做android framework方面的工作將近三年的時間了,現在公司讓做一下android apk安全方面的研究，于是最近就在網上找大量的資料來學習。現在將最近學習成果做一下整理總結。學習的這些成果我會做成一個系列慢慢寫出來與大家分享，共同進步。這篇主要講apk的加殼技術，廢話不多說了直接進入正題。

一、加殼技術原理

所謂apk的加殼技術和pc exe的加殼原理一樣，就是在程序的外面再包裹上另外一段代碼，保護里面的代碼不被非法修改或反編譯，在程序運行的時候優先取得程序的控制權做一些我們自己想做的工作。（哈哈，跟病毒的原理差不多）

PC exe的加殼原理如下：

二、android apk加殼實現

要想實現加殼需要解決的技術點如下：

（1）怎么第一時間執行我們的加殼程序?

首先根據上面的原理我們在apk中要想優先取得程序的控制權作為android apk的開發人員都知道Application會被系統第一時間調用而我們的程序也會放在這里執行。

（2）怎么將我們的加殼程序和原有的android apk文件合并到一起?

我們知道android apk最終會打包生成dex文件，我們可以將我們的程序生成dex文件后，將我們要進行加殼的apk和我們dex文件合并成一個文件，然后修改dex文件頭中的checksum、signature 和file_size的信息，并且要附加加殼的apk的長度信息在dex文件中，以便我們進行解殼保證原來apk的正常運行。加完殼后整個文件的結構如下：

（3）怎么將原來的apk正常的運行起來?

按照（2）中的合并方式在當我們的程序首先運行起來后，逆向讀取dex文件獲取原來的apk文件通過DexClassLoader動態加載。

具體實現如下：

（1）修改原來apk的AndroidMainfest.xml文件，假如原來apk的AndroidMainfest.xml文件內容如下：

1. <application

2. android:icon="@drawable/ic_launcher"

3. android:label="@string/app_name"

4. android:theme="@style/AppTheme" android:name="com.android.MyApplication" >

5. </application>

修改后的內容如下：

1. <application

2. android:icon="@drawable/ic_launcher"

3. android:label="@string/app_name"

4. android:theme="@style/AppTheme" android:name="com.android.shellApplication" >

5. <meta-data android:name="APPLICATION_CLASS_NAME" android:value="com.android.MyApplication"/>

6. </application>

com.android.shellApplication這個就是我們的程序的的application的名稱，而

7. <meta-data android:name="APPLICATION_CLASS_NAME" android:value="com.android.MyApplication"/>

是原來的apk的application名稱。

（2）合并文件代碼實現如下：
?

public class ShellTool { 
/** 
* @param args 
*/ 
public static void main(String[] args) { 
// TODO Auto-generated method stub 
try { 
File payloadSrcFile = new File("payload.apk");//我們要加殼的apk文件 
File unShellDexFile = new File("classes.dex");//我們的程序生成的dex文件 
byte[] payloadArray = encrpt(readFileBytes(payloadSrcFile)); 
byte[] unShellDexArray = readFileBytes(unShellDexFile); 
int payloadLen = payloadArray.length; 
int unShellDexLen = unShellDexArray.length; 
int totalLen = payloadLen + unShellDexLen +4; 
byte[] newdex = new byte[totalLen]; 
//添加我們程序的dex 
System.arraycopy(unShellDexArray, 0, newdex, 0, unShellDexLen); 
//添加要加殼的apk文件 
System.arraycopy(payloadArray, 0, newdex, unShellDexLen, 
payloadLen); 
//添加apk文件長度 
System.arraycopy(intToByte(payloadLen), 0, newdex, totalLen-4, 4); 
//修改DEX file size文件頭 
fixFileSizeHeader(newdex); 
//修改DEX SHA1 文件頭 
fixSHA1Header(newdex); 
//修改DEX CheckSum文件頭 
fixCheckSumHeader(newdex); 
 
 
String str = "outdir/classes.dex"; 
File file = new File(str); 
if (!file.exists()) { 
file.createNewFile(); 
} 
 
FileOutputStream localFileOutputStream = new FileOutputStream(str); 
localFileOutputStream.write(newdex); 
localFileOutputStream.flush(); 
localFileOutputStream.close(); 
 
 
} catch (Exception e) { 
// TODO Auto-generated catch block 
e.printStackTrace(); 
} 
} 
 
