ART、OAT格式介绍与dex文件提取

dex文件经过dex2oat编译，会生成.art、.oat两个文件，oat是一个android定制的elf文件，原唤坦始dex也保存在其中。8.0后，dex单独保存到.vdex文件中。art文件类似于一个内存映像，缓存常用的ArtField、ArtMethod、DexCache等内容，加载后可直接使用，避免解析耗时。

以boot.art为例，它分为Image Section和Bitmap Section区域。每个Section在文件中的偏移量和大小由ImageSection类来描述。

主要Section介绍：

Bitmap Section：

Bitmap区域是一个位图，用于描述Object Section里各个Object的地址，以8字节对齐。如果一个比特位的值为1，则它指向Object Section中的一个Object对象。

假设Object存储的基地址是0x70000000，如果位图第N个比特位为1，那么这个比特位指向的Object对象地址为0x70000000+N*8。

art/runtime/image.h：

oat文件本质上是一个ELF文件，它将OAT文件格式内嵌在ELF文件里。

在oat文件的dymanic section中，导出了三个符号oatdata、oatexec和oatlastword，分别用来描述oatdata和oatexec段加载到内存后的起止地址。

oatdata段中，包含原dex文件的完整内容(8.0后在.vdex文件)，dex文件里面的类方法所对脊橡应的本樱链旁地机器指令保存在oatexec段中。

OAT主要内容介绍：

vdex格式：

boot.art、boot.oat、boot.vdex三者是一体的，相互依赖。

zygote启动创建Heap的时候，会加载boot.art，然后加载boot.oat，再然后加载boot.vdex。

调用流程如下：

dextra

vdexExtractor

compact_dex_converter

Android 9（Pie）推出了一种新型Dex文件，即Compact Dex（Cdex）。Cdex是一种ART内部文件格式，它压缩各种Dex数据结构（例如方法头）并对多索引文件中的常见数据blob（例如字符串）进行重复数据删除。来自输入应用程序的Dex文件的重复数据删除数据存储在Vdex容器的共享部分中。

由于Vdex容器存储的是Cdex文件而不是标准的Dex，因此需要借助compact_dex_converter工具来实现提取dex。

安装提取工具步骤(ubuntu)：

提取： (工具并不完美，提取dex后有些不能正常jadx反编译)

打印堆栈是调试的常用方法，一般在系统异常时，我们可以将异常情况下的堆栈打印出来，这样十分方便错误查找。实际上还有另外一个非常有用的功能：分析代码的行为。android代码太过庞大复杂了，完全的静态分析经常是无从下手，因此通过打印堆栈的动态分析也十分必要。

Android打印堆栈的方法，简单归类一下

1. zygote的堆栈dump

实际上这个可以同时dump java线程及native线程的堆栈，对于java线程，java堆栈和native堆栈都可以得到。

使用方法很简单，直接在adb shell或串口中输入：

[plain] view plaincopy

kill -3 <pid>

输出的trace会保存在 /data/anr/traces.txt文件中。这个需要注意，如果没有 /data/anr/这个目录或/data/anr/traces.txt这个文件，需要手工创建一下，并设置好读写权限。

如果需要在代码中，更容易控制堆栈的输出时机，可以用以下命令获取zygote的core dump:

[java] view plaincopy

Process.sendSignal(pid, Process.SIGNAL_QUIT)

原理和命令行是一样的。

不过需要注意两点：

adb shell可能会没有权限，需要root。

android 4.2中关闭了native thread的堆栈打印，详见 dalvik/vm/Thread.cpp的dumpNativeThread方法：

[cpp] view plaincopy

dvmPrintDebugMessage(target,

"\"%s\" sysTid=%d nice=%d sched=%d/%d cgrp=%s\n",

name, tid, getpriority(PRIO_PROCESS, tid),

schedStats.policy, schedStats.priority, schedStats.group)

dumpSchedStat(target, tid)

// Temporarily disabled collecting native stacks from non-Dalvik

// threads because sometimes they misbehave.

//dvmDumpNativeStack(target, tid)

Native堆栈的打印被关掉了！不过对于大多数情况，可以直接将这个注释打开。

2. debuggerd的堆栈dump

debuggerd是android的一个daemon进程，负责在进程异常出错时，将进程的运行时信息dump出来供分析。debuggerd生 成的coredump数据是以文本形式呈现，被保存在 /data/tombstone/ 目录下(名字取的也很形象，tombstone是墓碑的意思)，共可保存10个文件，当超过10个时，会覆盖重写最早生成的文件。从4.2版本开 始，debuggerd同时也是一个实用工具：可以在不中断进程执行的情况下打印当前进程的native堆栈。使用方法是:

[plain] view plaincopy

debuggerd -b <pid>

这可以协助我们分析进程执行行为，但最最有用的地方是：它可以非常简单的定位到native进程中锁死或错误逻辑引起的死循环的代码位置。

3. java代码中打印堆栈虚亏握

Java代码打印堆栈比较简单， 堆栈信息获取和输出，都可以通过差庆Throwable类的方法实现。目前通用的做法是在java进程出现需要注空拆意的异常时，打印堆栈，然后再决定退出或挽救。通常的方法是使用exception的printStackTrace()方法：

[java] view plaincopy

try {

...

} catch (RemoteException e) {

e.printStackTrace()

...

