DEX文件格式分析
前段時間忙于破解移動和電信的 apk ,挺久沒有更新博客了,最近在寫個工具,主要功能是通過配置對 dex 文件中的類型、函數、屬性進行隱藏,達到防止被靜態分析的效果。所以在寫工具前必須對 dex 的文件格式有個清晰的認識,相對于 elf 文件格式 dex 文件格式會簡單一些。
原文鏈接: DEX文件格式分析
0x00 前言
分析 dex 文件格式最好的方式是找個介紹文檔,自己再寫一個簡單的 demo 然后用 010Editor 對照著分析。文檔可以參考官方文檔http://source.android.com/devices/tech/dalvik/dex-format.html,英文差的也可以找個中文的,比如說我。。。。。。
010Editor 這個工具比較好用,之前分析 elf 文件也是用的它。其實只要裝了模板,可以分析很多文件。雖然是收費軟件,有30天免費試用。但是如果你用的是 mac 😏 試用期到了, 刪一下這個文件 🙄 ~/.config/SweetScape/010 Editor.ini。
0x01 文件布局
dex 文件可以分為3個模塊,頭文件(header)、索引區(xxxx_ids)、數據區(data)。頭文件概況的描述了整個 dex 文件的分布,包括每一個索引區的大小跟偏移。索引區的ids 是 identifiers 的縮寫,表示每個數據的標識,索引區主要是指向數據區的偏移。
010Editor 中除了數據區(data)沒有顯示出來,其他區段都有顯示,另外 link_data 在模板中被定為 map_list
0x02 header
header 描述了 dex 文件信息,和其他各個區的索引。010Editor(寫010Editor 有點麻煩下面直接寫010)中用結構體 struct header_item 來描述 header。
其中用到了兩種數據類型char、uint。這里的 char 是 C/C++ 中的char 占 8-bit, java 中的 char 是占 16-bit 有點區別,但是我們可以他來表示 short/ushort 這個以后介紹最近寫的工具會介紹。官方文檔是用 ubyte來定義的,那還是按官方的來吧。結構體描述:
- ubyte 8-bit unsinged int
- uint 32-bit unsigned int, little-endian
- struct header_item
- {
- ubyte[8] magic;
- unit checksum;
- ubyte[20] signature;
- uint file_size;
- uint header_size;
- unit endian_tag;
- uint link_size;
- uint link_off;
- uint map_off;
- uint string_ids_size;
- uint string_ids_off;
- uint type_ids_size;
- uint type_ids_off;
- uint proto_ids_size;
- uint proto_ids_off;
- uint method_ids_size;
- uint method_ids_off;
- uint class_defs_size;
- uint class_defs_off;
- uint data_size;
- uint data_off;
- }
除了 magic、checksum、signature、file_size、endian_tag、map_off 其他元素都是成對出現的。_off 表示元素的偏移量,_size 表示元素的個數。其余的6個描述主要是 dex 文件的信息。
- magic: 這個是固定值,用于識別 dex 文件。轉化為字符串為:
- {0x64, 0x65, 0x78, 0x0A, 0x30, 0x33, 0x35, 0x00} = "dex\n035\0"
中間是一個換行,后面035是版本號。
- checksum: 文件校驗碼,使用 alder32 算法校驗文件除去 maigc、checksum 外余下的所有文件區域,用于檢 查文件錯誤。
- signature: 使用 SHA-1 算法 hash 除去 magic、checksum 和 signature 外余下的所有文件區域, 用于唯一識別本文件 。
- file_size: dex 文件大小
- header_size: header 區域的大小,目前是固定為 0x70
- endian_tag: 大小端標簽,dex 文件格式為小端,固定值為 0x12345678 常量
- map_off: map_item 的偏移地址,該 item 屬于 data 區里的內容,值要大于等于 data_off 的大小,處于 dex 文件的末端。
0x03 string_ids
string_ids 區段描述了 dex 文件中所有的字符串。格式很簡單只有一個偏移量,偏移量指向了 string_data 區段的一個字符串:
上述描述里提到了 LEB128 ( little endian base 128 ) 格式,是基于 1 個 byte 的一種不定長度的編碼方式。若第一個 byte 的最高位為1,則表示還需要下一個 byte 來描述,直至最后一個 byte 的最高位為 0。每個 byte 的其余 bit 用來表示數據,如下表所示。實際中 LEB128 最大只能達到 32-bit 可以閱讀 dalvik 中的Leb128.h源碼看出來。
數據結構為:
- ubyte 8-bit unsinged int
- uint 32-bit unsigned int, little-endian
- uleb128 unsigned LEB128, valriable length
- struct string_ids_item
- {
- uint string_data_off;
- }
