【Android 逆向】Android 逆向基本概念 ( 软件运行时内存结构 | 文件与内存之间的联系 )

文章目录

• 一、Android 软件运行时内存结构
• 二、Android 文件与内存之间的联系

一、Android 软件运行时内存结构

Android 软件运行时内存结构 :

• 硬件层 : 内存中 , 硬件层处于最底层 , 映射成一些文件 ;
• 硬件驱动层 : 该层是 硬件层 与 操作系统的 纽带 , 一般与 内核 进行交互 ;
• 内核层 : 可调用的最底层的层级 , 可通过 系统调用 API 进行相关操作 , 如 文件处理 , 内存处理 ; 系统调用的本质就是调用内核中的一些接口 ;
• 应用支持层 : 系统库 , 标准库 , libc , opencv 等系统自带的函数库 , 都是在该层 ; 用户一般无法操作该层 , 如果用户自定义一个库 , 放在应用支持层 , 需要 root / 越狱 等获取最高权限的操作 ;
• 原生接口层 : 用户自定义的 Java 与 C / C++ 交互的接口 , 一般用于 图形图像 / 音视频 / 底层调用 / 网络通信 等功能 ;
• Java 应用层 : 用户开发的 Java 程序 , 一般用于 UI 界面展示 , 用户交互操作 ;

在这里插入图片描述

二、Android 文件与内存之间的联系

不管运行的 APK / EXE 等程序 , 这些可执行程序中的文件 与 进程的内存中的数据是有一定的关联的 ;

只有熟悉 文件 与 内存数据之间的关联 , 才可以进行一些修改 ;

内存中的区域 :

• 中断保留区域 : 一般情况下

~

地址 , 进程内应用层没有访问权限 ; 读写都会引起崩溃 ; 这是为内核层保留的区域 ; 每个进程都有

个中断保留区域 ;

• 应用包映射区域 : APK 安装文件 , 在内存中有一块映射区域 , 当使用 Assets 资源时 , 从内存中的该区域解压出来 , 放置到资源模块中 ;
• 资源映射区 : jar 包 , 字体 , 图片 等文件在内存的映射区域 ;
• 动态库区域 : 虚拟机 , jni 层相关的 so 动态库区域 ;
• 堆区域 : Java 中的 new 关键字创建的对象 , C/C++ 中 malloc 分配的内存 , 都在堆内存中 ;
• 栈内存 : 函数参数 , 本地变量 , 都存放在栈区域中 ;

具体的 栈内存 与 堆内存 参考 【Java 虚拟机原理】垃圾回收算法 ( Java 虚拟机内存分区 | 垃圾回收机制 | 引用计数器算法 | 引用计数循环引用弊端 ) 一、Java 虚拟机内存分区 博客章节 ;

在这里插入图片描述

通过上图的 文件 与 内存 之间的对应关系 , 实际进行逆向时 , 依据该对应关系 , 查找文件对应的内存地址 ;

因为有些 APK 文件是无法进行反编译 , 或无法进行重打包 , 如果要修改文件中的内容 , 需要知道文件与内存之间的对应关系 , 通过修改运行后的内存数据 , 达到与修改文件的相同效果 ;

一般情况下修改 动态库 区域 比较多 ;