`
iaiai
  • 浏览: 2196803 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

Dex文件结构

 
阅读更多
文件头(File Header)
Dex文件头主要包括校验和以及其他结构的偏移地址和长度信息。
字段名称偏移值长度描述
magic0x08'Magic'值,即魔数字段,格式如”dex/n035/0”,其中的035表示结构的版本。
checksum0x84校验码。
signature0xC20SHA-1签名。
file_size0x204Dex文件的总长度。
header_size0x244文件头长度,009版本=0x5C,035版本=0x70。
endian_tag0x284标识字节顺序的常量,根据这个常量可以判断文件是否交换了字节顺序,缺省情况下=0x78563412。
link_size0x2C4连接段的大小,如果为0就表示是静态连接。
link_off0x304连接段的开始位置,从本文件头开始算起。如果连接段的大小为0,这里也是0。
map_off0x344map数据基地址。
string_ids_size0x384字符串列表的字符串个数。
string_ids_off0x3C4字符串列表表基地址。
type_ids_size0x404类型列表里类型个数。
type_ids_off0x444类型列表基地址。
proto_ids_size0x484原型列表里原型个数。
proto_ids_off0x4C4原型列表基地址。
field_ids_size0x504字段列表里字段个数。
field_ids_off0x544字段列表基地址。
method_ids_size0x584方法列表里方法个数。
method_ids_off0x5C4方法列表基地址。
class_defs_size0x604类定义类表中类的个数。
class_defs_off0x644类定义列表基地址。
data_size0x684数据段的大小,必须以4字节对齐。
data_off0x6C4数据段基地址

魔数字段
     魔数字段,主要就是Dex文件的标识符,它占用4个字节,在目前的源码里是 “dex\n”,它的作用主要是用来标识dex文件的,比如有一个文件也以dex为后缀名,仅此并不会被认为是Davlik虚拟机运行的文件,还要判断这 四个字节。另外Davlik虚拟机也有优化的Dex,也是通过个字段来区分的,当它是优化的Dex文件时,它的值就变成”dey\n”了。根据这四个字 节,就可以识别不同类型的Dex文件了。

      跟在“dex\n”后面的是版本字段,主要用来标识Dex文件的版本。目前支持的版本号为“035\0”,不管是否优化的版本,都是使用这个版本号。

检验码字段
     主要用来检查从这个字段开始到文件结尾,这段数据是否完整,有没有人修改过,或者传送过程中是否有出错等等。通常用来检查数据是否完整的算法,有 CRC32、有SHA128等,但这里采用并不是这两类,而采用一个比较特别的算法,叫做adler32,这是在开源zlib里常用的算法,用来检查文件 是否完整性。该算法由MarkAdler发明,其可靠程度跟CRC32差不多,不过还是弱一点点,但它有一个很好的优点,就是使用软件来计算检验码时比较 CRC32要快很多。可见Android系统,就算法上就已经为移动设备进行优化了。

     Java中可使用java.util.zip.Adler32类做校验操作


SHA-1签名字段
     dex文件头里,前面已经有了面有一个4字节的检验字段码了,为什么还会有SHA-1签名字段呢?不是重复了吗?可是仔细考虑一下,这样设计自有道理。因 为dex文件一般都不是很小,简单的应用程序都有几十K,这么多数据使用一个4字节的检验码,重复的机率还是有的,也就是说当文件里的数据修改了,还是很 有可能检验不出来的。这时检验码就失去了作用,需要使用更加强大的检验码,这就是SHA-1。SHA-1校验码有20个字节,比前面的检验码多了16个字 节,几乎不会不同的文件计算出来的检验是一样的。设计两个检验码的目的,就是先使用第一个检验码进行快速检查,这样可以先把简单出错的dex文件丢掉了, 接着再使用第二个复杂的检验码进行复杂计算,验证文件是否完整,这样确保执行的文件完整和安全。