- struct string_data_item
- {
- uleb128 utf16_size;
- ubyte data;
- }
其中 data 保存的就是字符串的值。string_ids 是比較關鍵的,后續的區段很多都是直接指向 string_ids 的 index。在寫工具進行比較的時候也需要提取到 string_id
0x04 type_ids
type_ids 區索引了 dex 文件里的所有數據類型,包括 class 類型,數組類型(array types)和基本類型(primitive types)。區段里的元素格式為 type_ids_item,結構描述如下 :
- uint 32-bit unsigned int, little-endian
- struct type_ids_item
- {
- uint descriptor_idx; //-->string_ids
- }
type_ids_item 里面 descriptor_idx 的值的意思,是 string_ids 里的 index 序號,是用來描述此 type 的字符串。
0x05 proto_ids
proto 的意思是 method prototype 代表 java 語言里的一個 method 的原型 。proto_ids 里的元素為 proto_id_item,結構如下:
- uint 32-bit unsigned int, little-endian
- struct proto_id_item
- {
- uint shorty_idx; //-->string_ids
- uint return_type_idx; //-->type_ids
- uint parameters_off;
- }
- shorty_idx: 跟 type_ids 一樣,它的值是一個 string_ids 的 index 號 ,最終是一個簡短的字符串描述,用來說明該 method 原型。
- return_type_idx: 它的值是一個 type_ids 的 index 號 ,表示該 method 原型的返回值類型。
- parameters_off: 指向 method 原型的參數列表 type_list,若 method 沒有參數,值為0。參數列表的格式是 type_list,下面會有描述。
0x06 field_ids
filed_ids 區里面有 dex 文件引用的所有的 field。區段的元素格式是 field_id_item,結構如下:
- ushort 16-bit unsigned int, little-endian
- uint 32-bit unsigned int, little-endian
- struct filed_id_item
- {
- ushort class_idx; //-->type_ids
- ushort type_idx; //-->type_ids
- uint name_idx; //-->string_ids
- }
- class_idx: 表示 field 所屬的 class 類型,class_idx 的值是 type_ids 的一個 index,并且必須指向一個 class 類型。
- type_idx: 表示本 field 的類型,它的值也是 type_ids 的一個 index 。
- name_idx: 表示本 field 的名稱,它的值是 string_ids 的一個 index 。
0x07 method_ids
method_ids 是索引區的最后一個條目,描述了 dex 文件里的所有的 method。method_ids 的元素格式是 method_id_item,結構跟 fields_ids 很相似:
- ushort 16-bit unsigned int, little-endian
- uint 32-bit unsigned int, little-endian
- struct filed_id_item
- {
- ushort class_idx; //-->type_ids
- ushort proto_idx; //-->proto_ids
- uint name_idx; //-->string_ids
- }
- class_idx: 表示 method 所屬的 class 類型,class_idx 的值是 type_ids 的一個 index,并且必須指向一個 class 類型。<font color=red>ushort類型也是為什么我們說一個 dex 只能有 65535 個方法的原因,多了必須分包</font>。
- proto_idx: 表示 method 的類型,它的值也是 type_ids 的一個 index。
- name_idx: 表示 method 的名稱,它的值是 string_ids 的一個 index。
0x08 class_defs
class_def 區段主要是對 class 的定義,它的結構很復雜,看的我有點暈,一層套一層。先看一張 010 的結構圖:
看著都暈,別說解析的時候了。
class_def_item
class_def_item 結構描述如下:
- uint 32-bit unsigned int, little-endian
- struct class_def_item
- {
- uint class_idx; //-->type_ids
- uint access_flags;
- uint superclass_idx; //-->type_ids
- uint interface_off; //-->type_list
- uint source_file_idx; //-->string_ids
- uint annotations_off; //-->annotation_directory_item
- uint class_data_off; //-->class_data_item
