Android逆向工程:Smali语法解析完整指南

最新推荐文章于 2026-06-24 15:51:55 发布
原创 最新推荐文章于 2026-06-24 15:51:55 发布 · 2.1k 阅读 · 22
标签
#android #smali #逆向工程

完整Smali语法指南 & 一些个人理解

参考来源:CTF Wiki - Smali

目录

1. Smali基础介绍

1.1 什么是Smali

Smali 是 Android 应用程序反编译后的一种中间表示形式:

  • dex文件 → baksmali工具 → smali文件(人类可读)
    backSmail 工具按照一定格式解析的dex二进制文件,再转成的smail格式文件~
  • smali文件 → smali工具 → dex文件(虚拟机执行)

2. 数据类型系统

2.1 基础数据类型

Smali标识 Java类型 描述 示例
V void 空类型 方法返回值
Z boolean 布尔类型 true/false
B byte 8位字节 -128~127
S short 16位短整型 -32768~32767
C char 16位字符 Unicode字符
I int 32位整型 标准整数
J long 64位长整型 大整数
F float 32位浮点 单精度小数
D double 64位浮点 双精度小数

2.2 对象类型

格式 说明 Java等价 Smali示例
Lpackage/Class; 完整类名 package.Class Ljava/lang/String;
[type 数组类型 type[] [I (int数组)
[[type 二维数组 type[][] [[Ljava/lang/String;

2.3 方法签名格式

方法名(参数类型...)返回类型

示例对照

// Java方法
public String test(int a, boolean b) {
   
    ... }

# Smali签名
test(IZ)Ljava/lang/String;

3. 字节码语法

3.1 字段语法

.field [访问修饰符] [字段名]:[类型]

示例

.field private TAG:Ljava/lang/String;
.field private running:Z

3.2 方法语法

.method [访问修饰符] [方法名](参数类型)返回类型
    [.registers N]          # 寄存器声明
    [.parameter "参数名"]    # 参数注释
    [.locals N]             # 本地变量声明
    
    .prologue              # 方法开始标记
    [.line 行号]            # 源码行号对应
    
    # 方法体指令
    [指令 寄存器, 参数...]
    
    [return指令]           # 返回语句
.end method

示例

.method public constructor <init>()V
    .locals 1

    .prologue
    .line 8
    # 调用Activity中的init()方法
    invoke-direct {
   
   p0}, Landroid/app/Activity;-><init>()V

    .line 10
    const-string v0, "MainActivity"
    iput-object v0, p0, Lcom/social_touch/demo/MainActivity;->TAG:Ljava/lang/String;

    .line 13
    const/4 v0, 0x0
    iput-boolean v0, p0, Lcom/social_touch/demo/MainActivity;->running:Z

    return-void
.end method

4. 寄存器概念

4.1 寄存器声明

.registers N    # 声明使用N个寄存器(v0 ~ vN-1.locals M       # 声明M个本地变量寄存器

4.2 寄存器类型

本地寄存器 (v0-vN)
.registers 4    # 可用寄存器:v0, v1, v2, v3
const/4 v0, 0x5    # v0 = 5
const/4 v1, 0x3    # v1 = 3
add-int v2, v0, v1 # v2 = v0 + v1 = 8
参数寄存器 (p0-pN)

静态方法

# Java: public static void test(int a, String b)
.method public static test(ILjava/lang/String;)V
    .registers 3
    # p0 = 第一参数(int a)
    # p1 = 第二参数(String b)
.end method

实例方法

# Java: public void test(int a, String b)
.method public test(ILjava/lang/String;)V
    .registers 4
    # p0 = this (当前对象)
    # p1 = 第一参数(int a)  
    # p2 = 第二参数(String b)
.end method

5. 方法语法结构

5.1 方法声明语法

.method [访问修饰符] [方法名](参数类型)返回类型
    [.registers N]          # 寄存器声明
    [.parameter "参数名"]    # 参数注释
    [.locals N]             # 本地变量声明
    
    .prologue              # 方法开始标记
    [.line 行号]            # 源码行号对应
    
    # 方法体指令
    [指令 寄存器, 参数...]
    
    [return指令]           # 返回语句
.end method

5.2 访问修饰符

修饰符 说明 示例
public 公开访问 .method public test()V
private 私有访问 .method private test()V
protected 受保护访问 .method protected test()V
static 静态方法 .method public static test()V
final 最终方法 .method public final test()V
abstract 抽象方法 .method public abstract test()V
synchronized 同步方法 .method public synchronized test()V

