【Android 逆向】Android 逆向基本概念 ( 软件运行时内存结构 | 文件与内存之间的联系 )

举报
韩曙亮 发表于 2022/01/14 00:09:35 2022/01/14
【摘要】 文章目录 一、Android 软件运行时内存结构二、Android 文件与内存之间的联系 一、Android 软件运行时内存结构 Android 软件运行时内存结构...





一、Android 软件运行时内存结构



Android 软件运行时内存结构 :

  • 硬件层 : 内存中 , 硬件层处于最底层 , 映射成一些文件 ;
  • 硬件驱动层 : 该层是 硬件层 与 操作系统的 纽带 , 一般与 内核 进行交互 ;
  • 内核层 : 可调用的最底层的层级 , 可通过 系统调用 API 进行相关操作 , 如 文件处理 , 内存处理 ; 系统调用的本质就是调用内核中的一些接口 ;
  • 应用支持层 : 系统库 , 标准库 , libc , opencv 等系统自带的函数库 , 都是在该层 ; 用户一般无法操作该层 , 如果用户自定义一个库 , 放在应用支持层 , 需要 root / 越狱 等获取最高权限的操作 ;
  • 原生接口层 : 用户自定义的 Java 与 C / C++ 交互的接口 , 一般用于 图形图像 / 音视频 / 底层调用 / 网络通信 等功能 ;
  • Java 应用层 : 用户开发的 Java 程序 , 一般用于 UI 界面展示 , 用户交互操作 ;
    在这里插入图片描述




二、Android 文件与内存之间的联系



不管运行的 APK / EXE 等程序 , 这些可执行程序中的文件 与 进程的内存中的数据是有一定的关联的 ;

只有熟悉 文件 与 内存数据之间的关联 , 才可以进行一些修改 ;


内存中的区域 :

  • 中断保留区域 : 一般情况下 0 \rm 0 0 ~ 0 x 8000 \rm0x8000 0x8000 地址 , 进程内应用层没有访问权限 ; 读写都会引起崩溃 ; 这是为内核层保留的区域 ; 每个进程都有 1 1 1 个中断保留区域 ;
  • 应用包映射区域 : APK 安装文件 , 在内存中有一块映射区域 , 当使用 Assets 资源时 , 从内存中的该区域解压出来 , 放置到资源模块中 ;
  • 资源映射区 : jar 包 , 字体 , 图片 等文件在内存的映射区域 ;
  • 动态库区域 : 虚拟机 , jni 层相关的 so 动态库区域 ;
  • 堆区域 : Java 中的 new 关键字创建的对象 , C/C++ 中 malloc 分配的内存 , 都在堆内存中 ;
  • 栈内存 : 函数参数 , 本地变量 , 都存放在栈区域中 ;

具体的 栈内存 与 堆内存 参考 【Java 虚拟机原理】垃圾回收算法 ( Java 虚拟机内存分区 | 垃圾回收机制 | 引用计数器算法 | 引用计数循环引用弊端 ) 一、Java 虚拟机内存分区 博客章节 ;

在这里插入图片描述

通过上图的 文件 与 内存 之间的对应关系 , 实际进行逆向时 , 依据该对应关系 , 查找文件对应的内存地址 ;

因为有些 APK 文件是无法进行反编译 , 或无法进行重打包 , 如果要修改文件中的内容 , 需要知道文件与内存之间的对应关系 , 通过修改运行后的内存数据 , 达到与修改文件的相同效果 ;

一般情况下修改 动态库 区域 比较多 ;

文章来源: hanshuliang.blog.csdn.net,作者:韩曙亮,版权归原作者所有,如需转载,请联系作者。

原文链接:hanshuliang.blog.csdn.net/article/details/120618336

【版权声明】本文为华为云社区用户转载文章,如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。