[原创]APP加固dex解密流程分析-Android安全-看雪安全社区

最新回复 (105) ◀ 1 2 3 4 5
winte 雪币： 26 活跃值： (311) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	winte 101 楼脱壳出来onCreate也是被抽掉吧 2025-6-18 12:59 0
lazybulazy 雪币： 353 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 19 粉丝 0 关注私信	lazybulazy 102 楼想问问佬jeb用的哪个版本，我写脚本老出问题 2025-7-9 10:15 0
lidongyooo 雪币： 294 活跃值： (645) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 33 粉丝 18 关注私信	lidongyooo 103 楼佬能解答下 deal_extra、deal_extra_B 这两个结构体是怎么得出来的嘛？怎么计算的？ 2025-7-11 19:59 0
咚咚汪雪币： 240 活跃值： (85) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	咚咚汪 104 楼好复杂啊 2025-7-16 14:03 0
lazybulazy 雪币： 353 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 19 粉丝 0 关注私信	lazybulazy 105 楼 frida dump so文件的时候，我的安卓13和8都无法spwan到程序，请问该如何解决呢？ 2025-7-21 15:18 0
教教我吧~ 雪币： 1341 活跃值： (2044) 能力值： ( LV5，RANK：60 ) 在线值：发帖 6 回帖 47 粉丝 43 关注私信	教教我吧~ 1 106 楼请问，根据您的样本，之前的都复现成功了，但是在最后dump dex的时候，为什么sub_18FEA8只触发一次，即只dump一个classes1.dex，原文中应该有三个呀。换了手机和frida版本都是只有一个dex，但是刚开始open的时候却也有三个dex的，很是疑惑，麻烦指导一下我的脚本为： function travedec() { var base = Process.findModuleByName("libjiagu_64.so").base.add(0x18FEA8); var fileIndex = 0 //console.log(base); Interceptor.attach(base, { onEnter: function (args) { console.log(hexdump(args[1], { offset: 0, length: 0x30, header: true, ansi: true })) console.log(args[2]); }, onLeave: function (args) { } }) } function hook_dlopne() { var once = true; //根据hook发现此处打印出来的值一样，会打印4次，所以用此方法屏蔽重复打印的clsses.dex内容 Interceptor.attach(Module.findExportByName(null, "dlopen"), { onEnter: function (args) { var loadFileName = args[0].readCString(); if (loadFileName.indexOf('libjiagu') != -1) { console.log("Load -> ", loadFileName); this.is_can_hook = true; } }, onLeave: function () { if (this.is_can_hook && once) { travedec(); once = false; } } }) } setImmediate(hook_dlopne); 最后于 2025-12-11 16:12 被教教我吧~编辑，原因： 2025-12-11 16:10 1
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

winte

雪币： 26

活跃值： (311)

能力值：

( LV2，RANK：10 )

在线值：

发帖

0

回帖

14

粉丝

0

关注

私信

winte: 101 楼

脱壳出来onCreate也是被抽掉吧

2025-6-18 12:59

0

lazybulazy

雪币： 353

能力值：

( LV1，RANK：0 )

在线值：

发帖

2

回帖

19

粉丝

0

关注

私信

lazybulazy: 102 楼

想问问佬jeb用的哪个版本，我写脚本老出问题

2025-7-9 10:15

0

lidongyooo

雪币： 294

活跃值： (645)

能力值：

( LV2，RANK：10 )

在线值：

发帖

2

回帖

33

粉丝

18

关注

私信

lidongyooo: 103 楼

佬能解答下 deal_extra、deal_extra_B 这两个结构体是怎么得出来的嘛？怎么计算的？

2025-7-11 19:59

0

咚咚汪

雪币： 240

活跃值： (85)

能力值：

( LV2，RANK：10 )

在线值：

发帖

1

回帖

13

粉丝

0

关注

私信

咚咚汪: 104 楼

好复杂啊

2025-7-16 14:03

0

lazybulazy

雪币： 353

能力值：

( LV1，RANK：0 )

在线值：

发帖

2

回帖

19

粉丝

0

关注

私信

lazybulazy: 105 楼

frida dump so文件的时候，我的安卓13和8都无法spwan到程序，请问该如何解决呢？

2025-7-21 15:18

0

教教我吧~

雪币： 1341

活跃值： (2044)

能力值：

( LV5，RANK：60 )

在线值：

发帖

6

回帖

47

粉丝

43

关注

私信

教教我吧~ 1: 106 楼

请问，根据您的样本，之前的都复现成功了，但是在最后dump dex的时候，为什么sub_18FEA8只触发一次，即只dump一个classes1.dex，原文中应该有三个呀。换了手机和frida版本都是只有一个dex，但是刚开始open的时候却也有三个dex的，很是疑惑，麻烦指导一下
我的脚本为：

function travedec() {
    var base = Process.findModuleByName("libjiagu_64.so").base.add(0x18FEA8);
    var fileIndex = 0
    //console.log(base);
    Interceptor.attach(base, {
        onEnter: function (args) {
            console.log(hexdump(args[1], {
                offset: 0, length: 0x30, header: true, ansi: true
            }))
            console.log(args[2]);
        }, onLeave: function (args) { }
    })
}

function hook_dlopne() {
    var once = true; //根据hook发现此处打印出来的值一样，会打印4次，所以用此方法屏蔽重复打印的clsses.dex内容
    Interceptor.attach(Module.findExportByName(null, "dlopen"), {
        onEnter: function (args) {
            var loadFileName = args[0].readCString();
            if (loadFileName.indexOf('libjiagu') != -1) {
                console.log("Load -> ", loadFileName);
                this.is_can_hook = true;
            }
        }, onLeave: function () {
            if (this.is_can_hook && once) {
                travedec();
                once = false;

            }
        }
    })
}


setImmediate(hook_dlopne);

最后于 2025-12-11 16:12 被教教我吧~编辑，原因：

2025-12-11 16:10

1