IDA Pro反编译apk时资源放在哪一层 IDA Pro反编译apk后清单文件通常先看什么

IDA Pro反编译apk的时候，资源文件究竟放在哪一层，以及apk在反编译之后，那份清单文件一般又该从哪里看起，是进行Android逆向分析的时候，很容易搅和在一起的两个问题。APK本身，它是一个应用包，里面既有代码，也有资源、清单、签名，还有原生的库文件。IDA更加擅长去分析DEX的字节码、so库，以及跟调试相关的内容，至于资源文件、布局、图片、字符串这一类的东西，往往还需要结合APK的整体结构，以及其他的解包工具，放到一起去查看才行。Hex-Rays的资料里也提到过，IDA可以从apk或者dex文件开始，去分析Android应用。

一、IDA Pro反编译apk时资源放在哪一层

在分析APK的时候，先要把“代码层”和“资源层”拆开来看。代码，主要就放在classes.dex和lib目录下的那些so文件里面，而资源，则主要放在res、assets、resources.arsc这一类的位置上。在IDA里面，是能够看到APK当中的一部分内容的，但是不要期望着它能像那些专门用来反编译APK的工具一样，把所有的布局和资源，都还原成可以直接阅读的工程文件。

1、先摸清楚APK包内部的结构

APK解包以后，通常应当先去确认一下【AndroidManifest.xml】、classes.dex、res、assets、lib、resources.arsc这一些核心的内容。

classes.dex里面存放的，是Dalvik或者ART的字节码，lib目录里面，则是针对不同CPU架构的那些native so库，而res和assets，则更偏向于资源的层面。Android官方的资源说明里也提到过，资源，指的就是代码里会用到的那些静态的内容，比如位图、UI字符串、动画的说明等等。

2、资源通常并不在反编译代码的那一层里

res目录底下，一般会放置布局、图片、字符串、颜色、样式这一类的资源；assets目录底下，常常是原样打包进去的一些文件，比如配置文件、模型、脚本，或者其他的数据。而resources.arsc，则跟资源的索引，还有资源ID的映射有关系。在反编译代码的时候，所看到的那些R.id、R.string、R.layout这一类的引用，往往只是代码层对资源的一种调用，真正的内容，还是要回到资源层里面去查看。

3、so库要单独当成原生代码来看

如果APK里面有lib目录，那里面的armeabi-v7a、arm64-v8a、x86这些子目录下面，一般放的就是native库。IDA在分析这一部分的时候，要按照so文件的架构去加载，而不是只盯着dex文件来看。很多加密、校验、算法，还有反调试方面的逻辑，可能并不在Java层，而是藏在native层里面的。

二、IDA Pro反编译apk后清单文件通常先看什么

清单文件，是用来分析APK入口关系的一份重要材料。Android官方的说明里面也写了，AndroidManifest.xml这个文件，是用来向系统声明应用都有哪些组件、需要哪些权限，还有设备的兼容性这一类信息的。所以，在反编译之后，先去看这份清单文件，通常就能比较快地弄清楚，程序是从哪里启动的，它都包含了哪些组件，又申请了哪些权限。

1、先查看包名和入口的Activity

清单里面，需要优先去查看package、application、activity，还有那些带着MAIN和LAUNCHER的入口配置。Android的文档里说明了，intent filter会声明组件可以接收的Intent类型。在找到了启动的Activity以后，再回到dex里面，去跟踪onCreate、初始化的逻辑，还有加载so库的位置，这样分析起来就会顺畅很多。

2、接着再去看权限的声明

权限，能够提示出应用大概会去访问哪些敏感的能力，比如网络、存储、定位、相机、短信、蓝牙等等。不过，到了这一步，不能只看到权限就往下结论，还需要接着去代码里面，看它是不是真的调用了相关的API。清单里的权限，只是一条线索，它并不等于实际的行为已经发生了。

3、接着再去看四大组件和导出的状态

Activity、Service、BroadcastReceiver、ContentProvider这几个，都需要去看一下，特别是exported、permission、intent-filter这一些字段。那些被导出的组件，是有可能被外部的应用调用的，如果权限保护不够充分，就容易形成风险。站在逆向分析的角度来看，这些组件也能够帮着去定位功能的入口，和外部的触发路径。

三、APK分析时资源和清单怎么结合看

只盯着代码看，很容易就迷失方向；只盯着资源看，又弄不清楚逻辑到底藏在哪里。一个比较实用的做法，就是先用清单文件去找到入口，再借助资源去把界面和字符串的位置定出来，最后才回到代码层里面，去寻找调用关系。这样做，比一上来就在IDA里面，漫无目的地到处搜索，要稳当得多。

1、借助资源去反推功能模块

如果资源里面出现了登录、支付、会员、加密、设备绑定这一类的字符串或者布局，那就可以根据资源的ID，再回到代码里面去找引用。这么一来，就能比较快地定位到相关的Activity、Fragment，或者是业务方法，这比光是盯着函数名去看，要更加直观一些。

2、借助清单去确认加载的路径

如果某个Activity、Service，或者Receiver看起来比较可疑，那就可以先从清单里面，去确认它到底能不能被外部触发，然后再去看对应类里面的初始化、Intent参数的解析、动态加载，还有native调用。要是碰到了插件化或者壳保护的情况，还要多留一个心眼，因为真正的dex，有可能是到了运行的时候，才会被释放出来，或者是被加载进去的。

3、保留一份结构对照的记录

可以试着去整理一份比较简单的APK结构记录，把清单的入口、主要的组件、关键的权限、资源的目录、dex文件，还有so文件，都一一地列出来。这样一来，后面再回到IDA里面，去分析函数、字符串和交叉引用的时候，就不容易把资源层、Java层和native层给搅和到一块儿去了。

总结

IDA Pro反编译apk时资源放在哪一层，以及IDA Pro反编译apk后清单文件通常先看什么，这里面最关键的一点，就是先要把APK的结构给分辨清楚。资源，主要应当去看res、assets，还有resources.arsc；代码，则主要去看classes.dex，以及lib里面的so文件；而清单文件呢，则先要去查看包名、入口的Activity、权限、组件，还有导出状态。把资源、清单和代码之间的调用关系串联起来，在用IDA分析APK的时候，才不会一直被困在反汇编的窗口里面，而是能够比较快地，找到真正的功能入口，和需要着重分析的地方。