安卓之贪吃蛇破解

2022-10-08

smali结构

我们之前说过，安卓的dex文件存放的是开发者写的方法(即java代码)。而一个apk包经过反编译后，一个dex文件就会变成一个smali文件，当dex内的方法超过65535个，就会出现2个dex文件夹，即反编译会出现2个smali文件。

开发者开发时，一般会用com文件夹表示是作者自己写的代码。

贪吃蛇破解内购

代码分析

随便打开一个smali文件。

.class public final Lcom/alipay/a/a/a;
.super Ljava/lang/Object;

# interfaces
.implements Lcom/alipay/a/a/i;
.implements Lcom/alipay/a/a/j;

映入眼帘的第一行是"包名"+"类名"

其中的Lcom中的L表示的是java类型的意思。

可以看到每一个smali文件中，最先都会声明类，接口等基本信息，这个就跟java是差不多的语法。

第9行到第16行：

# direct methods
.method public constructor <init>()V
    .locals 0

    invoke-direct {p0}, Ljava/lang/Object;-><init>()V

    return-void
.end method

invoke-direct，一般是指调用private或init方法。

这里看似是把一个叫做p0的参数传给了init方法，其实不然，p0在dalvik的p方法中，一般代表的是本身的意思，类似于java当中的this。最后return-void表示返回空就代表结束了。

在往下看19-50行。

# virtual methods
.method public final a(Ljava/lang/Object;)Ljava/lang/Object;
    .locals 4

    check-cast p1, [Ljava/lang/Object;

    new-instance v1, Ljava/util/ArrayList;

    invoke-direct {v1}, Ljava/util/ArrayList;-><init>()V

    array-length v2, p1

    const/4 v0, 0x0

    :goto_0
    if-ge v0, v2, :cond_0

    aget-object v3, p1, v0

    invoke-static {v3}, Lcom/alipay/a/a/f;->b(Ljava/lang/Object;)Ljava/lang/Object;

    move-result-object v3

    invoke-interface {v1, v3}, Ljava/util/List;->add(Ljava/lang/Object;)Z

    add-int/lit8 v0, v0, 0x1

    goto :goto_0

    :cond_0
    return-object v1
.end method

这里只谈一个很重要的点

goto:goto_0与:goto_0是一对，为什么这么说呢？他们叫做半标签，意味着不会自己运行，只能被别的地方goto过来，才会到goto_0的函数。

关键处破解

使用全局搜索支付失败，这里要使用uncode转码，发现在smail/com/qy/zombie/zombie$3.smali中有对应支付失败的提示码。

发现其属于的函数叫做payFailed

.method public payFailed(Ljava/util/Map;I)V
    .locals 3
    .param p2, "errorInt"    # I
    .annotation system Ldalvik/annotation/Signature;
        value = {
            "(",
            "Ljava/util/Map",
            "<",
            "Ljava/lang/String;",
            "Ljava/lang/String;",
            ">;I)V"
        }
    .end annotation

    .prologue
    .line 127
    .local p1, "params":Ljava/util/Map;, "Ljava/util/Map<Ljava/lang/String;Ljava/lang/String;>;"
    sget-object v0, Lcom/qy/zombie/zombie;->activity:Landroid/app/Activity;

    new-instance v1, Ljava/lang/StringBuilder;

    const-string v2, "\u652f\u4ed8\u5931\u8d25"

    invoke-direct {v1, v2}, Ljava/lang/StringBuilder;-><init>(Ljava/lang/String;)V

    invoke-virtual {v1, p2}, Ljava/lang/StringBuilder;->append(I)Ljava/lang/StringBuilder;

    move-result-object v1

    invoke-virtual {v1}, Ljava/lang/StringBuilder;->toString()Ljava/lang/String;

    move-result-object v1

    const/4 v2, 0x0

    invoke-static {v0, v1, v2}, Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/CharSequence;I)Landroid/widget/Toast;

    move-result-object v0

    invoke-virtual {v0}, Landroid/widget/Toast;->show()V

    .line 128
    invoke-static {}, Lcom/qy/zombie/zombie;->BuyFailed()V

    .line 129
    return-void
.end method

这个方法中，我们先不管上面的定义，从new-instance v1, Ljava/lang/StringBuilder;这里开始

首先初始化了v1与v2，v1是一个stringbuilder类型，v2是支付失败的字符串。接着使用了append方法，将v2与v1拼接。又通过move-result-object v1将拼接后的结果返回到v1，接着又使用了tostring方法，成功将v1变为一个字符串。

将v2定义为0，传参v0，v1，v2给maketext方法，又将所有结果传给v0，将v0传给传给show方法，意味着将结果v0打印出来。

在128行就直接调用了BuyFailed方法。

那我们应该怎么破解该软件呢？既然有支付失败，就肯定有支付成功，我们可以不管支付失败还是支付成功，都调用BuySuceess(即支付成功方法)。在往下面翻，有关于支付成功的代码，

我们就复制这几行代码覆盖在PayFailed里面得最后两行。

在之后重新编译后就可以实现了该软件得内购。