a5right的博客

脱壳过程中，会在 /sdcard/Android/data/pkgname/ 下生成 dex 等文件，必要时多等一会，待脱壳完毕。没有编译 PixelExperience 镜像，所以自己费心装一下谷歌系软件吧。在 /data/local/tmp/abc 文件里面填入需要脱壳的报名。链接：https://pan.quark.cn/s/9a89355e8e41。有指令抽取的需要手动修复一下，修复参考 fart 即可。​修了一些bug，解决了sdcard权限问题。打开app，等待一分钟后触发脱壳。

编译的是 user 系统，是没有 root 权限的，但是一些银行app还是会检测系统是否为 test-keys，最明显的就是 build number。上一篇已经介绍了，可以去将 fartext 的代码copy过来，修改方法名，以及文件名特征即可。，主要是现在用不到，就不分析效果了。刷机前记得先备份一个原厂镜像，就不给链接了，好像会被封！里面添加上自己加的 Java 代码，否则编译报错。添加脱壳代码后，有个地方需要注意，就是要在。我编译了一个镜像（只适用于Pixel），但是。的选择，可以直接执行。

​上文我们讨论了该如何脱壳，现在就开始实现吧。本文不介绍如何编译源码，这块内容之前已经单独发过了，可以使用虚拟机或者 WSL，WSL体验要好些，虚拟机更方便。看开源项目：分析其实现思路，注意，如果需要自己编译源码，直接使用开源项目的代码是很容易被针对的，一定要将方法名等特征给改掉。该项目的整体思路：传递特殊的模拟参数，主动调用类方法将指令解释器模式改为 switch 模式，这个模式源码比较简单。

Android APP脱壳的本质就是对内存中处于解密状态的dex的dump。首先要区分这里的脱壳和修复的区别。这里的脱壳指的是对加固apk中保护的dex的整体的dump，不管是函数抽取、dex2c还是vmp壳，首要做的就是对整体dex的dump，然后再对脱壳下来的dex进行修复。要达到对apk的脱壳，最为关键的就是准确定位内存中解密后的dex文件的起始地址和大小。

​以前一些老旧的技术就不介绍了，比如，动态加载、内存不落地加载的方式。

这里只讨论一些简单壳的脱壳方法及其原因。适用于不需要研究那些被强保护起来的代码，只是想单纯的看看某个地方的业务逻辑。原理：对于完整的 dex，采用暴力搜索 dex035（DEX有多个版本，可以自行匹配）即可找到。而对于抹头的 dex，通过匹配一些特征来找到。该工具使用起来极其简单就不演示了。

在 02 中，贴了一张图，里面涵盖了加固的绝大部分知识。现在我们稍微展开说一下其中几个，也是后续会深入学习的，其中一些还需要单独成系列才行。

Android应用的安全是分为很多个方面的，并不是说开发了一个APP后，找安全厂商加个壳就完事了。加壳能当作一道防护墙，但是App不能只有这一道墙。当然，我们后续学习的也只有加固这一个技术，但是全面了解一下应用安全有哪些方面也是很重要的。这些东西就不一一介绍了。

Python，强烈建议安装 pyenv，随意切换 python 版本，有时候新版 frida 不稳定的时候，就可以一键切版本。在IDA调试的时候，需要连接其他的设备，比如 Windows 或者 Android 设备，需要先能够 ping 通才行。建议新建一个目录，将这个目录添加到 PATH，专门存放脚本，比如 adb xxx 命令，下载命令等。类Ubuntu系统，官方提供了 vmware 版本，直接下载就可以使用。自行下载吧，有google drive 连接，上传了阿里云盘后无法分享。