我本人一般不習慣也不喜歡發帖子，但是看著身邊人經常說自己在哪里哪里發過什么原創帖子，感覺沒發過幾個原創帖子都不好意思在社會上混了。

很多人覺得Android加固很牛逼，試著用各種方法去研究，然后弄個脫殼機，牛不牛逼咱不知道，寫個脫殼機還是可以的。

Android加固分為Dex加固和so加固，我這里只給出脫dex的方法，本人聲明僅用于學習交流目的，你們不要用它搞破壞，本人對此概不負責！！！

下面提供兩種方法：

方法一：

核心思路：反射?+?mCookie(其實脫殼的點太多了，這是其中一個)

步驟：

1、找到加固apk的任一class，一般選擇主Application或Activity

2、通過該類找到對應的Classloader

3、通過該Classloader找到BaseDexClassLoader

4、通過BaseDexClassLoader找到其字段DexPathList

5、通過DexPathList找到其變量Element數組dexElements

6、迭代該數組，該數組內部包含DexFile結構

7、通過DexFile獲取其變量mCookie和mFileName(這個名字沒什么鳥用)

至此我們已經獲取了mCookie

對該mCookie的解釋(有些現在記不太清楚了)：

#1、4.4以下好像，mCookie對應的是一個int值，該值是指向native層內存中的dexfile的指針

#2、5.0是一個long值，該值指向native層std::vector*?指針，注意這里有多個dex，你需要找到你要的

#3、我還測試了8.0手機，該值也是一個long型的值，指向底層vector，但是vector下標0是oat文件，從1開始是dex文件

//?至于你手機是那個版本，如果沒有落入我上面描述的，你需要自己看看代碼

8、根據mCookie對應的值做轉換，最終你能找到dexfile內存指針

9、把該指針轉換為dexfile結構，通過findClassDef來匹配你所尋找的dex是你要的dex

10、dump寫文件

代碼說明(代碼包括java層和native層，但java層只需定義一個native函數即可)：

1、代碼核心部分為dump_dex.h?和?dump_dex.cpp，里面涉及你需要自行實現的部分(我測試用的5.0.2?moto手機，

如果你的手機版本或者手機型號不同，你可能需要修改我表明的地方)

2、代碼相對簡單，你可以自行閱讀

坑：

此方法思路相對簡單，但是操作相對繁瑣

1、你需要重打包apk

2、如果遇到簽名校驗，你同時需要在重打包中加入hook簽名代碼

方法二：

核心思路(方法數不勝數，這是其中一個畢竟簡單的)：

hook系統libart.so的ClassLinker->DefineClass函數

hook工具：

frida

這里提供了兩種測試方式：

1、基于命令行的(dexcl.js)

2、基于python程序的(dumpdex.js + main.py)

注意：

你可能需要修改的地方(代碼已經對可能需要修改的地方進行了標明)

1、我測試手機是moto 5.02版本，不同版本不同手機該導出函數的原型可能不同，你需要修改

2、有函數原型不同的原因，傳入參數可能需要修改，相應的Interceptor.attach的args相關需要進行修改

3、你的class descriptor需要修改為你要找的dex的里面任一類(如Lcom/example/hello/MainApplication;)

4、python中的相應的class descriptor，js文件路徑，保存dump的dex路徑

測試機型 moto 5.02，frida版本12.6.8

脫殼方法千千萬，特別是方法二的思路千千萬，隨便找個點秒脫，記住他們在變也不會脫離系統機制，否則誰也玩不起來。

關于適配，代碼里都有標明，相信只要你會編程和匯編都可以輕松搞定。

受大家影響，沒個github都不好意思混了，歡迎學習交流。

最后于 2019-7-30 17:12

被angelToms編輯

，原因： 修改鏈接

總結

以上是生活随笔為你收集整理的常用的android脱壳工具,Android万能脱壳机的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。