      SHA(Secure Hash Algorithm, 安全散列算法)是美国国家安全局设计,美国国家标准与技术研究院发布的一系列密码散列函数。SHA-1看起来和MD5算法很像,也许是Ron Rivest在SHA-1的设计中起了一定的作用。SHA-1的内部比MD5更强,其摘要比MD5的16字节长4个字节,这个算法成功经受了密码分析专家 的攻击,也因而受到密码学界的广泛推崇。这个算法在目前网络上的签名,BT软件里就有大量使用,比如在BT里要计算是否同一个种子时,就是利用文件的签名 来判断的。同一份8G的电影从几千BT用户那里下载,也不会出现错误的数据,导致电影不播放。

map_off字段
这个字段主要保存map开始位置,就是从文件头开始到map数据的长度,通过这个索引就可以找到map数据。map的数据结构如下:
名称大小说明
size4字节map里项的个数
list变长每一项定义为12字节,项的个数由上面项大小决定。

map数据排列结构定义如下:

/*
*Direct-mapped "map_list".
*/
 
typedef struct DexMapList {
    u4 size; /* #of entries inlist */
    DexMapItem list[1]; /* entries */
}DexMapList;

每一个map项的结构定义如下:

/*
*Direct-mapped "map_item".
*/
 
typedef struct DexMapItem {
    u2 type; /* type code (seekDexType* above) */
    u2 unused;
    u4 size; /* count of items ofthe indicated type */
    u4 offset; /* file offset tothe start of data */
}DexMapItem;

DexMapItem结构定义每一项的数据意义:类型、类型个数、类型开始位置。

其中的类型定义如下:

/*map item type codes */
enum{
    kDexTypeHeaderItem = 0x0000,
    kDexTypeStringIdItem = 0x0001,
    kDexTypeTypeIdItem = 0x0002,
    kDexTypeProtoIdItem = 0x0003,
    kDexTypeFieldIdItem = 0x0004,
    kDexTypeMethodIdItem = 0x0005,
    kDexTypeClassDefItem = 0x0006,
    kDexTypeMapList = 0x1000,
    kDexTypeTypeList = 0x1001,
    kDexTypeAnnotationSetRefList = 0x1002,
    kDexTypeAnnotationSetItem = 0x1003,
    kDexTypeClassDataItem = 0x2000,
    kDexTypeCodeItem = 0x2001,
    kDexTypeStringDataItem = 0x2002,
    kDexTypeDebugInfoItem = 0x2003,
    kDexTypeAnnotationItem = 0x2004,
    kDexTypeEncodedArrayItem = 0x2005,
    kDexTypeAnnotationsDirectoryItem = 0x2006,
};



从上面的类型可知,它包括了在dex文件里可能出现的所有类型。可以看出这里的类型与文件头里定义的类型有很多是一样的,这里的类型其实就是文件头里定义 的类型。其实这个map的数据,就是头里类型的重复,完全是为了检验作用而存在的。当Android系统加载dex文件时,如果比较文件头类型个数与 map里类型不一致时,就会停止使用这个dex文件

string_ids_size/off字段
这两个字段主要用来标识字符串资源。源程序编译后,程序里用到的字符串都保存在这个数据段里,以便解释执行这个dex文件使用。其中包括调用库函数里的类名称描述,用于输出显示的字符串等。

string_ids_size标识了有多少个字符串,string_ids_off标识字符串数据区的开始位置。字符串的存储结构如下:

/*
 * Direct-mapped "string_id_item".
 */
typedef struct DexStringId {
    u4  stringDataOff;      /* file offset to string_data_item */
} DexStringId;

可以看出这个数据区保存的只是字符串表的地址索引。如果要找到字符串的实际数据,还需要通过个地址索引找到文件的相应开始位置,然后才能得到字符串数据。 每一个字符串项的索引占用4个字节,因此这个数据区的大小就为4*string_ids_size。实际数据区中的字符串采用UTF8格式保存。

例如,如果dex文件使用16进制显示出来内容如下:
063c 696e 6974 3e00
其实际数据则是”<init>\0”

另外这段数据中不仅包括字符串的字符串的内容和结束标志,在最开头的位置还标明了字符串的长度。上例中第一个字节06就是表示这个字符串有6个字符。

关于字符串的长度有两点需要注意的地方:

1、关于长度的编码格式

dex文件里采用了变长方式表示字符串长度。一个字符串的长度可能是一个字节(小于256)或者4个字节(1G大小以上)。字符串的长度大多数都是小于 256个字节,因此需要使用一种编码,既可以表示一个字节的长度,也可以表示4个字节的长度,并且1个字节的长度占绝大多数。能满足这种表示的编码方式有 很多,但dex文件里采用的是uleb128方式。leb128编码是一种变长编码,每个字节采用7位来表达原来的数据,最高位用来表示是否有后继字节。

