【一】、【二】中从代码的角度分析了dalvik字节码解释执行的过程，这篇文章以一个例子来实际分析一下。

我们以这篇文章中提到的crackme为例，下载链接参见那篇文章。我们只分析dalvik字节码，因此忽略so。

0x01:

使用Jeb打开crackme.apk，找到MainActivity的onCreate方法，其smali内容是：

.method protected onCreate(Bundle)V.registers 5.param p1, "savedInstanceState".prologue 00000000 invoke-super AppCompatActivity->onCreate(Bundle)V, p0, p1 00000006 const v2, 0x7F040019 0000000C invoke-virtual MainActivity->setContentView(I)V, p0, v2 00000012 const v2, 0x7F0C0050 00000018 invoke-virtual MainActivity->findViewById(I)View, p0, v2 0000001E move-result-object v1 00000020 check-cast v1, EditText.local v1, txt:Landroid/widget/EditText; 00000024 const v2, 0x7F0C0051 0000002A invoke-virtual MainActivity->findViewById(I)View, p0, v2 00000030 move-result-object v0 00000032 check-cast v0, Button.local v0, btn:Landroid/widget/Button; 00000036 sget-boolean v2, MainActivity->$assertionsDisabled:Z 0000003A if-nez v2, :4E :3E 0000003E if-nez v0, :4E :42 00000042 new-instance v2, AssertionError 00000046 invoke-direct AssertionError-><init>()V, v2 0000004C throw v2 :4E 0000004E new-instance v2, MainActivity$1 00000052 invoke-direct MainActivity$1-><init>(MainActivity, EditText)V, v2, p0, v1 00000058 invoke-virtual Button->setOnClickListener(View$OnClickListener)V, v0, v2 0000005E return-void .end method

smali 对于Android，可以理解为汇编对于C。smali中定义了一套完整的dalvik操作码（类似于汇编的指令集），构成了dalvik虚拟机最核心的部分。

字节码是二进制的，这些二进制通过一定的方式可以被解释成为smali指令。我们来看看这个过程。

0x02：

使用010editor打开crackme.apk中的classes.dex，应用dex模板，结果如下：

dex文件格式参见这篇文章

我们分析的目标是MainActivity的onCreate方法，直接找到它：

因为onCreate是重写的父类方法，所以在virtual_methods中，我们看到这个方法需要5个寄存器，2个参数，3个内部方法调用参数，48条指令。字节码在insns中。

0x03:

下面进入对字节码的分析，在【二】中分析方法执行时， dvmInterpretPortable的最后一个语句:

FINISH(0); /* fetch and execute first instruction */

即为定位到insns的起始处，并取2个字节的内容放置到inst变量中，之后取出inst的低字节数值作为handlerTable数组的索引号，然后跳转到对应符号去执行。

代码上的跟踪比较繁琐，好在google有相关的文档：【Dalvik bytecode】、【Dalvik Executable instruction formats】，我们根据文档来分析。

在这个例子中，第一个“两字节”是：6F 20， 其低字节是6F，代表着handlerTable数组的索引号，查询文档：

表示操作符是invoke-super。

查看OP_INVOKE_SUPER.cpp，里面有对此指令的执行过程：

HANDLE_OPCODE(OP_INVOKE_SUPER /*vB, {vD, vE, vF, vG, vA}, meth@CCCC*/)GOTO_invoke(invokeSuper, false); OP_END

其中：

# define HANDLE_OPCODE(_op) op_##_op: OP_INVOKE_SUPER = 0x6f, #define GOTO_invoke(_target, _methodCallRange) \do { \methodCallRange = _methodCallRange; \goto _target; \} while(false)

