参考文章：

https://github.com/jitcor/Youpk8

https://github.com/Youlor/Youpk

https://bbs.kanxue.com/thread-271358-1.htm#msg_header_h3_0

https://www.jianshu.com/p/18ff0b8e0b01

Fart脱壳王课程

本文章会定时更新，有问题直接向我提问，我会补充到文章里

同时我会在完善编译的所有流程（为小白铺路）

并完善移植原理的解读（为想要了解原理的大佬解答）

同时我会完善我如何从aosp8移植到10的过程，如何去寻找变更api（授人以渔，大家学会可以自行把我目前的移植到aosp12）

Youpk是一个很强大的框架，他的模块化组织形式非常新颖，但是随着安卓系统的不断更新，移植难度也非常大，由于使用了大量的api，导致移植有一定的难度，与fart相比，模块化的插桩更加优雅。

已经有大佬做了fart10的移植(见参考文章3），我这里就不和他重复了，来尝试下youpk的移植，并去除特征指纹。

测试设备：pixel1

aosp移植版本：aosp10.0.0_r2（本来想移植fartext，失败了）

（aosp11与10的api相关类似，可以自己尝试）

1.需要你有基础的aosp编译修改经验，简单修改能编译成功

硬盘需要大于1TB 我是32G+2TB 编译体验非常差 有条件推荐上4TB+64G

如何开启clion和android studio导入项目源码：

编译的时候要注意repo的python版本，最好大于3.7 如果在低版本ubuntu系统，需要自己编译python

repo fatal: error unknown url type: https

原因：python没有设置ssl

./configure --prefix=/usr/local/python3 --with-ssl

解决文档：

https://stackoverflow.com/questions/18317682/android-aosp-repo-init-fatal-error-unknown-url-type-https

解决：在编译的时候配置ssl

找到一个趁手的编译环境+IDE环境是成功编译的第一步骤

由于7.1→8.0→10.0有多版本跨度，我们选择youpk8的源码进行移植，来减少api差异

第一步，导入unpacker类到

这里我们可以第一步去除指纹，修改包名

我这里的包名是com.jiqiu

类名也完全可以修改，在修改后要在

这个文件里加上自己的包名，否则编译不过

比如我打的包名是com.jiqiu

在里面就是

之后进入

core/java/android/app/ActivityThread.java

导入自己的包名

在app启动后，注入自己的脱壳线程

注意：如果你修改了类名，这里的导入和调用也需要修改

想比于fart，youpk的主动调用部分在native层实现，java层仅仅是启动一个线程 启动native函数

第一步修改dexopt.cc 路径如上

注意，这里的config路径一定要与java层设置的一致，见去指纹2

const char* UNPACK_CONFIG = "/data/local/tmp/gagaga";

并且修改Android.bp

添加目标编译文件

添加编译文件后我们就可以初步处理youpk的所有不兼容api，附件提供了修改前后的youpk文件夹，在数十次的编译中，已经修改成安卓系统最新支持api

在新版系统编译，这个宏定义视为不安全，直接使用math库的同名函数即可过编译，记得注释原来的

在新版系统中，dex相关库文件移动到了libdexfile文件夹下，我们只需改动libdexfile/Android.bp

导出其依赖的库，并按新版文件调用，即可解决依赖问题

globals位置发生改变

#include "base/globals.h”

mirror::Class*指针修改为ObjPtrmirror::Class

setstatus的状态码发生改变 mirror::Class::kStatusInitialized变为ClassStatus::kInitialized

删除size_t Unpacker::getCodeItemSize(ArtMethod* method)方法 新版有api可以直接实现

uint32_t code_item_size = method->GetDexFile()->GetCodeItemSize(*code_item);

可以直接获取到codeitem的size 省去了上面的函数

method->GetCodeItem()->insns_;

新版本的codeitem没有insns_属性，需要迭代器访问

见参考文章4

修改为 const uint16_t* const insns = CodeItemInstructionAccessor(*method->GetDexFile(),method->GetCodeItem()).Insns();即可编译通过

最后修改注册函数

REGISTER_NATIVE_METHODS("com/jiqiu/Unpacker");

包名和类名修改过的可以去修改下

a/runtime/interpreter/interpreter_switch_impl-inl.h

注意这个不是在cpp中实现了，在interpreter_switch_impl-inl.h头中实现

而且youpk插桩的宏定义在aosp10中改为了函数判断，无法在函数中插桩

只需要在相应位置插桩即可解决（已给出patch）

https://github.com/LSPosed/AndroidHiddenApiBypass

解决方法：

换一个注册的名字，可以选定一些厂商的特殊包名注册，如xiaomi meizu huawei等特殊包名

修改config名字或落地地方挑选app不可达路径（之后会集中讨论）

DexFIile静态注册了一个函数，作为与native桥接的函数，由于比较独特，直接可以通过反射调用，甚至可以做进一步下沉，在libart.so的导出表中发现这个函数

在ActivityThred中出现了很多工具类函数，可以反射调用检测，以及在art_method中有额外的导出函数，可以通过扫描libart.so的导出表来扫描制定名字

解决方法：

难点：

权限的申请（脱壳机一般都有）

用户隐私的保护 （厂商一般不管）

解决办法：

修改系统selinux，注册全新的selinux标签，编写系统应用，进行文件的存储和获取（小肩膀沙盒定制思路）

注册系统服务，app通过调用，存储到/system 目录下

以上两种方法均可进行dex和config文件的落地

难点：

各大厂商对于rom均有定制，libart.so数量均不一致

无法太大的做到导出函数数量的特征（这个是真的致命打击）

解决办法：

建立机型库，对机型的各个文件进行模型建立，检测是否为异常libart，判断是否为异常机型

脱壳机一般使用pixel以及nexus等机型做定制rom，可以针对这些机型做风控（误杀率高）

所以可以对aosp的定制进行检测，对aosp的指纹进行检测（目前大部分脱壳机过不去企业壳都折在了这里）

解决办法：

使用开源的lineageos 以及pixel experience系统进行定制，这些系统都已经去除了很多aosp的特征

（除非日后国内哪家厂商开源了他们的操作系统）

使用支持这些rom的手机进行定制，这里我强烈推荐一加手机，简直无敌 随便刷随便解锁 还能9008救砖（比某xel6代好太多了）

https://fortunate-decimal-730.notion.site/Youpk-Aosp10-ead82bb5990c4574a9fc0e5d899beaa1?pvs=4

移植后的unpcker模块

所有patch：

Untitled

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课