Android 逆向Android 逆向基本概念 ( 软件运行时内存结构 | 文件与内存之间的联系 )
Posted 韩曙亮
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Android 逆向Android 逆向基本概念 ( 软件运行时内存结构 | 文件与内存之间的联系 )相关的知识,希望对你有一定的参考价值。
一、android 软件运行时内存结构
Android 软件运行时内存结构 :
- 硬件层 : 内存中 , 硬件层处于最底层 , 映射成一些文件 ;
- 硬件驱动层 : 该层是 硬件层 与 操作系统的 纽带 , 一般与 内核 进行交互 ;
- 内核层 : 可调用的最底层的层级 , 可通过 系统调用 API 进行相关操作 , 如 文件处理 , 内存处理 ; 系统调用的本质就是调用内核中的一些接口 ;
- 应用支持层 : 系统库 , 标准库 , libc , opencv 等系统自带的函数库 , 都是在该层 ; 用户一般无法操作该层 , 如果用户自定义一个库 , 放在应用支持层 , 需要 root / 越狱 等获取最高权限的操作 ;
- 原生接口层 : 用户自定义的 Java 与 C / C++ 交互的接口 , 一般用于 图形图像 / 音视频 / 底层调用 / 网络通信 等功能 ;
- Java 应用层 : 用户开发的 Java 程序 , 一般用于 UI 界面展示 , 用户交互操作 ;
二、Android 文件与内存之间的联系
不管运行的 APK / EXE 等程序 , 这些可执行程序中的文件 与 进程的内存中的数据是有一定的关联的 ;
只有熟悉 文件 与 内存数据之间的关联 , 才可以进行一些修改 ;
内存中的区域 :
- 中断保留区域 : 一般情况下 0 \\rm 0 0 ~ 0 x 8000 \\rm0x8000 0x8000 地址 , 进程内应用层没有访问权限 ; 读写都会引起崩溃 ; 这是为内核层保留的区域 ; 每个进程都有 1 1 1 个中断保留区域 ;
- 应用包映射区域 : APK 安装文件 , 在内存中有一块映射区域 , 当使用 Assets 资源时 , 从内存中的该区域解压出来 , 放置到资源模块中 ;
- 资源映射区 : jar 包 , 字体 , 图片 等文件在内存的映射区域 ;
- 动态库区域 : 虚拟机 , jni 层相关的 so 动态库区域 ;
- 堆区域 : Java 中的 new 关键字创建的对象 , C/C++ 中 malloc 分配的内存 , 都在堆内存中 ;
- 栈内存 : 函数参数 , 本地变量 , 都存放在栈区域中 ;
具体的 栈内存 与 堆内存 参考 【Java 虚拟机原理】垃圾回收算法 ( Java 虚拟机内存分区 | 垃圾回收机制 | 引用计数器算法 | 引用计数循环引用弊端 ) 一、Java 虚拟机内存分区 博客章节 ;
通过上图的 文件 与 内存 之间的对应关系 , 实际进行逆向时 , 依据该对应关系 , 查找文件对应的内存地址 ;
因为有些 APK 文件是无法进行反编译 , 或无法进行重打包 , 如果要修改文件中的内容 , 需要知道文件与内存之间的对应关系 , 通过修改运行后的内存数据 , 达到与修改文件的相同效果 ;
一般情况下修改 动态库 区域 比较多 ;
以上是关于Android 逆向Android 逆向基本概念 ( 软件运行时内存结构 | 文件与内存之间的联系 )的主要内容,如果未能解决你的问题,请参考以下文章
什么是Android逆向?如何学习安卓逆向?Android逆向自学笔记入门到实战
Android 逆向APK 加壳脱壳现状 | 判断 APK 是否加壳 | APK 逆向流程