小广告清除初试小记之逆向强爆篇

本人最近了解了会关于APP中广告嵌入的方式，并决定通过对一个小程序广告的消除来小试牛刀，于是找到了这个WirelessDataCable.apk，并作此帖作为总结。
APP通常通过调用第三方SDK来实现广告功能，通过逆向的方式清除小广告与APK破解还是有些类似的，需要我们对dalvik字节码有所了解并结合常用的调试技术与调试工具完成。

经过这次小试牛刀，使用逆向的方法清除广告主要有以下几个关键点：
1.运行程序观察程序行为
2.确定广告入口点（Method profiling等动态调试技术）
3.清除广告入口并完善后续功能

1.运行程序观察程序行为
安装APK开始程序的体验，首先加载程序后程序有提示检测wifi状态，随后发现在主activity中开始出现一个view，不断滚动广告，这个就是需要清除的地方了。由于这个广告是view并且是活动可控的，因此猜测可能会通过findviewbyid获取句柄，并创建一个activity来管理广告生命周期。猜测终归猜测，接下来开始动手分析。

2.确定广告入口点（Method profiling等动态调试技术）
有了刚才大致的猜测，接下来就需要认真的分析了，还是一样老步骤，用VTS加载APK，发现该APK不存在so，相对来分析会比较简单了。但是静态分析还是茫茫的一片，还是混淆过的，于是采用动态分析，使用DDMS附带的Method profiling。确定大概的广告开始入口。
根据刚才的思路，在主activity展现后，出现了广告view。因此从WirelessDataCableActivity的onCreate函数开始分析：看到了一个com/google/ads/AdView.a函数

该函数对应有如下关系：

由以上Method profiling生成的结果，我们大致可以明白程序的运行过程，以及我们需要分析的大致范围，我们的目标就是分析这几个AdView类的功能，开始代码的分析：

代码:
 

.method public onCreate(Landroid/os/Bundle;)V 
……
#对应于广告view的ID
const v0, 0x7f090010
invoke-virtual {p0, v0}, Lcom/flyfish/WirelessDataCable/WirelessDataCableActivity;->findViewById(I)Landroid/view/View;
move-result-object v0
check-cast v0, Lcom/google/ads/AdView;
new-instance v1, Lcom/google/ads/c;
invoke-direct {v1}, Lcom/google/ads/c;-><init>()V
#广告入口
invoke-virtual {v0, v1}, Lcom/google/ads/AdView;->a(Lcom/google/ads/c;)V
……
.end method

如上代码注释已经找到广告入口，不妨顺便往下走会，进入广告入口分析：

继续查看Lcom/google/ads/u;->a(Lcom/google/ads/c;)V

.
代码:
 

method public final declared-synchronized a(Lcom/google/ads/c;)V
    .locals 8
   ……
#看到了adActvity类，有点接近猜测的过程了
invoke-static {}, Lcom/google/ads/AdActivity;->c()Z
  move-result v1
if-eqz v1, :cond_2
……
#前面主要是广告加载情况判断
:cond_2
:try_start_2
    invoke-virtual {p0}, Lcom/google/ads/u;->d()Landroid/app/Activity;
    move-result-object v1
    #可以看出cond_3是展示广告的分支
if-nez v1, :cond_3
    const-string v0, "activity is null while trying to load an ad."
    invoke-static {v0}, Lcom/google/ads/util/b;->e(Ljava/lang/String;)V
    goto :goto_0
    #广告开始展示
    :cond_3
#获取应用上下文
    invoke-virtual {v1}, Landroid/app/Activity;->getApplicationContext()Landroid/content/Context;
    move-result-object v2
    invoke-static {v2}, Lcom/google/ads/util/AdUtil;->c(Landroid/content/Context;)Z
    move-result v2
    if-eqz v2, :cond_0
    invoke-virtual {v1}, Landroid/app/Activity;->getApplicationContext()Landroid/content/Context;
    move-result-object v2
#处理相应配置文件
    invoke-static {v2}, Lcom/google/ads/util/AdUtil;->b(Landroid/content/Context;)Z
    move-result v2
    if-eqz v2, :cond_0
    iget-object v2, p0, Lcom/google/ads/u;->p:Landroid/content/SharedPreferences;
    const-string v3, "GoogleAdMobDoritosLife"
    const-wide/32 v4, 0xea60
    invoke-interface {v2, v3, v4, v5}, Landroid/content/SharedPreferences;->getLong(Ljava/lang/String;J)J
    move-result-wide v2
    invoke-virtual {v1}, Landroid/app/Activity;->getApplicationContext()Landroid/content/Context;
    move-result-object v4
    invoke-static {v4}, Landroid/preference/PreferenceManager;->getDefaultSharedPreferences(Landroid/content/Context;)Landroid/content/SharedPreferences;
    move-result-object v4
    invoke-static {v1}, Lcom/google/ads/i;->a(Landroid/content/Context;)Z
    move-result v5
……
#创建线程，开启功能
     new-instance v0, Ljava/lang/Thread;
    new-instance v2, Lcom/google/ads/ar;
    invoke-direct {v2, v1}, Lcom/google/ads/ar;-><init>(Landroid/app/Activity;)V
    invoke-direct {v0, v2}, Ljava/lang/Thread;-><init>(Ljava/lang/Runnable;)V
    invoke-virtual {v0}, Ljava/lang/Thread;->start()V
   ……
.end method

大致过程，剩下就不在继续深入了，回到上头找到了入口，我这里采用的是注释掉，使得程序不不执行广告。

# invoke-virtual {v0, v1}, Lcom/google/ads/AdView;->a(Lcom/google/ads/c;)V

3.清除广告入口并完善后续功能
重打包运行，查看有什么需要完善的：

出现了如上图红色的字眼，在各个代码中搜索，最后定为到了
AdView. a(Landroid/content/Context;Lcom/google/ads/f;Landroid/util/AttributeSet;)Z

代码:

 

#检查广告是否创造成功
.method private a(Landroid/content/Context;Lcom/google/ads/f;Landroid/util/AttributeSet;)Z
    .locals 1
    invoke-static {p1}, Lcom/google/ads/util/AdUtil;->c(Landroid/content/Context;)Z
    move-result v0
    #增加的语句，使得检测结果总是成功
    const/4 v0, 0x1
    if-nez v0, :cond_0
    #移除广告入口函数后，AdView将显示错误信息
    const-string v0, "You must have AdActivity declared in AndroidManifest.xml with configChanges."
    invoke-direct {p0, p1, v0, p2, p3}, Lcom/google/ads/AdView;->a(Landroid/content/Context;Ljava/lang/String;Lcom/google/ads/f;Landroid/util/AttributeSet;)V
    const/4 v0, 0x0
    :goto_0
    return v0
    :cond_0
    const/4 v0, 0x1
    goto :goto_0
.end method

增加const/4 v0,0x1，是的检测广告运行时成功即可。
由于在模拟器上测试，没有wifi功能：










至此，此次简单小清除广告就到一段落，由于对其采用逆向分析，难度不大。通过这次小记，旨在体验逆向清除广告的作用，如有错误的地方，请打大家指正。