Android逆向之路---改apk包名、达到多开效果

2017年09月23日 Android逆向

前言

最近在某乎上有人在问我如何将打好的包更改包名。了解我的同学大概都知道，我喜欢自己动手做实验，再将自己的方式分享给大家，这次我选择了一个阅读类型app，随机选的。先看效果

如何做到的呢，那就把我的思路分享给大家。 ps：侵删！仅供个人学习使用，不适宜商用。

准备工作

咪咕阅读v7.1.1app
apktool
一个编辑器，（我用vscode装了smali高亮插件）

思路

利用apktool拆包咪咕阅读
首先更改AndroidManifest.xml里面的包名
全局更改com.xxx.xxxx类似的包名
全局更改smali类型代码的包名字符串Lcom/xxx/xxxx
全局更改所有com/xxx/xxxx文件夹的名称，因为java文件里面要求包名和文件夹路径要对应
更改删除app原本的包名或签名校验相关smali代码
apktool b打包apk
jarsigner 签名，安装apk

开始逆向

拆包

1	apktool d com.ophone.reader.ui_7.1.1_129.apk

更改包名

在AndroidMaifest.xml里面我们发现他的包名是 com.ophone.reader.ui
我就把我的包名改成com.ophone.reader.ui01吧

将所有com.ophone.reader.ui替换成com.ophone.reader.ui01

更改smali的包名

将所有Lcom/ophone/reader/ui替换成
Lcom/ophone/reader/ui01

更改文件夹名称

更改所有com/ophone/reader/ui 的ui文件夹名为ui01
ps:其实以上三步可以写成程序吧，大体思路都是关于文件的读写，还有重命名等

开始打包

更改完了app的包名准备打包，

1	apktool b com.ophone.reader.ui_7.1.1_129

打好的包我的路径在
com.ophone.reader.ui_7.1.1_129/dist里面，
看到了我们逆向动了手脚的apk了

然后签名执行以下命令

1	jarsigner -verbose -sigalg SHA1withRSA -digestalg SHA1 -keystore "MartinHanKey.jks" -signedjar _signed.apk ".\com.ophone.reader.ui01_7.1.1_129.apk" "MartinHan"

以上命令我就不解释了，可以具体自己查询。

运行

开始运行了，发现有如下问题，如图

很明显啊，开发者加了签名校验，或者包名校验。

思路

后来我搜索了如下字符串“你安装版本xxxx”搜到了如下字符串

1	<string name="check_sign_notice">您安装的版本不是官方版，建议您访问wap.cmread.com官网下载安装(注意:安装新版本需卸载当前版本)</string>

跟着这个name=check_sign_notice在public.xml里面看到了这个

1	<public type="string" name="check_sign_notice" id="0x7f0701bf" />

由此可见，其实他的id就是7f0701bf。
继续全局搜索这个id我在WelcomePageActivity里面发现了如下代码，这段代码比较关键，需要我们细细研读。

#这里调用了setContentView方法
invoke-virtual {p0, v0}, Lcom/cmread/bplusc/bookshelf/WelcomePageActivity;->setContentView(Landroid/view/View;)V

#这里调用了com.cmread.bplusc.layout.as类的a方法，将结果传入v0，也就是根据这个
#v0来判断下面的条件
.line 171
invoke-static {p0}, Lcom/cmread/bplusc/layout/as;->a(Landroid/content/Context;)Z

move-result v0
#根据刚才的结果进行跳转
if-nez v0, :cond_3
#设置了WelcomePageActivity的E变量
.line 172
iput-boolean v4, p0, Lcom/cmread/bplusc/bookshelf/WelcomePageActivity;->E:Z
#下面的就不具体解释了，其实就是创建了那个对话框
.line 173
iget-object v0, p0, Lcom/cmread/bplusc/bookshelf/WelcomePageActivity;->g:Landroid/content/Context;

.line 175
invoke-virtual {p0}, Lcom/cmread/bplusc/bookshelf/WelcomePageActivity;->getResources()Landroid/content/res/Resources;

move-result-object v2
#这就是那一段提示非官方版的文字
const v3, 0x7f0701bf

invoke-virtual {v2, v3}, Landroid/content/res/Resources;->getString(I)Ljava/lang/String;

move-result-object v2

.line 176
invoke-virtual {p0}, Lcom/cmread/bplusc/bookshelf/WelcomePageActivity;->getResources()Landroid/content/res/Resources;

move-result-object v3

const v4, 0x7f070278

invoke-virtual {v3, v4}, Landroid/content/res/Resources;->getString(I)Ljava/lang/String;

move-result-object v3

.line 177
invoke-virtual {p0}, Lcom/cmread/bplusc/bookshelf/WelcomePageActivity;->getResources()Landroid/content/res/Resources;

move-result-object v4

const v5, 0x7f070156

invoke-virtual {v4, v5}, Landroid/content/res/Resources;->getString(I)Ljava/lang/String;

move-result-object v4

new-instance v5, Lcom/cmread/bplusc/bookshelf/hu;

invoke-direct {v5, p0}, Lcom/cmread/bplusc/bookshelf/hu;-><init>(Lcom/cmread/bplusc/bookshelf/WelcomePageActivity;)V

new-instance v6, Lcom/cmread/bplusc/bookshelf/hw;

invoke-direct {v6, p0}, Lcom/cmread/bplusc/bookshelf/hw;-><init>(Lcom/cmread/bplusc/bookshelf/WelcomePageActivity;)V

new-instance v7, Lcom/cmread/bplusc/bookshelf/hx;

invoke-direct {v7, p0}, Lcom/cmread/bplusc/bookshelf/hx;-><init>(Lcom/cmread/bplusc/bookshelf/WelcomePageActivity;)V

.line 173
invoke-static/range {v0 .. v8}, Lcom/cmread/uilib/dialog/h;->a(Landroid/content/Context;Ljava/lang/String;Ljava/lang/String;Ljava/lang/String;Ljava/lang/String;Lcom/cmread/uilib/dialog/CommonReaderDialog$a;Lcom/cmread/uilib/dialog/CommonReaderDialog$a;Lcom/cmread/uilib/dialog/CommonReaderDialog$b;Z)Lcom/cmread/uilib/dialog/CommonReaderDialog;

goto/16 :goto_0


......
......
......
......
......
# goto_0具体位置代码如下，其实就是调用了父类的方法onKeyDown，然后就return了。

.line 1071
:cond_0
:goto_0
invoke-super {p0, p1, p2}, Lcom/cmread/uilib/activity/CMActivity;->onKeyDown(ILandroid/view/KeyEvent;)Z

move-result v0

:goto_1
return v0

到此为止，我们了解了以上的方法，就知道了，关键点就在于if-nez v0, :cond_3，
现在吧if-nez改成if-eqz，然后再次打包运行
如图：

写在结尾

一切都彻底搞定啦，打到了本文章开始的效果，咪咕阅读双开，更改了他的包名，而且还过了校验。

Categories

Archive

Recent Posts