5.3 特殊方法

方法名 作用 Java等价
<init> 构造方法 public ClassName() { ... }
<clinit> 静态初始化块 static { ... }

6. 字段语法结构

6.1 字段声明语法

.field [访问修饰符] [字段名]:[类型]

示例

.field private TAG:Ljava/lang/String;
.field private running:Z

6.2 访问修饰符

修饰符 说明 示例
public 公开访问 .field public TAG:Ljava/lang/String;
private 私有访问 .field private TAG:Ljava/lang/String;
protected 受保护访问 .field protected TAG:Ljava/lang/String;
static 静态字段 .field public static TAG:Ljava/lang/String;
final 最终字段 .field public final TAG:Ljava/lang/String;

7. 指令语法详解

7.1 常量指令

整数常量
const/4 vAA, #+B          # 4位整数 (-8~7)
const/16 vAA, #+BBBB      # 16位整数 (-32768~32767)
const vAA, #+BBBBBBBB     # 32位整数
const/high16 vAA, #+BBBB0000  # 高16位

# 示例
const/4 v0, 0x5           # v0 = 5
const/16 v1, 0x1000       # v1 = 4096
const v2, 0x12345678      # v2 = 0x12345678
字符串常量
const-string vAA, "string"    # 字符串常量
const-class vAA, Ltype;       # 类对象常量

# 示例
const-string v0, "Hello World"
const-class v1, Ljava/lang/String;

7.1.1 const/high16 指令深度解析

7.1.1.1 什么是"高位"和"低位"?

想象一个32位数字 0x12345678

高位(High Bits):值较大的部分 → 0x1234(前16位)
低位(Low Bits):值较小的部分 → 0x5678(后16位)

    高16位         低16位
   ┌────────┬────────────┐
   │ 0x1234 │   0x5678   │  ← 32位数值
   └────────┴────────────┘
   ▲                    ▲
   MSB                  LSB

更直观的字节视图:

高位             低位
┌────┬────┬────┬────┐
│ 12 │ 34 │ 56 │ 78 │  ← 字节序列
└────┴────┴────┴────┘
▲              ▲
MSB            LSB   (最高位 ←→ 最低位)
7.1.1.2 字节序(Endianness):数据在内存中的存储顺序

1. 小端序(Little-Endian) → Android/Intel 使用

规则:低位字节在前(低地址),高位字节在后(高地址)

示例:0x12345678 在内存中的存储:

内存地址: 0x1000  0x1001  0x1002  0x1003
          ┌─────┬─────┬─────┬─────┐
存储内容: │ 78  │ 56  │ 34  │ 12  │  ← 低位到高位
          └─────┴─────┴─────┴─────┘

2. 大端序(Big-Endian) → 网络传输/部分嵌入式系统使用

规则:高位字节在前(低地址),低位字节在后(高地址)

示例:0x12345678 存储为:

内存地址: 0x1000  0x1001  0x1002  0x1003
          ┌─────┬─────┬─────┬─────┐
存储内容: │ 12  │ 34  │ 56  │ 78  │  ← 高位到低位
          └─────┴─────┴─────┴─────┘
7.1.1.3 为什么需要 const/high16?

Android 指令设计需节省空间 → 用 16 位指令加载 32 位常量的高半部分:

const/high16 v0, 0x10000000  # 仅加载高16位:0x1000 → v0 = 0x10000000
const/16 v0, 0x0000         # 加载低16位:0x0000 → 需后续合并

合并逻辑(伪代码):

uint32_t value = (high16_value << 16) | low16_value;
// 0x10000000 | 0x0000 = 0x10000000

实战:小端序下的数据解析

假设内存中存储 78 56 34 12(小端序):

按字节读取

地址0: 0x78
地址1: 0x56
地址2: 0x34
地址3: 0x12

组合为32位值

value = (byte3 << 24) | (byte2 << 16) | (byte1 << 8) | byte0
      = (0x12 << 24) | (0x34 << 16) | (0x56 << 8) | 0x78
      = 0x12345678  // 正确值
7.1.1.4 32位常量加载完整原理(以 0x12345678 为例)