翻译一下就是：

op_0x6f:do{methodCallRange = false;goto invokeSuper;}while(false)

invokeSuper在gotoTargets.cpp中定义：

GOTO_TARGET(invokeSuper, bool methodCallRange){Method* baseMethod;u2 thisReg;EXPORT_PC();vsrc1 = INST_AA(inst); /* AA (count) or BA (count + arg 5) */ref = FETCH(1); /* method ref */vdst = FETCH(2); /* 4 regs -or- first reg */if (methodCallRange) {ILOGV("|invoke-super-range args=%d @0x%04x {regs=v%d-v%d}",vsrc1, ref, vdst, vdst+vsrc1-1);thisReg = vdst;} else {ILOGV("|invoke-super args=%d @0x%04x {regs=0x%04x %x}",vsrc1 >> 4, ref, vdst, vsrc1 & 0x0f);thisReg = vdst & 0x0f;}... //此处省略后后面的内容

其中：

#define GOTO_TARGET(_target, ...) _target:#define GOTO_TARGET_END

翻译一下就是：

invokeSuper:{Method* baseMethod;u2 thisReg;EXPORT_PC();vsrc1 = INST_AA(inst); /* AA (count) or BA (count + arg 5) */ref = FETCH(1); /* method ref */vdst = FETCH(2); /* 4 regs -or- first reg */if (methodCallRange) {ILOGV("|invoke-super-range args=%d @0x%04x {regs=v%d-v%d}",vsrc1, ref, vdst, vdst+vsrc1-1);thisReg = vdst;} else {ILOGV("|invoke-super args=%d @0x%04x {regs=0x%04x %x}",vsrc1 >> 4, ref, vdst, vsrc1 & 0x0f);thisReg = vdst & 0x0f;}... //此处省略后后面的内容

这样就找到了invokeSuper真正执行的地方了，可以看到，依然是解析字节码和获取新字节码解析的过程。代码跟踪同样比较复杂，我们直接看文档：

从图中可以看出6f的格式是35c（后面会用到），语法格式为：

invoke-*kind*{vC, vD, vE, vF, vG}, meth@BBBB

其中的A、B、C的解释在后面一列有说明，光看这个还不能看懂，看一下35c：

这个文档我一开始也看得不是太懂，简单的还能对应起来，复杂的（现在这个例子）就搞不清楚了，文档只能理解个大概，最后我选择看代码。这里直接说我看代码看明白的：

首先 6F 20 中的 6F表示操作码，20又分两个4位来解释，2表示寄存器的数量，0代表啥还没有看明白：(，随后的两个字节 47 2A 表示的是method id，47 2A 表示数值是0x2A47，即10823，如图：

所以我们大概明白了：

invoke-super AppCompatActivity->onCreate(Bundle)V

随后的两个字节 43 00 也是需要被解析的，是用来确定寄存器标号的，至于怎么映射为 p0 p1，我也没有看懂（代码在gotoTargets.cpp的GOTO_TARGET(invokeSuper, bool methodCallRange)中，欢迎有兴趣的同学继续研究并加微信交流）。

0x04:

至此，我们分析完第一条指令的字节码解释过程了。在源码中，你可以看到，它不光是解释成smali这么简单，它真正的去寻找父类的onCreate方法，构造函数堆栈并进行调用。
pc指针随着执行过程不断往后移动，当方法返回后，继续去下一个“两字节”进行解释执行。这个例子中的下一个“两字节"是14 02，其中14为操作码，如图：

可以看到是const vAA, #+BBBBBBBB，和我们在Jeb中看到的const v2, 0x7F040019能够对上。后续的过程和前面完全一致，只是处理的是不同的操作码而已。

0x05:

至此，此系列文章结束。其中有一些细节我也没有弄得很清楚（回头弄明白再来更新），但是大致流程已经清晰了。欢迎有兴趣的同学在此基础上继续研究，可以加我微信进行交流。微信见首页二维码。

作者：difcareer
链接：http://www.jianshu.com/p/aba1f966d7f2
來源：简书
著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。

总结

以上是生活随笔为你收集整理的彻底弄懂dalvik字节码【三】的全部内容，希望文章能够帮你解决所遇到的问题。

如果觉得生活随笔网站内容还不错，欢迎将生活随笔推荐给好友。