(); 
// 分離出解殼后的apk文件已用于動(dòng)態(tài)加載 
this.splitPayLoadFromDex(dexdata); 
// 配置動(dòng)態(tài)加載環(huán)境 
Object currentActivityThread = RefInvoke.invokeStaticMethod( 
"android.app.ActivityThread", "currentActivityThread", 
new Class[] {}, new Object[] {}); 
String packageName = this.getPackageName(); 
HashMap mPackages = (HashMap) RefInvoke.getFieldOjbect( 
"android.app.ActivityThread", currentActivityThread, 
"mPackages"); 
WeakReference wr = (WeakReference) mPackages.get(packageName); 
DexClassLoader dLoader = new DexClassLoader(apkFileName, odexPath, 
libPath, (ClassLoader) RefInvoke.getFieldOjbect( 
"android.app.LoadedApk", wr.get(), "mClassLoader")); 
RefInvoke.setFieldOjbect("android.app.LoadedApk", "mClassLoader", 
wr.get(), dLoader); 
 
 
} catch (Exception e) { 
// TODO Auto-generated catch block 
e.printStackTrace(); 
} 
} 
 
 
public void onCreate() { 
{ 
 
 
// 如果源應(yīng)用配置有Appliction對(duì)象，則替換為源應(yīng)用Applicaiton，以便不影響源程序邏輯。 
String appClassName = null; 
try { 
ApplicationInfo ai = this.getPackageManager() 
.getApplicationInfo(this.getPackageName(), 
PackageManager.GET_META_DATA); 
Bundle bundle = ai.metaData; 
if (bundle != null 
&& bundle.containsKey("APPLICATION_CLASS_NAME")) { 
appClassName = bundle.getString("APPLICATION_CLASS_NAME"); 
} else { 
return; 
} 
} catch (NameNotFoundException e) { 
// TODO Auto-generated catch block 
e.printStackTrace(); 
} 
 
 
Object currentActivityThread = RefInvoke.invokeStaticMethod( 
"android.app.ActivityThread", "currentActivityThread", 
new Class[] {}, new Object[] {}); 
Object mBoundApplication = RefInvoke.getFieldOjbect( 
"android.app.ActivityThread", currentActivityThread, 
"mBoundApplication"); 
Object loadedApkInfo = RefInvoke.getFieldOjbect( 
"android.app.ActivityThread$AppBindData", 
mBoundApplication, "info"); 
RefInvoke.setFieldOjbect("android.app.LoadedApk", "mApplication", 
loadedApkInfo, null); 
Object oldApplication = RefInvoke.getFieldOjbect( 
"android.app.ActivityThread", currentActivityThread, 
"mInitialApplication"); 
ArrayList<Application> mAllApplications = (ArrayList<Application>) RefInvoke 
.getFieldOjbect("android.app.ActivityThread", 
currentActivityThread, "mAllApplications"); 
mAllApplications.remove(oldApplication); 
ApplicationInfo appinfo_In_LoadedApk = (ApplicationInfo) RefInvoke 
.getFieldOjbect("android.app.LoadedApk", loadedApkInfo, 
"mApplicationInfo"); 
ApplicationInfo appinfo_In_AppBindData = (ApplicationInfo) RefInvoke 
.getFieldOjbect("android.app.ActivityThread$AppBindData", 
mBoundApplication, "appInfo"); 
appinfo_In_LoadedApk.className = appClassName; 
appinfo_In_AppBindData.className = appClassName; 
Application app = (Application) RefInvoke.invokeMethod( 
"android.app.LoadedApk", "makeApplication", loadedApkInfo, 
new Class[] { boolean.class, Instrumentation.class }, 
new Object[] { false, null }); 
RefInvoke.setFieldOjbect("android.app.ActivityThread", 
"mInitialApplication", currentActivityThread, app); 
 
 
HashMap mProviderMap = (HashMap) RefInvoke.getFieldOjbect( 
"android.app.ActivityThread", currentActivityThread, 
"mProviderMap"); 
Iterator it = mProviderMap.values().iterator(); 
while (it.hasNext()) { 
Object providerClientRecord = it.next(); 
Object localProvider = RefInvoke.getFieldOjbect( 
"android.app.ActivityThread$ProviderClientRecord", 
providerClientRecord, "mLocalProvider"); 
RefInvoke.setFieldOjbect("android.content.ContentProvider", 
"mContext", localProvider, app); 
} 
app.onCreate(); 
} 
} 
 
 
private void splitPayLoadFromDex(byte[] data) throws IOException { 
byte[] apkdata = decrypt(data); 
int ablen = apkdata.length; 
byte[] dexlen = new byte[4]; 
System.arraycopy(apkdata, ablen - 4, dexlen, 0, 4); 
ByteArrayInputStream bais = new ByteArrayInputStream(dexlen); 
DataInputStream in = new DataInputStream(bais); 
int readInt = in.readInt(); 
System.out.println(Integer.toHexString(readInt)); 
byte[] newdex = new byte[readInt]; 
System.arraycopy(apkdata, ablen - 4 - readInt, newdex, 0, readInt); 
File file = new File(apkFileName); 
try { 
FileOutputStream localFileOutputStream = new FileOutputStream(file); 
localFileOutputStream.write(newdex); 
localFileOutputStream.close(); 
 
 
} catch (IOException localIOException) { 
throw new RuntimeException(localIOException); 
} 
 
 
ZipInputStream localZipInputStream = new ZipInputStream( 
new BufferedInputStream(new FileInputStream(file))); 
while (true) { 
ZipEntry localZipEntry = localZipInputStream.getNextEntry(); 
if (localZipEntry == null) { 
localZipInputStream.close(); 
break; 
} 
String name = localZipEntry.getName(); 
if (name.startsWith("lib/") && name.endsWith(".so")) { 
File storeFile = new File(libPath + "/" 
+ name.substring(name.lastIndexOf('/'))); 
storeFile.createNewFile(); 
FileOutputStream fos = new FileOutputStream(storeFile); 
byte[] arrayOfByte = new byte[1024]; 
while (true) { 
int i = localZipInputStream.read(arrayOfByte); 
if (i == -1) 
break; 
fos.write(arrayOfByte, 0, i); 
} 
fos.flush(); 
fos.close(); 
} 
localZipInputStream.closeEntry(); 
} 
localZipInputStream.close(); 
 
 
} 
 
 
private byte[] readDexFileFromApk() throws IOException { 
ByteArrayOutputStream dexByteArrayOutputStream = new ByteArrayOutputStream(); 
ZipInputStream localZipInputStream = new ZipInputStream( 
new BufferedInputStream(new FileInputStream( 
this.getApplicationInfo().sourceDir))); 
while (true) { 
ZipEntry localZipEntry = localZipInputStream.getNextEntry(); 
if (localZipEntry == null) { 
localZipInputStream.close(); 
break; 
} 
if (localZipEntry.getName().equals("classes.dex")) { 
byte[] arrayOfByte = new byte[1024]; 
while (true) { 
int i = localZipInputStream.read(arrayOfByte); 
if (i == -1) 
break; 
dexByteArrayOutputStream.write(arrayOfByte, 0, i); 
} 
} 
localZipInputStream.closeEntry(); 
} 
localZipInputStream.close(); 
return dexByteArrayOutputStream.toByteArray(); 
} 
 
 
// //直接返回?cái)?shù)據(jù)，讀者可以添加自己解密方法 
private byte[] decrypt(byte[] data) { 
return data; 
}