反编译有一种方式是
- 把dex文件从apk解压出来,得到classes.dex
- 然后用dex2jar把dex文件转换成jar文件:
dex2jar.bat classes.dex - 再把生成的classes.jar文件放到JD-GUI中即可
dex2jar下载: https://sourceforge.net/projects/dex2jar/
jd-gui下载: http://jd.benow.ca/
仍然报错
dex2jar .\classes.dex -> .\classes-dex2jar.jar
com.googlecode.d2j.DexException: not support version.
at com.googlecode.d2j.reader.DexFileReader.<init>(DexFileReader.java:151)
at com.googlecode.d2j.reader.DexFileReader.<init>(DexFileReader.java:211)
at com.googlecode.dex2jar.tools.Dex2jarCmd.doCommandLine(Dex2jarCmd.java:104)
at com.googlecode.dex2jar.tools.BaseCmd.doMain(BaseCmd.java:288)
at com.googlecode.dex2jar.tools.Dex2jarCmd.main(Dex2jarCmd.java:32)
提示not support version,版本不支持?(看到这条信息我还以为要下载最新版本的dex2jar,结果仍然不行)
此时想到干脆编译下dex2jar的相关文件看看为什么报错
打开dex2jar-2.0\lib目录,因为是reader.DexFileReader.<init> 处报错,所以应该是DexFileReader初始化报错吧,应该是dex-reader-2.0.jar或dex-reader-api-2.0.jar把这两个jar包扔到jdgui里面,很快便找到DexFileReader,并在构造方法里面,并找到相关源代码
public DexFileReader(ByteBuffer in)
{
in.position(0);
in = in.asReadOnlyBuffer().order(ByteOrder.LITTLE_ENDIAN);
int magic = in.getInt() & 0xFFFFFF;
if (magic != 7890276)
{
if (magic == 7955812) {
throw new DexException("Not support odex");
}
throw new DexException("not support magic.");
}
int version = in.getInt() & 0xFFFFFF;
if ((version != 3486512) && (version != 3552048)) {//这里主动抛出异常
throw new DexException("not support version.");
}
....
}
可以猜测这在读取第一个字符时通过比较version 值主动抛出异常了
显然version不等于3486512和3552048是罪魁祸首,它们是什么呢,上下搜索可以看到一个定义的常量:
private static final int MAGIC_035 = 3486512;
private static final int MAGIC_036 = 3552048;
额,MAGIC_035和MAGIC_036,网上查了一下,说是dex头部校验
老版本的magic version是035
优化的dex文件,magic version是036
报错居然说不等于这两个,是什么情况???
用notpad++打开classes.dex文件,在头部看到如下情况
dex头部
第二行竟然是037!!!!嗯,我有一个大胆的想法: 把037,改成036,保存,再用dex2jar
成功!!!再用jd-gui打开jar文件也能顺利反编译
遗留思考:
- magic version是dex校验的话,为什么gts的apk为是037一个不合法的值?难道这个apk比较特殊?(实际验证这个apk安装不上)
- 为什么读到的int值3552048,而通过notepad++显示是036?(猜测与字符编码有关)