步骤 1:拆分高低位

原始值:0x12345678
高16位:0x1234
低16位:0x5678

步骤 2:两条指令分别加载

# 加载高16位 → 存入寄存器 v0
const/high16 v0, 0x12340000  # 注意:必须补零到32位格式!

# 加载低16位 → 存入寄存器 v1
const/16 v1, 0x5678

步骤 3:合并操作(编译器自动插入)

# 编译器生成的隐藏指令(实际字节码)
or-int/lit16 v0, v0, 0x5678  # v0 = v0 | 0x56780x12345678

关键点:const/high16 加载的值末尾 16 位是 0(0x12340000),后续通过 or-int/lit16 将低16位(0x5678)合并进去。

7.1.1.5 为什么要这样的设计?

问题:高位在前,低位在后,在Android中的dex文件二进制是小端序列,也就是需要从后往前读,大端序列就是从前往后读,这一个理解了,但是为什么要这样做呢?另外读取了16位的指令加载了32位常量的前面的一半部分,那么后面剩下的一半呢?

解答

1. 指令空间压缩

  • 32 位常量需 4 字节存储 → 但 Dalvik 指令长度仅 2 字节
  • 解决方案:拆成两条 2 字节指令(const/high16 + const/16)

2. 性能平衡

  • 全量加载(如 const v0, 0x12345678)需 6 字节(操作码 2字节 + 常量 4字节)
  • 分片加载 仅需 4 字节(两条 2 字节指令) → 节省 33% 空间

核心理解

  • const/high16 不是独立操作 → 它只是 32 位常量加载的第一步
  • 后续必跟合并指令(or-int/lit16 等)→ 将低16位"焊接"到高位值的尾部
  • 设计本质:牺牲少量指令数(2→3条),换取存储空间优化(6字节→4字节)
7.1.1.6 空间优化的深度分析

疑问:这样操作好处是存储空间的优化,分批加载,然后再合并,可是合并之后的长度不依然是很大吗?

解答:加载const指令的两种方式对比 — 空间优化的本质(指令长度和常量长度)

1. 传统全量加载(const 指令)

const v0, 0x12345678  # 指令长度:6字节
  • 结构:操作码(2字节) + 常量值(4字节)
  • 总长6 字节(恒定)

2. 分片加载(const/high16 + const/16 + 合并)

const/high16 v0, 0x12340000  # 2字节
const/16 v1, 0x5678           # 2字节
or-int/lit16 v0, v0, 0x5678   # 2字节(合并指令)
  • 总长6 字节(3条指令 × 2字节)
  • 空间未减少?表面看无优势?
7.1.1.7 分片加载的隐藏收益

1. 高频小值的极致压缩

对常见小数字(如 0、1、-1):

全量加载(浪费)

const v0, 0x1  # 6字节 → 操作码2字节 + 常量4字节(其中3.75字节为0

分片加载(高效)