- uint static_value_off; //-->encoded_array_item
- }
- class_idx: 描述具體的 class 類型,值是 type_ids 的一個 index 。值必須是一個 class 類型,不能是數組類型或者基本類型。
- access_flags: 描述 class 的訪問類型,諸如 public , final , static 等。在 dex-format.html 里 "access_flags Definitions" 有具體的描述 。
- superclass_idx: 描述 supperclass 的類型,值的形式跟 class_idx 一樣 。
- interfaces_off: 值為偏移地址,指向 class 的 interfaces,被指向的數據結構為 type_list 。class 若沒有 interfaces 值為 0。
- source_file_idx: 表示源代碼文件的信息,值是 string_ids 的一個 index。若此項信息缺失,此項值賦值為 NO_INDEX=0xffff ffff。
- annotions_off: 值是一個偏移地址,指向的內容是該 class 的注釋,位置在 data 區,格式為 annotations_direcotry_item。若沒有此項內容,值為 0 。
- class_data_off: 值是一個偏移地址,指向的內容是該 class 的使用到的數據,位置在 data 區,格式為 class_data_item。若沒有此項內容值為 0。該結構里有很多內容,詳細描述該 class 的 field、method, method 里的執行代碼等信息,后面會介紹class_data_item。
- static_value_off: 值是一個偏移地址 ,指向 data 區里的一個列表 (list),格式為 encoded_array_item。若沒有此項內容值為 0。
type_list
type_list 在 data 區段,class_def_item->interface_off 就是指的這里的數據。數據結構如下:
- uint 32-bit unsigned int, little-endian
- struct type_list
- {
- uint size;
- type_item list [size]
- }
- struct type_item
- {
- ushort type_idx //-->type_ids
- }
- size: 表示類型個數
- type_idx: 對應一個 type_ids 的 index
annotations_directory_item
class_def_item->annotations_off 指向的數據區段,定義了 annotation 相關的數據描述,數據結構如下:
- uint 32-bit unsigned int, little-endian
- struct annotation_directory_item
- {
- uint class_annotations_off; //-->annotation_set_item
- uint fields_size;
- uint annotated_methods_size;
- uint annotated_parameters_size;
- field_annotation field_annotations[fields_size];
- method_annotation method_annotations[annotated_methods_size];
- parameter_annotation parameter_annotations[annotated_parameters_size];
- }
- struct field_annotation
- {
- uint field_idx;
- uint annotations_off; //-->annotation_set_item
- }
- struct method_annotation
- {
- uint method_idx;
- uint annotations_off; //-->annotation_set_item
- }
- struct parameter_annotation
- {
- uint method_idx;
- uint annotations_off; //-->annotation_set_ref_list
- }
- class_annotations_off: 這個偏移指向了 annotation_set_item 具體的可以看 dex-format.html 上的介紹。
- fields_size: 表示屬性的個數
- annotated_methods_size: 表示方法的個數
- annotated_parameters_size: 表示參數的個數
class_data_item
class_data_off 指向 data 區里的 class_data_item 結構,class_data_item 里存放著本 class 使用到的各種數據,下面是 class_data_item 的結構 :
- uleb128 unsigned little-endian base 128
- struct class_data_item
- {
- uleb128 static_fields_size;
- uleb128 instance_fields_size;
- uleb128 direct_methods_size;
- uleb128 virtual_methods_size;
- encoded_field static_fields[static_fields_size];
- encoded_field instance_fields[instance_fields_size];