它的编码算法如下:

/*
 * Writes a 32-bit value in unsigned ULEB128 format.
 * Returns the updated pointer.
 */
DEX_INLINE u1* writeUnsignedLeb128(u1* ptr, u4 data)
{
    while (true) {
        u1 out = data & 0x7f;
        if (out != data) {
            *ptr++ = out | 0x80;
            data >>= 7;
        } else {
            *ptr++ = out;
            break;
        }
    }
    return ptr;
}

它的解码算法如下:

/*
 * Reads an unsigned LEB128 value, updating the given pointer to point
 * just past the end of the read value. This function tolerates
 * non-zero high-order bits in the fifth encoded byte.
 */
DEX_INLINE int readUnsignedLeb128(const u1** pStream) {
    const u1* ptr = *pStream;
    int result = *(ptr++);
   if (result > 0x7f) {
        int cur = *(ptr++);
        result = (result & 0x7f) | ((cur & 0x7f) << 7);
        if (cur > 0x7f) {
            cur = *(ptr++);
            result |= (cur & 0x7f) << 14;
            if (cur > 0x7f) {
                cur = *(ptr++);
                result |= (cur & 0x7f) << 21;
                if (cur > 0x7f) {
                    /*
                     * Note: We don't check to see if cur is out of
                     * range here, meaning we tolerate garbage in the
                     * high four-order bits.
                     */
                    cur = *(ptr++);
                    result |= cur << 28;
                }
            }
        }
    }
    *pStream = ptr;
    return result;
}

根据上面的算法分析上面例子字符串,取得第一个字节是06,最高位为0,因此没有后继字节,那么取出这个字节里7位有效数据,就是6,也就是说这个字符串是6个字节,但不包括结束字符“\0”。

2、关于长度的意义

由于字符串内容采用的是UTF-8格式编码,表示一个字符的字节数是不定的。即有时是一个字节表示一个字符,有时是两个、三个甚至四个字节表示一个字符。 而这里的长度代表的并不是整个字符串所占用的字节数,表示这个字符串包含的字符个数。所以在读取时需要注意,尤其是在包含中文字符时,往往会因为读取的长 度不正确导致字符串被截断。
分享到:
评论

相关推荐

    Dex文件头结构解析器

    Dex文件头结构是理解Dex文件内容的关键,它包含了关于整个Dex文件布局和元数据的信息。下面我们将深入探讨Dex文件头结构的解析。 Dex文件的结构基于固定大小的4字节(32位)块,这是因为Android系统是基于Little ...

    DEX文件学习笔记

    本文将深入探讨DEX文件的结构、生成过程以及它在Android系统中的作用。 一、DEX文件结构 1. **头部**:DEX文件的开头部分包含了一个头部结构,提供了文件的基本信息,如文件版本、字符串表、类型列表等的偏移量和...

    破解器dex反编译文件

    #### 1.2 DEX文件结构 一个典型的DEX文件包括: - **头文件**:存储了DEX文件的基本信息,如魔数、版本号等。 - **字符串池**:包含了DEX文件中的所有字符串常量。 - **类型池**:定义了DEX文件中的所有类和接口。 -...

    安卓反编译dex文件格式实例分析

    ### 安卓反编译dex文件格式实例分析 #### 第一部分:创造一个可供分析的Hello.dex ##### 测试环境 为了进行本次实验,我们...通过以上步骤,我们可以全面了解Dex文件的结构以及它是如何在Android环境中被执行的。

    dalvik虚拟机DEX文件数据分析

    ### DEX文件结构解析 #### 一、概述 在Android平台中,Dalvik虚拟机是负责执行应用程序的主要组件之一。为了使Java程序能在Dalvik虚拟机上运行,必须将其编译后的字节码(通常为.class文件)转换为Dalvik可执行...

    Android_DEX_文件格式详解

    #### 二、DEX文件结构 DEX文件由一系列的结构体组成,包括但不限于: - **魔数(Magic Number)**:用于标识文件类型,DEX文件的魔数通常是“dex\n035\033”。 - **版本号(Version)**:表示DEX文件格式的版本。 ...