const/4 v0, 0x1  # 仅需
最低0.47元/天 解锁文章
Smali语言基础语法
aketoshknight的博客
07-02 1万+
定义、声明、调用 Smali数据类型 定义:与Java相同,Smali中也有一套数据类型体系,且该体系实质上是同Java一一对照的。 示例1:Smali——Java数据类型对照表 PS:如上图所示,Smali语言中的数据类型的关键词基本上为Java中同名数据类型的首字母大写,需要着重记忆的例外为:1.long类型的关键词为大写J;2.boolean类型的关键词为大写Z;3.数组的关键词为左半边中括号[;4.object类型(各种类)的关键词为大写L加上该类的全类名路径,路径中的层级用/分割。
smali语法从入门到精通
08-12 1万+
SmaliAndroid虚拟机的反汇编语言。Android虚拟机的可执行文件并不是普通的class文件,而是再重新整合打包后生成的dex文件。dex文件反编译之后就是Smali代码,所以说,Smali语言是Android虚拟机的反汇编语言。本教程让你1小时了解Smali的基础知识,让你很快从入门到精通。
移动安全:Smali语法学习示例与实践
qjyws的博客
01-18 5577
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码
Smali入门手册
cmdkeeper
03-06 9519
Smali语法学习摘要欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用M...
吾爱破解安卓逆向入门教程
热门推荐
龙哥盟
02-19 9万+
一、环境配置安装 java jdk,并设置好环境变量。测试: java -version二、初识 APK、Dalvik字节码以及Smali1. apk是什么?apk实质上是一个zip压缩包,将apk后缀修改为zip,解压之后可以看到其内部结构:2. apk 的组成assets: 资源目录1,assets 和 res 都是资源目录但有所区别: res 目录下的资源文件在编译时会自动生成索引文件(R
Android逆向工程反编译(一)初识Smali语法
WormholeStack
05-01 6118
1.什么是Smali? 官方解释: Smali是指安卓系统里的Java虚拟copy机(Dalvik)所使用的一种.dex格式文件的汇编器,反汇编器。其语法是一种宽松式的Jasmin/dedexer语法,而且它实现了.dex格式所有功能(注解,调试信息,线路信息等zhidao)。 其实说白了smali使用一种语言,是Dalvik的反编译语言。 那么问题又来了,什么是Dalvik? Dalvik是Go...
app安卓逆向之smali代码log注入与原代码修改
weixin_43900244的博客
03-25 5954
文章目录1.背景分析2.概述3.开始3.1smali代码基础知识普及3.2apktool的基本使用3.3构建个人Log类并且反编译成Smali文件注入到某电商App中3.4重编译修改后的App项目,安装到模拟器中运行并使用注入的代码打印日志总结 1.背景分析 在安卓逆向的过程中常常会面临三个场景 想要了解某个方法是否有被调用 经过常规的代码分析后,想要知道App某些方法内部某些变量的值 App在Jave层的一些安全检测代码在我们的研究阶段需要屏蔽及修改 以上第一、第二个场景使用Xposed、
Android逆向工程工具Smali2Java实战解析
weixin_42509513的博客
09-10 1932
Android逆向工程是指通过对APK安装包的反编译、解析与代码还原,深入分析其内部逻辑与实现机制的技术过程。它广泛应用于安全漏洞挖掘、功能复用、竞品分析以及恶意代码检测等领域。逆向工程的核心对象是APK文件,其内部包含(Dalvik字节码)、、资源文件等关键组件。通过分析这些内容,开发者可以理解程序的运行机制,甚至修改其行为。然而,面对代码混淆(如ProGuard)、加壳保护等技术,逆向分析也面临诸多挑战。
Android逆向工程入门:APK反编译与Smali语法实战解析
最新发布
weixin_34221073的博客
06-24 405
在移动应用开发与安全领域,逆向工程是一项关键技术,它通过分析已编译的程序来理解其内部结构与运行逻辑。其核心原理在于将机器码或字节码转换回更易读的中间表示形式,从而揭示应用的功能实现与潜在逻辑。这项技术的价值在于赋能安全研究、漏洞挖掘、代码审计以及疑难问题调试,是深入理解Android应用不可或缺的技能。在具体实践中,APK反编译与Smali语法分析构成了Android逆向的基石。通过使用**Apktool**、**JADX**等工具链,可以将APK文件解包并反编译为可读的Smali代码——一种Dalvik/
Android逆向入门7——Smali语法学习(1)
lilac的博客
08-31 2794
这一节我们一起探讨smali语法smaliAndroid逆向中的应用,它是Android逆向世界中不可或缺的一部分。 简单的来说,Dex反编译的结果就是SmaliSmali和dex之间的关系,我们常常称为转化(convert);Dex是晦涩的二进制文件,Smali是人可以读懂的代码,而Jadx等工具就是解析Smali文件,翻译成Java代码,其中准确度差了不止一个档次了。 这一块儿我用问与...
【Windows】安卓逆向工程实战:从APK到源码的完整工具链解析
cicd6pipeline的博客
02-20 745
