Sev*_*ren 5 android logcat smali
您好,我想了解如何在 smali 虚拟方法中正确增加寄存器。为了注入将使用新寄存器的代码
作为参考,我已经阅读了以下内容:https://github.com/JesusFreke/smali/wiki/Registers
这是我的java代码:
public void toastMsg(String msg) {
Toast toast = Toast.makeText(this, msg, Toast.LENGTH_LONG);
toast.setGravity(Gravity.CENTER, 0, 0);
toast.show();
}
在 Smali 中它看起来像这样
.method public toastMsg(Ljava/lang/String;)V
.locals 2
const/4 v0, 0x1
.line 26
invoke-static {p0, p1, v0}, Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/CharSequence;I)Landroid/widget/Toast;
move-result-object p1
const/4 v0, 0x0
const/16 v1, 0x11
.line 27
invoke-virtual {p1, v1, v0, v0}, Landroid/widget/Toast;->setGravity(III)V
.line 28
invoke-virtual {p1}, Landroid/widget/Toast;->show()V
return-void
.end method
现在据我了解,上面的 toastMsg 方法的 smali 代码片段总共包含 4 个寄存器。
.locals = 2 + 1 表示对象(this),1 表示 toastMsg 方法的参数(String msg)。
因此我的寄存器看起来像这样
v0 - free local register
v1 - free local register
v2 => p0 (this)
v3 => p1 (the string parameter - our msg)
现在假设我想注入以下 logcat 行,但我没有任何可用的本地寄存器。
const-string v3, "MYAWESOMELOG"
invoke-static {v3, p1}, Landroid/util/Log;->d(Ljava/lang/String;Ljava/lang/String;)I
现在注入 logcat 代码当然会破坏 v3 寄存器,它会起作用,但 p1 的值会丢失,因为 v3 == p1。
我想向 .locals 添加一个额外的寄存器,以便它可以保存该字符串。并且不会破坏任何东西。假设根据参考,我可以简单地增加.locals变量上的数字,它应该给我更多的本地寄存器来使用。
所以如果.locals 3这个方法中的寄存器现在看起来应该像这样
v0 - free local register
v1 - free local register
v2 - new free local register ?
v3 => p0 (this)
v4 => p1 (the string parameter - our msg)
因此,如果我理解正确的话,本地寄存器 v2 现在应该是全新的并且可以免费使用。
所以现在下面的logcat smali代码我希望可以使用新的寄存器v2来存储标签,并且仍然保留字符串参数(p1)
const-string v2, "MYAWESOMELOG"
invoke-static {v2, p1}, Landroid/util/Log;->d(Ljava/lang/String;Ljava/lang/String;)I
因此修改后的代码现在看起来像这样
.method public toastMsg(Ljava/lang/String;)V
.locals 3 <--- increased here by 1
const/4 v0, 0x1
.line 25
invoke-static {p0, p1, v0}, Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/CharSequence;I)Landroid/widget/Toast;
move-result-object p1
const/4 v0, 0x0
const/16 v1, 0x11
.line 26
invoke-virtual {p1, v1, v0, v0}, Landroid/widget/Toast;->setGravity(III)V
.line 27
invoke-virtual {p1}, Landroid/widget/Toast;->show()V
# PATCH here useing the new regiser
const-string v2, "MYAWESOMELOG"
invoke-static {v2, p1}, Landroid/util/Log;->d(Ljava/lang/String;Ljava/lang/String;)I
# END PATCH
return-void
.end method
不幸的是,情况似乎并非如此,所以我认为我不明白如何正确修改和使用新寄存器。
我已经重建并安装了我的示例,但由于 java 类验证错误,应用程序强制关闭。
apktool d example.apk
apktool b example -o example-modified.apk
.method public toastMsg(Ljava/lang/String;)V
.locals 2
const/4 v0, 0x1
.line 26
invoke-static {p0, p1, v0}, Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/CharSequence;I)Landroid/widget/Toast;
move-result-object p1
const/4 v0, 0x0
const/16 v1, 0x11
.line 27
invoke-virtual {p1, v1, v0, v0}, Landroid/widget/Toast;->setGravity(III)V
.line 28
invoke-virtual {p1}, Landroid/widget/Toast;->show()V
return-void
.end method
看来我把寄存器弄乱了,但我不太明白问题出在哪里。加.locals1 应该会给我一个额外的寄存器,并且也会自动向下移动参数引用,因此 v4 应该指向 p1 并且是一个字符串,但它指向 android.widget.Toast。
那么我是否无法增加.locals方法中的变量并使用新的寄存器?我是否必须声明新寄存器并以其他方式初始化它?
奇怪的是,似乎有些问题已经指向我实际上应该能够增加寄存器的答案。
我非常有信心该文件没有使用 -p/--no-parameter-registers 选项进行反汇编。我只是使用了 apktool d 中的默认值
这个答案还指出我应该能够实际做到这一点 /sf/answers/885403851/
所以问题是,为什么当我增加变量时没有新的寄存器 v2,.locals或者如果有,为什么寄存器没有下移?或者如果所有这些都是正确的,那么也许我没有使用正确的寄存器,也没有将补丁注入到正确的位置?
这个问题正是 JesusFreke 所描述的,但我还在错误的位置修补了代码。我试图调用 Log 方法,但无法理解该p1方法在函数结束时已从 String 更改为 android/widget/Toast 。
使用新寄存器 v2 进行以下工作
.method public toastMsg(Ljava/lang/String;)V
.locals 3
const/4 v0, 0x1
.line 26
# PATCH HERE
const-string v2, "MYAWESOMELOG"
invoke-static {v2, p1}, Landroid/util/Log;->d(Ljava/lang/String;Ljava/lang/String;)I
# END PATH
invoke-static {p0, p1, v0}, Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/CharSequence;I)Landroid/widget/Toast;
move-result-object p1
const/4 v0, 0x0
const/16 v1, 0x11
.line 27
invoke-virtual {p1, v1, v0, v0}, Landroid/widget/Toast;->setGravity(III)V
.line 28
invoke-virtual {p1}, Landroid/widget/Toast;->show()V
return-void
.end method
这是更深入的解释:
.locals正常增加工作,在 toastMsg 方法调用开始时看起来像这样
v0 - free local register
v1 - free local register
v2 - free local register
v3 => p0 (this)
v4 => p1 (the string parameter - our msg)
然而,以下几行现在更改了寄存器中的值,观察 v4 == p1 在执行这些行之前,v4(p1) 指向一个字符串对象(我们的参数 msg)
invoke-static {p0, p1, v0}, Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/CharSequence;I)Landroid/widget/Toast;
move-result-object p1
在上面的代码片段之后,move-result-object p1寄存器中的值现在看起来像这样
v0 - 0x1
v1 - free local register
v2 - "MYAWESOMELOG"
v3 => p0 (this)
v4 => p1 (android/widget/Toast)
我们不再拥有传递给 toastMsg 方法的原始字符串值
如果我想使用原始p1值,我必须在该move-result-object p1行之前使用它。p1或者,我可以再次增加局部变量并在函数开头复制/存储结果。
| 归档时间: |
|
| 查看次数: |
5228 次 |
| 最近记录: |