- encoded_method direct_methods[direct_methods_size];
- encoded_method virtual_methods[virtual_methods_size];
- }
- struct encoded_field
- {
- uleb128 filed_idx_diff;
- uleb128 access_flags;
- }
- struct encoded_method
- {
- uleb128 method_idx_diff;
- uleb128 access_flags;
- uleb128 code_off;
- }
class_data_item
- static_fields_size: 靜態成員變量的個數
- instance_fields_size: 實例成員變量個數
- direct_methods_size: 直接函數個數
- virtual_methods_size: 虛函數個數
下面幾個就是對于的描述
encoded_field
- method_idx_diff: 前綴 methd_idx 表示它的值是 method_ids 的一個 index ,后綴 _diff 表示它是于另 外一個 method_idx 的一個差值 ,就是相對于 encodeed_method [] 數組里上一個元素的 method_idx 的差值 。 其實 encoded_filed - > field_idx_diff 表示的也是相同的意思 ,只是編譯出來的 Hello.dex 文件里沒有使用到 class filed 所以沒有仔細講 ,詳細的參考 dex_format.html 的官網文檔。
- access_flags: 訪問權限,比如 public、private、static、final 等。
- code_off: 一個指向 data 區的偏移地址,目標是本 method 的代碼實現。被指向的結構是code_item,有近 10 項元素。
code_item
code_item 結構里描述著某個 method 的具體實現,它的結構描述如下:
- struct code_item
- {
- ushort registers_size;
- ushort ins_size;
- ushort outs_size;
- ushort tries_size;
- uint debug_info_off;
- uint insns_size;
- ushort insns [insns_size];
- ushort paddding; // optional
- try_item tries [tyies_size]; // optional
- encoded_catch_handler_list handlers; // optional
- }
末尾的 3 項標志為 optional , 表示可能有 ,也可能沒有 ,根據具體的代碼來。
- registers_size: 本段代碼使用到的寄存器數目。
- ins_size: method 傳入參數的數目 。
- outs_size: 本段代碼調用其它 method 時需要的參數個數 。
- tries_size: try_item 結構的個數 。
- debug_off: 偏移地址,指向本段代碼的 debug 信息存放位置,是一個 debug_info_item 結構。
- insns_size: 指令列表的大小,以 16-bit 為單位。 insns 是 instructions 的縮寫 。
- padding: 值為 0,用于對齊字節 。
- tries 和 handlers: 用于處理 java 中的 exception,常見的語法有 try catch。
encoded_array_item
class_def_item->static_value_off 偏移指向該區段數據。
- uleb128 unsigned LEB128, valriable length
- struct encoded_array_item
- {
- encoded_array value;
- }
- struct encoded_array
- {
- uleb128 size;
- encoded_value values[size];
- }
- size : 表示encoded_value 個數
- encoded_value: 這個我也沒分析出來怎么搞得🙄
0x09 map_list
map_list 中大部分 item 跟 header 中的相應描述相同,都是介紹了各個區的偏移和大小,但是 map_list 中描述的更加全面,包括了 HEADER_ITEM 、TYPE_LIST、STRING_DATA_ITEM、DEBUG_INFO_ITEM 等信息。
010 中map_list 表示為:
數據結構為:
- ushort 16-bit unsigned int, little-endian
- uint 32-bit unsigned int, little-endian
- struct map_list
- {
- uint size;
- map_item list [size];
- }
- struct map_item
- {
- ushort type;
- ushort unuse;
- uint size;
- uint offset;
- }
map_list 里先用一個 uint 描述后面有 size 個 map_item,后續就是對應的 size 個 map_item 描述。 map_item 結構有 4 個元素: type 表示該 map_item 的類型,Dalvik Executable Format 里 Type Code 的定義; size 表示再細分此 item,該類型的個數;offset 是第一個元素的針對文件初始位置的偏移量; unuse 是用對齊字節的,無實際用處。
