android - 在smali增加本地寄存器，使用新的寄存器

Question

您好，我想了解如何在 smali 虚拟方法中正确增加寄存器。为了注入(inject)将使用新寄存器的代码

作为引用，我已经阅读了以下内容:https://github.com/JesusFreke/smali/wiki/Registers

这是我的java代码:

    public void toastMsg(String msg) {

        Toast toast = Toast.makeText(this, msg, Toast.LENGTH_LONG);
        toast.setGravity(Gravity.CENTER, 0, 0);
        toast.show();

    }

在 Smali 中它看起来像这样

.method public toastMsg(Ljava/lang/String;)V
    .locals 2

    const/4 v0, 0x1

    .line 26
    invoke-static {p0, p1, v0}, Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/CharSequence;I)Landroid/widget/Toast;

    move-result-object p1

    const/4 v0, 0x0

    const/16 v1, 0x11

    .line 27
    invoke-virtual {p1, v1, v0, v0}, Landroid/widget/Toast;->setGravity(III)V

    .line 28
    invoke-virtual {p1}, Landroid/widget/Toast;->show()V

    return-void
.end method

据我了解，上面的 toastMsg 方法的 smali fragment 总共包含 4 个寄存器。

.locals = 2 + 1 用于 Object(this) 和 1 用于 toastMsg 方法的参数(String msg)。

因此我的寄存器看起来像这样

v0 - free local register
v1 - free local register
v2 => p0 (this)
v3 => p1 (the string parameter - our msg)

现在假设我想注入(inject)以下 logcat 行，但我没有任何可用的本地寄存器。

const-string v3, "MYAWESOMELOG"
invoke-static {v3, p1}, Landroid/util/Log;->d(Ljava/lang/String;Ljava/lang/String;)I

注入(inject)那个 logcat 代码现在当然会破坏 v3 寄存器，它会工作但是 p1 的值会丢失，因为 v3 == p1。

我想向 .locals 添加一个额外的寄存器，以便它可以保存字符串。而不是破坏任何东西。假设基于引用，我可以简单地增加 .locals 变量上的数字，它应该给我 n 个更多的本地寄存器来使用。

所以如果 .locals 3 这个方法中的寄存器现在应该看起来像这样

v0 - free local register
v1 - free local register
v2 - new free local register ?
v3 => p0 (this)
v4 => p1 (the string parameter - our msg)

因此，如果我理解正确的话，本地寄存器 v2 现在应该是全新的并且可以免费使用。

所以现在下面的logcat的smali代码希望可以使用新的寄存器v2来存储tag，并且仍然保留字符串参数(p1)

 const-string v2, "MYAWESOMELOG"
    invoke-static {v2, p1}, Landroid/util/Log;->d(Ljava/lang/String;Ljava/lang/String;)I

因此修改后的代码现在看起来像这样

.method public toastMsg(Ljava/lang/String;)V
    .locals 3 <--- increased here by 1

    const/4 v0, 0x1

    .line 25
    invoke-static {p0, p1, v0}, Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/CharSequence;I)Landroid/widget/Toast;

    move-result-object p1

    const/4 v0, 0x0

    const/16 v1, 0x11

    .line 26
    invoke-virtual {p1, v1, v0, v0}, Landroid/widget/Toast;->setGravity(III)V

    .line 27

    invoke-virtual {p1}, Landroid/widget/Toast;->show()V

    # PATCH here useing the new regiser
    const-string v2, "MYAWESOMELOG"
    invoke-static {v2, p1}, Landroid/util/Log;->d(Ljava/lang/String;Ljava/lang/String;)I
    # END PATCH
    return-void
.end method

不幸的是，情况似乎并非如此，所以我假设我不了解如何正确修改和使用新寄存器。

我已经重建并安装了我的示例，但由于 Java 类验证错误，应用程序强制关闭。

apktool d example.apk
apktool b example -o example-modified.apk

java.lang.VerifyError: Verifier rejected class
com.example.androidtest.MainActivity: void com.example.androidtest.MainActivity.toastMsg(java.lang.String) failed to 
verify: void com.example.androidtest.MainActivity.toastMsg(java.lang.String): 
[0x10] register v4 has type Reference: android.widget.Toast but expected Precise Reference: java.lang.String 
(declaration of 'com.example.androidtest.MainActivity' appears in 
/data/app/com.example.androidtest-m1NPS9_tJaTgZLY7-1Ev6w==/base.apk)

我好像把寄存器搞砸了，但我不太明白问题出在哪里。将 .locals 增加 1 应该给我一个额外的寄存器，并且还会自动向下移动参数引用，因此 v4 应该指向 p1 并且是一个字符串，但它指向 android.widget.Toast .

那么我不能增加方法中的 .locals 变量并使用新的寄存器吗？我是否必须声明新寄存器并以其他方式初始化它？

奇怪的是，似乎已经有一些问题指向了我实际上应该能够增加寄存器的答案。

我非常有信心该文件未使用 -p/--no-parameter-registers 选项进行反汇编。我只是在 apktool d 中使用了默认值

Smali: Increase number of registers

这个答案还指出我应该能够真正做到这一点 https://stackoverflow.com/a/12648626/2678928

所以问题是为什么当我增加 .locals 变量时我没有新的寄存器 v2 或者如果我有那么为什么寄存器没有向下移动？或者如果所有这些都是正确的，那么也许我没有使用正确的寄存器并且也没有在正确的位置注入(inject)补丁？

Answer 1

问题正是 JesusFreke 所描述的，但我也在错误的地方修补了代码。我试图调用 Log 方法，但未能理解 p1 的类型在函数结束时已从 String 更改为 android/widget/Toast。

以下工作使用新的寄存器 v2

.method public toastMsg(Ljava/lang/String;)V
    .locals 3

    const/4 v0, 0x1

    .line 26

    # PATCH HERE
    const-string v2, "MYAWESOMELOG"
    invoke-static {v2, p1}, Landroid/util/Log;->d(Ljava/lang/String;Ljava/lang/String;)I
    # END PATH

    invoke-static {p0, p1, v0}, Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/CharSequence;I)Landroid/widget/Toast;

    move-result-object p1

    const/4 v0, 0x0

    const/16 v1, 0x11

    .line 27
    invoke-virtual {p1, v1, v0, v0}, Landroid/widget/Toast;->setGravity(III)V



    .line 28
    invoke-virtual {p1}, Landroid/widget/Toast;->show()V


    return-void
.end method

这里有更深入的解释:

增加 .locals 正常工作，在 toastMsg 方法调用开始时看起来像这样

v0 - free local register
v1 - free local register
v2 - free local register
v3 => p0 (this)
v4 => p1 (the string parameter - our msg)

然而，下面几行现在更改了寄存器中的值，请注意 v4 == p1在执行这些行之前，v4(p1) 指向一个字符串对象(我们的参数 msg)

invoke-static {p0, p1, v0}, Landroid/widget/Toast;->makeText(Landroid/content/Context;Ljava/lang/CharSequence;I)Landroid/widget/Toast;

move-result-object p1

在上面的代码 fragment 中的 move-result-object p1 之后，寄存器中的值现在看起来像这样

v0 - 0x1
v1 - free local register
v2 - "MYAWESOMELOG"
v3 => p0 (this)
v4 => p1 (android/widget/Toast)

我们不再拥有传递给 toastMsg 方法的原始字符串值

如果我想使用原始的 p1 值，我必须在 move-result-object p1 行之前使用它。或者我可以再次增加局部变量并在函数开头复制/存储 p1 的结果。