虽然乐固做了一些反调试的东西，不过感觉比 Ali 更好分析一点，很多情况并不是反调试越厉害加固就越好。感觉 Ali 在加固方面做的比乐固有意思，Ali 利用 SP 来储存返回地址和参数所以整个流程很混乱，基本看上去就是在各种 JUMP，而乐固仍然是常规规的函数调用和返回方式，流程清晰很多。

另外想说一下，之前把对 Ali 壳的分析发到看雪了，可能因为我只把大概的流程放上去了所以有评论觉得这是一个很没技术的秒脱壳子，至于究竟这个壳子怎么样，好不好脱，完全没有自己尝试过。个人感觉 Ali 的壳子对于初学者来说有很深的学习意义，有不少有意思的细节，建议分析。

* 为了阅读这篇文章时更好理解文中所说内容，下面大多形如 [sub_] [unk_xxx] [loc_xxx] 的函数都经过了重命名以帮助理解。

下面言归正传，下图是反编译 apk 后的 smali 差异，另外还新增了一个 lib 文件夹。

lib 文件夹的格式如下所示。

bugly 相关的可以不用管了，是腾讯的一个类似上报 bug 之类的玩意和加固没有关系。smali 层面只做了一些简单的混淆，不做过多分析了（其实是时间太久忘了 ....），直接进入 Native 层。

直接动态 IDA 挂上，然后在 Linker 和 libdvm.so 对应调用 .init / .init_array / JNI_Onload 的偏移地址下好断点，这样下断点的好处是可以无视 .so 的 ELF 头被修改的情况直达想要的位置，也上个图简单示意一下。

触发断点之后说明运行的到了 .init / .init_array / JNI_Onload 的出发点，然后 F7 即可进入对应 .so ELF 内执行的代码位置。

根据上面说的来到 .init 在 .so 里的位置，偏移量是 [+ 14D4]，IDA 静态 + F5 之后得到伪代码，下面是完善函数名之后的伪代码。

略过很多字节变换，略过重命名后的 mmprotect() 和 cacheflush_syscall()，整段其实就执行了一个函数 [sub_8630]，跟进之后发现伪代码如下。

可以看出是 pthread_create 新开了一个线程执行 anti_init 函数，进入 F5 查看 anti_init 函数伪代码。

一个 while(1) 的循环里面根据不同的条件执行了 3 个 raise() 函数，不用管具体是根据什么样的 3 个条件执行的 raise() 操作，直接把 [BL  j_raise] 对应 arm 十六进制码修改成 [Mov R1, R1] 就可以达到 Bypass 反调试的目的，这个地方殊途同归的 Bypass 方法很多。

还是同样的方法来到 JNI_Onload 在 .so 里的位置，偏移量是 [+ 65A8]，IDA 静态查看，F5 之后得到对应的伪代码，动态 + 静态结合调试可以还原出大部分函数的真实目的。

这里需要重点关注的就是 dlopen 和 dlsym 这两个函数了，其他都是一些字符串操作的内容，对脱壳没有什么太大的帮助。其实 dlopen 都不需要关注了，直接在最后 J_dlsym 这里下断，F7 。

跳到 .so 外的一段内存，很明显是程序 mmap 进来的内容，至于怎么 mmap mmprotect 之类的不需要做太多关注，看看这里指向代码的功能。

还是一堆的赋值操作略过不表，看到执行了 [sub_7860EFB8] [sub_7860E7C4] 两个函数，分别看下这两个函数的作用。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！