本文详细解析了在Windows平台上进行安卓应用逆向工程完整工具链。从环境准备开始,逐步介绍了如何使用apktool拆解APK获取资源与清单,利用dex2jar将DEX文件转换为JAR格式,并通过JD-GUI反编译查看近似Java源码。文章还涵盖了处理VDEX/ODEX等复杂情况的进阶方法,并强调了学习过程中的安全合规指引,为安全研究和学习提供了一套清晰的实战路径。
探索Android逆向工程的利器:smali2java
gitblog_06595的博客
10-31 366
探索Android逆向工程的利器:smali2java 【下载地址】smali2java直接将smali转换成java分享 `smali2java` 是一个强大的工具,旨在帮助开发者将 Android 应用程序中的 smali 代码直接转换为 Java 代码。通过使用这个工具,开发者可以更轻松地理解和修改 Android...
安卓逆向工程深度解析:从Smali到Hook的全栈指南
油墨香^-^的博客
06-14 292
本文系统介绍了安卓逆向工程的核心技术与实践方法。主要内容包括:1. 基础概念:讲解DEX字节码与Smali汇编语言,以及反编译工具链(Apktool/Jadx等)的配置使用;2. Smali语法详解:深入解析数据类型、寄存器、指令集和代码结构,提供实际修改示例;3. 逆向实战:演示APK反编译、Smali修改、重打包签名全流程,包括破解内购验证等案例;4. 动态Hook技术:对比Xposed和Frida框架的原理与实现,展示方法劫持和内存操作;5. 高级技巧:应对代码混淆、完整性校验、字符串加密等防护手段,
Android逆向工程Smali指令集实战解析与优化技巧
weixin_29245767的博客
02-27 953
本文深入解析Android逆向工程中的Smali指令集,提供从环境搭建、核心语法到实战分析与优化的完整指南。通过具体案例演示如何阅读和修改Smali代码以洞察应用逻辑,并分享性能优化与调试技巧,帮助开发者将Smali从“天书”变为逆向分析的利器。
Smali基础知识
可爱的程序猿
05-29 6万+
Smali是什么? 简介 Smali是用于Dalvik(Android虚拟机)的反汇编程序实现,汇编工具(将Smali代码汇编为dex文件)为smali.jar,与之对应的baksmali.jar则是反汇编程序(下载地址),官方所说的基于Jasmin/dedexer语法,实际根不知道是什么鬼…… Smali支持注解、调试信息、行数信息等基本Java的基本特性,可以说是很接近Java编译在...
Android逆向不可不知的smali语言
勤劳是一种习惯
11-12 9493
1.smali语言简介 smali是Dalvik的寄存器语言,smali代码是安卓apk反编译而来的,两者文件是一一对应的,获取smali需要ApkTool工具。 smali语言比较简单,如果你会java和Android相关知识,就可以通过修改smali语言来改变java的代码,进而可以修改apk文件。 2.smali语法 前三行指明了类名,父类名,和源文件名。 类名以“L”开头相信熟悉Jni的......
一文带你熟悉androidsmali语法
qq_53058639的博客
02-17 1440
locals 表示方法内使用的v开口的寄存器个数。.prologue 表示方法中代码的开始处。.line 表示对应java中的行数。.annotation/.end annotation 表示注释的开始和结束。.implements 表示接口实现。.field 表示定义字段。.method/.end method 表示方法的开始和结束。.class 表示包名+类名。.super 表示父类类名。.source 表示源文件的名称。.param 表示指定了方法的参数。
Java层逆向--Dalvik指令集
YJJYXM的博客
10-13 1242
往期推荐 Java层逆向分析-Dalvik字节码 修改资源去广告 修改包名实现分身 篡改Apk名称、图标 AndroidKiller介绍与使用 Dalvik的指令格式: 基础字节码 - 名称后缀/字节码后缀 目的寄存器 源寄存器 (连接符号“- ”在有的指令里是可以不存在的) 名称后缀是wide,表示数据宽度为64位 字节码后缀是from16,表示源寄存器为16位 例如:move-wide/from16 vAA,VBBBB: move为基础字节码,即opcode。 wide为名称后缀,标识指令操作的数据
Smali基础语法
李孝贤
01-25 1万+
一.Smali含义 Smali是Davlik的寄存器语言,语法上和汇编语言类似. Davlik是基于寄存器的,就是说smali里的所有操作都必须经过寄存器来进行. 二.Smali基本类型 B—byte C—char D—double F—float I—int S—short V—void J—long Z—boolean 三.Smali引用类型 [XXX ----&gt; ...
011 smali语法详解
鬼手的博客
06-16 1万+
文章目录smali文件解读描述类信息静态字段实例字段直接方法虚方法接口Smali基础语法寄存器数据类型字段和方法的表示Smali指令集空操作指令数据操作指令返回指令数据定义指令跳转指令方法调用指令 smali文件解读 描述类信息 在打开Smali文件时,它的头三行描述了当前类的一些信息: .class public Lcom/test/helloworld16/MainActivity; .super Landroid/support/v7/app/AppCompatActivity; .source "M
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值