}

当然也可以只打印堆栈不退出，这样就比较方便分析代码的动态运行情况。Java代码中插入堆栈打印的方法如下：

[java] view plaincopy

Log.d(TAG,Log.getStackTraceString(new Throwable()))

4. C++代码中打印堆栈

C++也是支持异常处理的，异常处理库中，已经包含了获取backtrace的接口，Android也是利用这个接口来打印堆栈信息的。在Android的C++中，已经集成了一个工具类CallStack，在libutils.so中。使用方法：

[cpp] view plaincopy

#include <utils/CallStack.h>

...

CallStack stack

stack.update()

stack.dump()

使用方式比较简单。目前Andoid4.2版本已经将相关信息解析的很到位，符号表查找，demangle，偏移位置校正都做好了。

[plain] view plaincopy

5. C代码中打印堆栈

C代码，尤其是底层C库，想要看到调用的堆栈信息，还是比较麻烦的。 CallStack肯定是不能用，一是因为其实C++写的，需要重新封装才能在C中使用，二是底层库反调上层库的函数，会造成链接器循环依赖而无法链接。 不过也不是没有办法，可以通过android工具类CallStack实现中使用的unwind调用及符号解析函数来处理。

这里需要注意的是，为解决链接问题，最好使用dlopen方式，查找需要用到的接口再直接调用，这样会比较简单。如下为相关的实现代码，只需要在要 打印的文件中插入此部分代码，然后调用getCallStack()即可，无需包含太多的头文件和修改Android.mk文件：

[cpp] view plaincopy

#define MAX_DEPTH 31

#define MAX_BACKTRACE_LINE_LENGTH 800

#define PATH "/system/lib/libcorkscrew.so"

typedef ssize_t (*unwindFn)(backtrace_frame_t*, size_t, size_t)

typedef void (*unwindSymbFn)(const backtrace_frame_t*, size_t, backtrace_symbol_t*)

typedef void (*unwindSymbFreeFn)(backtrace_symbol_t*, size_t)

static void *gHandle = NULL

static int getCallStack(void){

ssize_t i = 0

ssize_t result = 0

ssize_t count

backtrace_frame_t mStack[MAX_DEPTH]

backtrace_symbol_t symbols[MAX_DEPTH]

unwindFn unwind_backtrace = NULL

unwindSymbFn get_backtrace_symbols = NULL

unwindSymbFreeFn free_backtrace_symbols = NULL

// open the so.

if(gHandle == NULL) gHandle = dlopen(PATH, RTLD_NOW)

// get the interface for unwind and symbol analyse

if(gHandle != NULL) unwind_backtrace = (unwindFn)dlsym(gHandle, "unwind_backtrace")

if(gHandle != NULL) get_backtrace_symbols = (unwindSymbFn)dlsym(gHandle, "get_backtrace_symbols")

if(gHandle != NULL) free_backtrace_symbols = (unwindSymbFreeFn)dlsym(gHandle, "free_backtrace_symbols")

if(!gHandle ||!unwind_backtrace ||!get_backtrace_symbols || !free_backtrace_symbols ){

ALOGE("Error! cannot get unwind info: handle:%p %p %p %p",

gHandle, unwind_backtrace, get_backtrace_symbols, free_backtrace_symbols )

return result

}

count= unwind_backtrace(mStack, 1, MAX_DEPTH)

get_backtrace_symbols(mStack, count, symbols)

for (i = 0i <counti++) {

char line[MAX_BACKTRACE_LINE_LENGTH]

const char* mapName = symbols[i].map_name ? symbols[i].map_name : "<unknown>"

const char* symbolName =symbols[i].demangled_name ? symbols[i].demangled_name : symbols[i].symbol_name

size_t fieldWidth = (MAX_BACKTRACE_LINE_LENGTH - 80) / 2

if (symbolName) {

uint32_t pc_offset = symbols[i].relative_pc - symbols[i].relative_symbol_addr

if (pc_offset) {

snprintf(line, MAX_BACKTRACE_LINE_LENGTH, "#%02d pc %08x %.*s (%.*s+%u)",

i, symbols[i].relative_pc, fieldWidth, mapName,

fieldWidth, symbolName, pc_offset)

相同rom前提下替换内部apk

第一步需要对手机进行root *** 作，获取root权限

Root成功之后会显示一行成功提示，也有电脑不会显示提示，不要紧，可以重新挂载android后检查一下是否老培root成功，若未root成功提示如下：

成功提示如下：

好，adb shell进入以后就可以开始进行 *** 作了，本次以微医apk为例，微医apk存放目录为system/priv-app/FamilyDoctor，使用cd 加目录进入文件夹，ls查看文件夹里的内容

可以看到目录下有一个apk，一个lib文件夹，一个oat文件夹。我们要做的就是把apk替换掉，新的apk使用adb push命令将旧的替换，并且将下面的两个文件夹里的内容都替换掉，push成功如下图：

Apk已经成功替换，可以再次进入system/priv-app/FamilyDoctor文件夹查看是侍消唯否只有一个apk，如果只有一个则完成替换。然后替换lib文件，先将替换的apk改为zip后缀，然后解压

可以看到只有lib文件夹，那么就只替换lib文件夹里的文件，将oat文件删除，使用rm -rf oat删除文件夹，然后查看lib里的文件：

这些文件在解压出来的lib文件夹中如下文件夹内：

接下来就把lib\armeabi-v7a文桥余件夹内的东西push到手机内

然后adb reboot 重启后即push成功

此处只以**apk为例 其他apk如果没有lib库可不需要替换

---