    安卓多 dex 加载和 dex 加解密

    为了解决这个问题,Android引入了多DEX加载机制,使得大型应用可以分割成多个DEX文件进行加载。本篇文章将深入探讨安卓多DEX加载以及DEX加解密的相关技术。 首先,我们要理解Android的 Dex 文件结构。Dex 文件是...

    Java中解析dex文件

    此外,Android SDK提供了一个名为`dx`的工具,它可以将Java字节码编译成.dex文件,同时也有反编译.dex文件的工具如`dexdump`,它能帮助理解.dex文件的内部结构。不过,如果需要在Java代码中实现自定义的解析逻辑,...

    dex2jar-2.0

    dex2jar的工作原理是解析dex文件结构,提取出其中的类信息,并将其转换为Java类的表示,然后打包成jar文件。转换后的jar文件可以用常见的Java反编译工具,如JD-GUI或ProGuard,进一步反编译为可读的Java源代码。 ...

    DexFile.rar_dexfile

    1. **DEX文件结构**:DEX文件的结构由一系列固定大小的记录组成,如字符串索引表、类型索引表、字段索引表等。理解这些表格的布局和它们如何映射到类、方法和字段至关重要。 2. **Dalvik虚拟机**:DEX文件是为...

    baksmali/smali源代码(安卓dex文件反编译工具)

    1. **Dex文件结构**:了解Dex文件的内部布局,包括类定义、字段、方法和常量池等组成部分,以及它们如何在字节码级别上表示。 2. **Dalvik字节码指令集**:掌握Dalvik虚拟机的指令集,这是smali语言的基础,每个...

    dex2jar_2.0

    在实际使用中,dex2jar工具可能会遇到一些问题,比如无法处理某些特定的DEX文件结构,或者反编译结果的可读性不强。因此,开发者可能需要结合其他工具,如dexlib、smali等,来辅助完成更复杂的逆向工程任务。同时,...

    dex-tools-2.1.rar

    在Android应用开发中,Dex文件是Dalvik虚拟机执行的二进制格式,它包含了应用的类和方法。...通过理解和使用这个工具,开发者可以更深入地理解Dex文件结构,提高工作效率,并解决在处理Dex文件时遇到的兼容性问题。

    dex-tools-2.1-SNAPSHOT.rar

    Dex-tools的出现,为开发者和安全研究人员提供了深入洞察Dex文件内部结构的手段。 1. **dex2jar**:这是dex-tools中的一项工具,用于将Dex文件转换为Java字节码的JAR文件。这使得开发者可以查看和分析原始的源代码...

    Dex格式消亡史——最新Dex保护技术:流式编码.pdf

    • 安全背景、Dex格式、Dex指令编码 攻防演进 • 各代Dex壳的特点与弱点 虚拟化设计 • DexVmp设计、安全性 改进与展望 • 流式编码、后续演进 当下常用的DexVmp虚拟保护技术,某种程度上抑制了脱壳的自动化,但是...

    dex转jar工具包以及jar文件查看

    转换过程通常包括解析.dex文件结构,提取类信息,并生成对应的.class文件,最后封装到.jar档案中。 使用此类工具的一般步骤如下: 1. **下载和安装工具**:你需要找到一个可靠的“dex转jar工具”,如dex2jar或...

    APK+Dex文件反编译及回编译工具

    反编译APK和Dex文件是一项常见的逆向工程任务,用于分析应用的内部结构、源代码逻辑或安全检查。工具如"APK+Dex文件反编译及回编译工具v1.7.2"可以帮助开发者或安全研究员快速进行这一过程。 1. **反编译过程**: ...

    DEX加密工具源码.rar

    1. **DEX文件结构**: - DEX文件是Android运行时Dalvik虚拟机执行的二进制格式,它存储了类信息、方法体和字段信息等。 - 它由头部区域、字符串ID列表、类型ID列表、原型ID列表、字段ID列表、方法ID列表和类定义...

    Android_DEX_文件格式详解.pdf

    #### 二、DEX 文件结构概览 根据提供的部分内容,我们可以看到 DEX 文件的开头是 `6564 0a78 3330`,这是 DEX 文件的魔数,用来标识文件类型。紧接着是文件的版本号,如 `0035` 表示的是 DEX 文件的版本,这里为 35...

Global site tag (gtag.js) - Google Analytics