嗨,我正在尝试了解如何在smali虚拟方法中适当增加寄存器。为了注入将使用新寄存器的代码
作为参考,我已经阅读以下内容:https://github.com/JesusFreke/smali/wiki/Registers
这是我的Java代码:
public void toastMsg(String msg) {
Toast toast = Toast.makeText(this, msg, Toast.LENGTH_LONG);
toast.setGravity(Gravity.CENTER, 0, 0);
toast.show();
}
在Smali中看起来像这样
.method public toastMsg(Ljava/lang/String;)V
.locals 2
const/4 v0, 0x1
.line 26
invoke-static {p0, p1, v0}, Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/CharSequence;I)Landroid/widget/Toast;
move-result-object p1
const/4 v0, 0x0
const/16 v1, 0x11
.line 27
invoke-virtual {p1, v1, v0, v0}, Landroid/widget/Toast;->setGravity(III)V
.line 28
invoke-virtual {p1}, Landroid/widget/Toast;->show()V
return-void
.end method
据我所知,上面的toastMsg方法的smali代码段总共包含4个寄存器。
.locals = 2 + 1表示toastMsg方法的Object(this),参数1表示toastMsg方法的参数(String msg)。
因此我的寄存器看起来像这样
v0 - free local register
v1 - free local register
v2 => p0 (this)
v3 => p1 (the string parameter - our msg)
现在可以说我想注入以下logcat行,但是我没有任何可用的本地寄存器。
const-string v3, "MYAWESOMELOG"
invoke-static {v3, p1}, Landroid/util/Log;->d(Ljava/lang/String;Ljava/lang/String;)I
注入该logcat代码现在当然会破坏v3寄存器,它可以工作,但由于v3 == p1,p1的值将丢失。
我想向.locals添加一个额外的寄存器,以便它可以容纳字符串。并不会破坏任何东西。假设基于引用,我可以简单地增加.locals变量上的数字,它应该给我n个要使用的本地寄存器。
因此,如果.locals 3现在该方法中的寄存器看起来像这样
v0 - free local register
v1 - free local register
v2 - new free local register ?
v3 => p0 (this)
v4 => p1 (the string parameter - our msg)
因此,如果我正确理解,本地注册v2现在应该是全新的并且可以免费使用。
所以现在我为logcat使用以下smali代码,希望可以使用新的寄存器v2来存储标签,并且仍然保留字符串参数(p1)
const-string v2, "MYAWESOMELOG"
invoke-static {v2, p1}, Landroid/util/Log;->d(Ljava/lang/String;Ljava/lang/String;)I
因此修改后的代码现在看起来像这样
.method public toastMsg(Ljava/lang/String;)V
.locals 3 <--- increased here by 1
const/4 v0, 0x1
.line 25
invoke-static {p0, p1, v0}, Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/CharSequence;I)Landroid/widget/Toast;
move-result-object p1
const/4 v0, 0x0
const/16 v1, 0x11
.line 26
invoke-virtual {p1, v1, v0, v0}, Landroid/widget/Toast;->setGravity(III)V
.line 27
invoke-virtual {p1}, Landroid/widget/Toast;->show()V
# PATCH here useing the new regiser
const-string v2, "MYAWESOMELOG"
invoke-static {v2, p1}, Landroid/util/Log;->d(Ljava/lang/String;Ljava/lang/String;)I
# END PATCH
return-void
.end method
不幸的是,事实并非如此,所以我认为我不了解如何正确地修改和使用新寄存器。
我已经重建并安装了示例,但是由于Java类验证错误,应用程序强制关闭。
apktool d example.apk
apktool b example -o example-modified.apk
java.lang.VerifyError: Verifier rejected class
com.example.androidtest.MainActivity: void com.example.androidtest.MainActivity.toastMsg(java.lang.String) failed to
verify: void com.example.androidtest.MainActivity.toastMsg(java.lang.String):
[0x10] register v4 has type Reference: android.widget.Toast but expected Precise Reference: java.lang.String
(declaration of 'com.example.androidtest.MainActivity' appears in
/data/app/com.example.androidtest-m1NPS9_tJaTgZLY7-1Ev6w==/base.apk)
似乎我已经弄乱了寄存器,但是我不太明白问题出在哪里。将.locals增加1会给我一个额外的寄存器,并且也会自动向下移参数引用,因此v4应该指向p1并是一个字符串,但它指向android.widget.Toast。
所以我不能在方法中增加.locals变量并使用新的寄存器吗?我是否必须声明新的寄存器并以另一种方式初始化它?
奇怪的是,似乎已经有一些问题指向我应该实际上能够增加寄存器的答案。
我非常有信心文件不会被-p /-no-parameter-registers选项反汇编。我只是在apktool d中使用了默认值
Smali: Increase number of registers
此答案还指出,我应该能够实际执行此操作 https://stackoverflow.com/a/12648626/2678928
所以问题是为什么当我增加.locals变量时为什么没有新的寄存器v2,或者如果我这样做了,为什么寄存器没有向下移位?还是如果一切正确,那也许我没有使用正确的寄存器,也没有在正确的位置注入补丁?
答案 0 :(得分:0)
问题在于此指令
invoke-static {v2, p1}, Landroid/util/Log;->d(Ljava/lang/String;Ljava/lang/String;)I
您将p1作为第二个参数传递,但是p1仍然包含toast对象。该方法期望第二个参数为字符串对象,而不是吐司对象。
答案 1 :(得分:0)
问题恰好是JesusFreke所描述的,但是我也将代码修补在错误的位置。我试图调用Log方法,但未能理解p1的类型在函数结束时已从字符串更改为android / widget / Toast。
以下使用新的寄存器v2进行工作
.method public toastMsg(Ljava/lang/String;)V
.locals 3
const/4 v0, 0x1
.line 26
# PATCH HERE
const-string v2, "MYAWESOMELOG"
invoke-static {v2, p1}, Landroid/util/Log;->d(Ljava/lang/String;Ljava/lang/String;)I
# END PATH
invoke-static {p0, p1, v0}, Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/CharSequence;I)Landroid/widget/Toast;
move-result-object p1
const/4 v0, 0x0
const/16 v1, 0x11
.line 27
invoke-virtual {p1, v1, v0, v0}, Landroid/widget/Toast;->setGravity(III)V
.line 28
invoke-virtual {p1}, Landroid/widget/Toast;->show()V
return-void
.end method
这里有更深入的解释:
增加.locals的工作正常,在toastMsg方法调用开始时看起来像这样
v0 - free local register
v1 - free local register
v2 - free local register
v3 => p0 (this)
v4 => p1 (the string parameter - our msg)
但是,以下几行现在更改了寄存器中的值,请注意v4 == p1 在执行这些行之前,v4(p1)指向一个字符串对象(我们的参数msg)
invoke-static {p0, p1, v0}, Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/CharSequence;I)Landroid/widget/Toast;
move-result-object p1
在代码片段中位于代码段上方的move-result-object p1之后,现在看起来像这样
v0 - 0x1
v1 - free local register
v2 - "MYAWESOMELOG"
v3 => p0 (this)
v4 => p1 (android/widget/Toast)
我们不再拥有传递给toastMsg方法的原始字符串值
如果我想使用原始的p1值,则必须在move-result-object p1行之前使用它。另外,我可以再次增加本地变量,并在函数开始处复制/存储p1的结果。