什么是Smali

smali语言是Davlik的寄存器语言，语法上和汇编语言相似，DalvikVM与JVM的最大的区别之一就是DalvikVM是基于寄存器的。基于寄存器的意思是，在smali里的所有操作都必须经过寄存器来进行。
因为安卓软件编译后，就得不到源代码了，我们只可以通过反编译后的Smail代码去修改来实现逆向的目的。

静态分析Android程序的两种方法

阅读反编译生成的Dalvik字节码。

• 使用AndroidKiller_1.3.1分析dex文件
• 使用MT管理器分析dex文件
• 使用jadx查看

头信息------类的主体信息

在打开smali文件的时候，它的头三行描述了当前类的一些信息

.class <访问权限> [关键修饰字] <类名>;
.super <父类名>
.source <源文件名>

Java代码如下:
public class MainActivity extends AppComatActivity{
          //......
}
对应的Smali代码如下：
.class Lcom/example/myapplication/MainActivity$1;  //该表示MainActivity是该包的一个对象
.super Ljava/lang/Object;
.source "MainActivity.java"

.class 指令表示当前的类名，类的访问权限是public，类名是Lcom/example/myapplication/MainActivity$1; ，类开头的L是遵循Dalvik字节码的相关约定，表示后面跟随的字符串是一个类。
.super指定了当前类所继承的父类，后面指的就是这个父类的类名，L表示后面跟的字符串是一个类
.source指定了当前类的源文件名

数据原始类型

• B---byte
• C---char
• D---double
• F---float
• I---int
• L---long
• S---short
• V---void
• Z---boolean
• [XXX---array
• Lxxx/yyy---object

Smali的数组表示

在基本类型前加上"["即表示该类型的数组；如

[I:表示整型的数组；[F:表示浮点型float的数组

• 如果是对象类型，则以L作为开头，格式是LpackageName/objectName;如Ljava/lang/String;表示String是该包的一个对象。

• 类对象表示为LpackageName/objectName；类对象中的内部类则使用"$"来连接。

Smali方法的定义

方法的一般定义为:
Func-Name(Para-Type1Para-Type-2Para-Type...)Return-Type
参数之间没有任何间隔；如
Hello()V:表示 void hello()
Hello(III)Z表示：Boolean hello(int,int,int)
Hello(Z[I[ILjava/lang/String;L)Ljava/lang/String; 表示：String Hello(boolean,int[],int[],String,,long)

Smali的一些关键词

• .filed private isFlage:z 定义变量
• .method 方法
• .parameter 方法参数
• .prologue 方法开始
• .line 此方法位于第123行
• .invoke-super 调用父函数
• .const/high16 v0,0x7fo3 把0x7fo3赋值给v0
• .invoke-direct 调用函数
• .return-void 函数返回void
• .end-method 函数结束
• new-instance 创建实列
• input-object 对象赋值
• iget-object 调用对象
• invoke-static 调用静态函数

Smali的条件跳转

• "if-eq vA,vB:cond_" 如果vA等于vB则跳转到cond**(eq==equal）

• "if-ne vA,vB:cond_" 如果vA不等于vB则跳转到cond**
  (nq == not equal)

• "if-lt vA,vB:cond_" 如果vA小于vB则跳转到cond**
  (lt == less)

• "if-ge vA,vB:cond_" 如果vA大于等于vB则跳转到cond**
  (ge==greater equal)

• "if-gt vA,vB:cond_" 如果vA大于vB则跳转到cond**

• "if-le vA,vB:cond_" 如果vA小于等于vB则跳转到cond**

• "if-eqz vA :cond_" 如果vA等于0则跳转到cond**

• "if-nez vA :cond_" 如果vA不等于0则跳转到cond**

• "if-ltz vA :cond_" 如果vA小于0则跳转到cond**

• "if-gez vA :cond_" 如果vA大于等于0则跳转到cond**

• "if-gtz vA :cond_" 如果vA大于0则跳转到cond**

• "if-lez vA :cond_" 如果vA小于于等于0则跳转到cond**

Smali中内部类声明

一般来说在Smail文件中是这个样子的：

annotations

.annotation system Ldalvik/annotation/MemberClasses;
value = {
Lcom/aaa$qqq;
Lcom/aaa$wwww;
}
.end annotation
这个声明式内部类的声明；aaa这个类它有两个内部类----qqq和www。

Smali类的信息

.class public Lcom/aaaaa;
.super Lcom/bbbbb;
.source "ccccc.java"
这是一个由ccccc.java编译得到的smail文件(第三行)
它是com.aaaaa这个package下的一个类(第一行)
继承自com.bbbbb这个类(第二行)

Smali类中成员变量表示和操作

• 成员变量格式是：.filed public/private[static][final] varName<类型>
• 获取的指令有：iget sget、iget-boolean、sget-boolean、iget-object 、sget-object等
• 写入的指令有：iput、sput、iput-boolean、sput-boolean、iput-object、sput-object等。
• 没有"-object"后缀的表示操作的成员变量对象是基本数据类型，带"-object"表示操作的成员变量是对象类型，特别地，boolean类型则使用"-boolean"的指令操作

Smail成员变量指令简析

• sget-object v0,Lcom/aaa;->ID:Ljava/lang/String
  sget-object用来获取变量赋值并保存到紧接着的参数的寄存器中，本例中，它获取ID这个String类型的成员变量并发到v0这个寄存器中。
  注意：前面需要该变量所属的类的类型，后面需要加一个冒号和该成员变量的类型，中间"->"表示所属关系。
• iget-object v0,p0,Lcom/aaa;->view:Lcom/aaa/view;
  可以看到iget-object指令比sget-object多了一个参数，就是该变量所在类的实例，在这里就是p0即"this"。

Smali代码函数的调用

1.invoke-static:用于调用static函数

• const-string v0,"NDKLIB"
• invoke-static{v0},Ljava/lang/System;->loadLibrary(Ljava/kang/String;)V
  调用static void System.loadLibrary(String)来加载NDK编译的so库用的方法；这里v0就是参数"NDKLIB"
  2.invoke-super:一般用于onCreate、onDestory等方法。调用父类方法用的指令。
  3.invoke-direct：调用private函数
  invoke-direct{p0},Landroid/app/TabActivity;->()V
  这里init()就是定义在TabActivity中的一个private函数
  4.invoke-virtual:用于调用protected或public函数。
  sget-object v0,Lcom/dddd;->bbb:Lcom/ccc
  invoke-virtual{v0,v1},Lcom/ccc;->Message(Ljava/lang/Object;)V
  V0是bbb:Lcom/ccc
  v1是爨地给Messages方法的Ljava/lang/Object参数。
  5.invoke-xxxx/range:当方法的参数多于5个时(含5个)，不能直接使用以上的指令，而是在后面加上"range",range表示范围，使用方法也有所不同：
  invoke-direct/range{v0......v5},Lcmb/pb/ui/PBContainerActivity;->h(ILjava/lang/CharSequence;Ljava/lang/String;Landroid/content/Intent;l)Z 需要传递v0到v5一共6个参数，这时候大括号的参数采用省略形式，且需要连续。

Smali返回结果的操作

• 在java代码中调用函数和返回函数结果可以用一条语句完成，而在Smail里则需要分开来完成，在使用上述指令后，如果调用的函数返回非void,那么还需要用到move-result(返回基本数据类型)和move-result-object(返回对象)指令：
  const-string v0,"Eric"
  invoke-static{v0},Lcmb/pbi;->t(Ljava/lang/String;)Ljava/lang/String;
  move-result-object v2
  v2保存的就是调用t方法的String字符串。