//直接返回數據，讀者可以添加自己加密方法 
private static byte[] encrpt(byte[] srcdata){ 
return srcdata; 
} 
 
 
private static void fixCheckSumHeader(byte[] dexBytes) { 
Adler32 adler = new Adler32(); 
adler.update(dexBytes, 12, dexBytes.length - 12); 
long value = adler.getValue(); 
int va = (int) value; 
byte[] newcs = intToByte(va); 
byte[] recs = new byte[4]; 
for (int i = 0; i < 4; i++) { 
recs[i] = newcs[newcs.length - 1 - i]; 
System.out.println(Integer.toHexString(newcs[i])); 
} 
System.arraycopy(recs, 0, dexBytes, 8, 4); 
System.out.println(Long.toHexString(value)); 
System.out.println(); 
} 
 
 
public static byte[] intToByte(int number) { 
byte[] b = new byte[4]; 
for (int i = 3; i >= 0; i--) { 
b[i] = (byte) (number % 256); 
number >>= 8; 
} 
return b; 
} 
 
 
private static void fixSHA1Header(byte[] dexBytes) 
throws NoSuchAlgorithmException { 
MessageDigest md = MessageDigest.getInstance("SHA-1"); 
md.update(dexBytes, 32, dexBytes.length - 32); 
byte[] newdt = md.digest(); 
System.arraycopy(newdt, 0, dexBytes, 12, 20); 
String hexstr = ""; 
for (int i = 0; i < newdt.length; i++) { 
hexstr += Integer.toString((newdt[i] & 0xff) + 0x100, 16) 
.substring(1); 
} 
System.out.println(hexstr); 
} 
 
 
private static void fixFileSizeHeader(byte[] dexBytes) { 
 
 
byte[] newfs = intToByte(dexBytes.length); 
System.out.println(Integer.toHexString(dexBytes.length)); 
byte[] refs = new byte[4]; 
for (int i = 0; i < 4; i++) { 
refs[i] = newfs[newfs.length - 1 - i]; 
System.out.println(Integer.toHexString(newfs[i])); 
} 
System.arraycopy(refs, 0, dexBytes, 32, 4); 
} 
 
 
private static byte[] readFileBytes(File file) throws IOException { 
byte[] arrayOfByte = new byte[1024]; 
ByteArrayOutputStream localByteArrayOutputStream = new ByteArrayOutputStream(); 
FileInputStream fis = new FileInputStream(file); 
while (true) { 
int i = fis.read(arrayOfByte); 
if (i != -1) { 
localByteArrayOutputStream.write(arrayOfByte, 0, i); 
} else { 
return localByteArrayOutputStream.toByteArray(); 
} 
} 
} 
 
 
} 

（3）在我們的程序中加載運行原來的apk文件，代碼如下：

public class shellApplication extends Application { 
 
 
private static final String appkey = "APPLICATION_CLASS_NAME"; 
private String apkFileName; 
private String odexPath; 
private String libPath; 
 
 
protected void attachBaseContext(Context base) { 
super.attachBaseContext(base); 
try { 
File odex = this.getDir("payload_odex", MODE_PRIVATE); 
File libs = this.getDir("payload_lib", MODE_PRIVATE); 
odexPath = odex.getAbsolutePath(); 
libPath = libs.getAbsolutePath(); 
apkFileName = odex.getAbsolutePath() + "/payload.apk"; 
File dexFile = new File(apkFileName); 
if (!dexFile.exists()) 
dexFile.createNewFile(); 
// 讀取程序classes.dex文件 
byte[] dexdata = this.readDexFileFromApk(); 
// 分離出解殼后的apk文件已用于動態加載 
this.splitPayLoadFromDex(dexdata); 
// 配置動態加載環境 
Object currentActivityThread = RefInvoke.invokeStaticMethod( 
"android.app.ActivityThread", "currentActivityThread", 
new Class[] {}, new Object[] {}); 
String packageName = this.getPackageName(); 
HashMap mPackages = (HashMap) RefInvoke.getFieldOjbect( 
"android.app.ActivityThread", currentActivityThread, 
"mPackages"); 
WeakReference wr = (WeakReference) mPackages.get(packageName); 
DexClassLoader dLoader = new DexClassLoader(apkFileName, odexPath, 
libPath, (ClassLoader) RefInvoke.getFieldOjbect( 
"android.app.LoadedApk", wr.get(), "mClassLoader")); 
RefInvoke.setFieldOjbect("android.app.LoadedApk", "mClassLoader", 
wr.get(), dLoader); 
 
 
} catch (Exception e) { 
// TODO Auto-generated catch block 
e.printStackTrace(); 
} 
} 
 
 
public void onCreate() { 
{ 
 
 
// 如果源應用配置有Appliction對象，則替換為源應用Applicaiton，以便不影響源程序邏輯。 
String appClassName = null; 
try { 
ApplicationInfo ai = this.getPackageManager() 
.getApplicationInfo(this.getPackageName(), 
PackageManager.GET_META_DATA); 
Bundle bundle = ai.metaData; 
if (bundle != null 
&& bundle.containsKey("APPLICATION_CLASS_NAME")) { 
appClassName = bundle.getString("APPLICATION_CLASS_NAME"); 
} else { 
return; 
} 
} catch (NameNotFoundException e) { 
// TODO Auto-generated catch block 
e.printStackTrace(); 
} 
 
