一、概述

    提高防範意識

二、工具

三、步驟

首先需要準備一個apk，我們隨便寫一個簡單的demo。

package com.zhy.decompile;

import android.support.v7.app.AppCompatActivity;
import android.os.Bundle;

public class MainActivity extends AppCompatActivity {

    @Override
    protected void onCreate(Bundle savedInstanceState) {
        super
 
.onCreate(savedInstanceState);
        setContentView(R.layout.activity_main);
    }
}

app的樣子是這樣的，湊合截個圖，據說沒圖不利於閱讀。

然後點選run，拿debug的apk就可以，當然不嫌麻煩可以自己簽名拿個混淆的apk，也可以隨便下載一個小眾的app。

1.反編譯一個app

./apktool d app.apk 

• 1

• 1

其中res目錄為資源目錄，smali目錄下可以認為是原始碼目錄，不過都是對應的smali檔案。

如果你對smali的語法比較清晰，可以直接在程式碼中新增邏輯。

我們這裡就算了，不過我們這裡可以開啟res目錄，找到activity_main的佈局檔案，然後修改裡面的字串為：This is hacked app!

對了，我們要注入閃屏廣告。

思考下，閃屏廣告我們可以用Activity來呈現，那麼我有個思路是這樣的步驟：

1. 編寫閃屏廣告頁的Activity
2. 修改AndroidManifest.xml中的入口Activity為我們閃屏頁Activity
3. 閃屏頁面中，3s後跳轉到原有的入口Activity

那就搞定了。

好像有什麼不對的地方，我們這裡的原始碼都是smali格式的，那麼閃屏頁的Activity我只會Java呀，這怎麼轉化，有什麼大力出奇跡的工具麼？

恩，還真有。

工具就是Android Studio，開個玩笑，雖然我們不會，但是我們知道smali檔案可以反編譯生成，那麼我們可以檢視反編譯apk的包名，然後我們新建一個app，在相同的包名下編寫一個閃屏頁Activity，然後打包成apk。把這個apk再反編譯，提取出閃屏頁對應的Smali檔案，貼上到被反編譯apk的目錄不就好了麼。

2. 新建專案（為了Smali檔案）

內容如下：

package com.zhy.decompile;

public class HackAdActivity extends AppCompatActivity {

    private Handler mHandler = new Handler(Looper.getMainLooper());

    private Runnable mCallback = new Runnable() {
        @Override
        public void run() {
            Intent intent = new Intent();
            intent.setComponent(new ComponentName("com.zhy.decompile",
                    "com.zhy.decompile.MainActivity"));
            startActivity(intent);
        }
    };

    @Override
    protected void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        mHandler.postDelayed(mCallback, 3000);
    }

    @Override
    protected void onDestroy() {
        super.onDestroy();
        mHandler.removeCallbacks(mCallback);
    }
}

注意包名一定要和原包名一致&先不要使用到佈局檔案，後面會說~~

然後提取出apk，重新進行上面的操作，取到Smali檔案。

注意我們的編寫方式包含內部類，兩個一起copy到反編譯app的目錄。

然後開啟AndroidManifest.xml修改入口Activity…

可以看到入口Activity改為我們新建的Activity了，原來的入口Activity切換為普通Activity了。

到這裡，我們的檔案就修改完畢了。

然後我們重新打包，與其打包之後的apk，還可以安裝，安裝後啟動首先是閃屏廣告頁，然後才是原來的頁面。

那接下來就是打包了~~

3.打包

./apktool b apk1127 -o app1127_new.apk

• 1

• 1

./apktool b apk1127 -o app1127_new.apk
I: Using Apktool 2.2.0
I: Checking whether sources has changed...
I: Smaling smali folder into classes.dex...
W: Unknown file type, ignoring: apk1127/smali/.DS_Store
W: Unknown file type, ignoring: apk1127/smali/com/.DS_Store
W: Unknown file type, ignoring: apk1127/smali/com/zhy/.DS_Store
I: Checking whether resources has changed...
I: Building resources...
I: Building apk file...
I: Copying unknown files/dir...

ok，打包成功後，可以看到一個新的app1127_new.apk。

這個apk現在是無法安裝的，安裝後出現下圖結果：

主要是因為沒有簽名。

那麼接下來就開始簽名吧~

4.簽名

簽名的話，我們需要一個簽名檔案，我們一起來新生成下。

keytool -genkey -alias zhy.keystore -keyalg RSA -validity 20000 -keystore zhy.keystore 

然後按照提示往下輸入即可。

當然如果你嫌命令太難記，你也可以利用Android Studio進行視覺化生成一個：

點選Build：

選擇create New，然後在彈出面板填寫就行了，你肯定會填。

有了keystore之後呢，我們可以利用新生成的keystore來簽名我們剛才hack的apk。

jarsigner -verbose -sigalg SHA1withRSA -digestalg SHA1 
-keystore zhy.keystore 
-storepass 123456 
app1127_new.apk 
zhy.keystore

記得上述程式碼弄成一行去執行：

上面的options其實並不多，檔案路徑，密碼，別名呀什麼的，應該可以看明白，有興趣可以詳細的搜尋下相關檔案。

簽名完成之後一般就可以安裝了，不過我們一般還會做一個對齊操作。

5.對齊

zipalign 4 app1127_new.apk app1127_new_align.apk

此刻執行：

原本只有一個頁面，可以看到現在被我們注入了一個I am ad的頁面。

當然了，如果你是一路模擬過來的，因為前面說了，先不要使用資源，所以你應該能看出頁面的跳轉，但是並Ad頁面並沒有佈局檔案。

下面我們來說使用佈局檔案。

四、使用佈局檔案

HackAdActivity中新增一行：

  setContentView(R.layout.ad);

還是剛才的活，重新反編譯copy Smali檔案，並且把ad這個layout複製到想要注入的app的反編譯後的資料夾中。

然後是不是打包就好了呢？

當然不是，如果是，剛才就直接說好了。我們在寫程式碼的時候，都知道會生成一個R.layout.ad，那麼這個值，在原本的app裡面肯定是沒有的（不考慮重名情況）。
所以，我們需要手動加入進去：

開啟R$layout.smali檔案：

我們在最後新增一個ad的資源id:

.field public static final ad:I = 0x7f04002e

然後儲存退出。

別急著打包…

這裡定義完了，我們的HackAdActivity.smali中還需要修改呢。

你別說smali檔案裡面我看不懂怎麼改？

改個id還是可以的。

找到setContentView前一行，是不是還蠻容易定位的。

改完之後，重新打包、簽名、對齊就ok了~~

如果你使用了更多的資源，記得基本都要處理。