完整的代码已经上传github，https://github.com/smartdone/Frida-Scripts/tree/master/shell，如果喜欢请star哦

在对一些加固的Android应用做测试的时候，脱壳二次打包是一个相当相当复杂的工作。所以一般是脱壳分析代码，然后用hook的方式来动态劫持代码。使用xposed来hook加固的应用大家可能已经很熟悉了，但是使用frida大概没有多少人尝试，今天就给大家分享下如何使用xposed来hook加固之后的Android应用。

要hook加固的应用分为三步，第一步是拿到加载应用本事dex的classloader；第二步是通过这个classloader去找到被加固的类；第三步是通过这个类去hook需要hook的方法

得到第一步的classloader之后的hook操作和hook未加固的应用基本类似。

我们看Android的android.app.Application的源码http://androidxref.com/7.1.2_r36/xref/frameworks/base/core/java/android/app/Application.java#188可以发现，自己定义的Application的attachBaseContext方法是在Application的attach方法里面被调用的。而基本上所有的壳都是在attachBaseContext里面完成的代码解密并且内存加载dex，在attachBaseContext执行完之后就可以去拿classloader，此时的classloader就已经是加载过加固dex的classloader了。

以i春秋app为例，此应用使用的360加固，我们的目标是hook他的flytv.run.monitor.fragment.user.AyWelcome的onCreate方法，然后弹出一个Toast。

我们直接使用Java.use来获取这个Activity，代码如下：

使用如下命令来注入这个js：

运行之后会报如下的错误：

也就是找不到这个类，也就是我们现在这个默认的classloader找不到flytv.run.monitor.fragment.user.AyWelcome这个类。

代码如下：

现在我们在attach方法执行之后拿到了Context，并且通过context获取了classloader，我们看现在的classloader是否加载了被加固的dex。我们使用classloader的loadClass方法去加载flytv.run.monitor.fragment.user.AyWelcome这个类，看是否成功：

注入这个js，可以正确的打印出flytv.run.monitor.fragment.user.AyWelcome类名，说明我们拿到这个这个classloader是加载了加固过的dex的。

在上一步我们虽然可以通过frida来获取到加固之后的class，但是你如果直接使用这个{class}.{fuction}依然会失败，因为class没有这个成员变量，所以我们需要来实现获取到与Java.use一样的js对象，那么如何解决呢？当然是read the fuking source code。

我们看frida-java的use方法的实现，代码在https://github.com/frida/frida-java/blob/9becc27091576fc198dc2a719c0fedb30a270b28/lib/class-factory.js#L139代码如下：

从代码中我们可以看出来，他会先到他存class的一个列表里面去找，如果找不到，就会判断loader是不是null，loader不为null，就会使用loader加载class，loader为null就会使用JNIEnv的findClass方法去找类，也就是使用默认的classloader。所以现在目标明确了，我们只需要让这个loader是我们从Applicaiton的attach方法获取到的classloader即可，那么怎么替换呢？

很显然直接Java.loader会说undefined，我们看最终导出的是index.js这个脚本https://github.com/frida/frida-java/blob/022bc7d95c00d627091d4edc0ff87b67de5a9739/index.js#L22，有下面几个成员变量：

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)