 
Object currentActivityThread = RefInvoke.invokeStaticMethod( 
"android.app.ActivityThread", "currentActivityThread", 
new Class[] {}, new Object[] {}); 
Object mBoundApplication = RefInvoke.getFieldOjbect( 
"android.app.ActivityThread", currentActivityThread, 
"mBoundApplication"); 
Object loadedApkInfo = RefInvoke.getFieldOjbect( 
"android.app.ActivityThread$AppBindData", 
mBoundApplication, "info"); 
RefInvoke.setFieldOjbect("android.app.LoadedApk", "mApplication", 
loadedApkInfo, null); 
Object oldApplication = RefInvoke.getFieldOjbect( 
"android.app.ActivityThread", currentActivityThread, 
"mInitialApplication"); 
ArrayList<Application> mAllApplications = (ArrayList<Application>) RefInvoke 
.getFieldOjbect("android.app.ActivityThread", 
currentActivityThread, "mAllApplications"); 
mAllApplications.remove(oldApplication); 
ApplicationInfo appinfo_In_LoadedApk = (ApplicationInfo) RefInvoke 
.getFieldOjbect("android.app.LoadedApk", loadedApkInfo, 
"mApplicationInfo"); 
ApplicationInfo appinfo_In_AppBindData = (ApplicationInfo) RefInvoke 
.getFieldOjbect("android.app.ActivityThread$AppBindData", 
mBoundApplication, "appInfo"); 
appinfo_In_LoadedApk.className = appClassName; 
appinfo_In_AppBindData.className = appClassName; 
Application app = (Application) RefInvoke.invokeMethod( 
"android.app.LoadedApk", "makeApplication", loadedApkInfo, 
new Class[] { boolean.class, Instrumentation.class }, 
new Object[] { false, null }); 
RefInvoke.setFieldOjbect("android.app.ActivityThread", 
"mInitialApplication", currentActivityThread, app); 
 
 
HashMap mProviderMap = (HashMap) RefInvoke.getFieldOjbect( 
"android.app.ActivityThread", currentActivityThread, 
"mProviderMap"); 
Iterator it = mProviderMap.values().iterator(); 
while (it.hasNext()) { 
Object providerClientRecord = it.next(); 
Object localProvider = RefInvoke.getFieldOjbect( 
"android.app.ActivityThread$ProviderClientRecord", 
providerClientRecord, "mLocalProvider"); 
RefInvoke.setFieldOjbect("android.content.ContentProvider", 
"mContext", localProvider, app); 
} 
app.onCreate(); 
} 
} 
 
 
private void splitPayLoadFromDex(byte[] data) throws IOException { 
byte[] apkdata = decrypt(data); 
int ablen = apkdata.length; 
byte[] dexlen = new byte[4]; 
System.arraycopy(apkdata, ablen - 4, dexlen, 0, 4); 
ByteArrayInputStream bais = new ByteArrayInputStream(dexlen); 
DataInputStream in = new DataInputStream(bais); 
int readInt = in.readInt(); 
System.out.println(Integer.toHexString(readInt)); 
byte[] newdex = new byte[readInt]; 
System.arraycopy(apkdata, ablen - 4 - readInt, newdex, 0, readInt); 
File file = new File(apkFileName); 
try { 
FileOutputStream localFileOutputStream = new FileOutputStream(file); 
localFileOutputStream.write(newdex); 
localFileOutputStream.close(); 
 
 
} catch (IOException localIOException) { 
throw new RuntimeException(localIOException); 
} 
 
 
ZipInputStream localZipInputStream = new ZipInputStream( 
new BufferedInputStream(new FileInputStream(file))); 
while (true) { 
ZipEntry localZipEntry = localZipInputStream.getNextEntry(); 
if (localZipEntry == null) { 
localZipInputStream.close(); 
break; 
} 
String name = localZipEntry.getName(); 
if (name.startsWith("lib/") && name.endsWith(".so")) { 
File storeFile = new File(libPath + "/" 
+ name.substring(name.lastIndexOf('/'))); 
storeFile.createNewFile(); 
FileOutputStream fos = new FileOutputStream(storeFile); 
byte[] arrayOfByte = new byte[1024]; 
while (true) { 
int i = localZipInputStream.read(arrayOfByte); 
if (i == -1) 
break; 
fos.write(arrayOfByte, 0, i); 
} 
fos.flush(); 
fos.close(); 
} 
localZipInputStream.closeEntry(); 
} 
localZipInputStream.close(); 
 
 
} 
 
 
private byte[] readDexFileFromApk() throws IOException { 
ByteArrayOutputStream dexByteArrayOutputStream = new ByteArrayOutputStream(); 
ZipInputStream localZipInputStream = new ZipInputStream( 
new BufferedInputStream(new FileInputStream( 
this.getApplicationInfo().sourceDir))); 
while (true) { 
ZipEntry localZipEntry = localZipInputStream.getNextEntry(); 
if (localZipEntry == null) { 
localZipInputStream.close(); 
break; 
} 
if (localZipEntry.getName().equals("classes.dex")) { 
byte[] arrayOfByte = new byte[1024]; 
while (true) { 
int i = localZipInputStream.read(arrayOfByte); 
if (i == -1) 
break; 
dexByteArrayOutputStream.write(arrayOfByte, 0, i); 
} 
} 
localZipInputStream.closeEntry(); 
} 
localZipInputStream.close(); 
return dexByteArrayOutputStream.toByteArray(); 
} 
 
 
// //直接返回數據，讀者可以添加自己解密方法 
private byte[] decrypt(byte[] data) { 
return data; 
}