Android安全之DEX文件格式浅析

在Android的每个APP中都必须包含dex文件，同时我们在做Android加固和脱壳过程中的开发和逆向分析的过程中，也必须和dex文件打交道。因此在Android安全对抗过程中dex是一个我们必须熟悉的很核心的一个知识点。

下面针对dex文件进行解析，以便为安全对抗做点基础铺垫。

dex文件是Anroid的虚拟机Dalik和ART运行的一种文件结构，它包含应用程序的全部操作指令以及运行时数据。

下面从两张图看.class文件和.dex文件区别

通过上图可以看到，dex文件将原来每个文件都有的共有信息合成一体，从而减少了class的冗余。

通过上图可以清晰看到，dex文件主要由3大部分组成，它们分别是：文件头、索引区、数据区。其中索引区主要包括字符串、类型、方法、域、方法的索引。数据区主要包括类的定义、数据区、链路数据区

从上面我们可以看出Dex文件由许多部分组成，其中Dex Header最为重要，因为Dex的其他组成部分，都需要通过Dex Header中的索引才能找到。

dex文件头一般固定为0x70个字节大小，它包含标志、版本号、校验码、sha-1签名以及其他一些方法、类的数量和偏移地址等信息。

下图是DEX Header的解析:

结合上面的两张图进行对照，下面我们进一步详细的描述dex文件的结构

dex文件索引区，它包含一些字符串、类型、方法、域、方法的索引，方法可以查找到对应的数据位置

Dex文件的数据区，它包含类的定义区、数据区、链接数据区。

类的定义区一般存放dex文件中一些类对象的声明，数据区则存放代码原数据，链接数据区一般提供从索引区到数据区的链接映射关系。

欢迎各位扫码关注"哆啦安全"公众号、视频号