总结大佬们的脱壳脚本
- 基于内存关键字dex035(64 65 78 0a 30 33 35 00)的搜索
- 基于断点libart.so中的DefineClass函数
- 基于断点libdexfile.so中的OpenCommon函数
- Hook OpenCommon 和 OpenMemory
- 需要配合xposed使用,xp框架在这里仅仅是起到一个加载so的目的(也可以不用xposed,替代的方法很多),本质是使用的ele7enxxh的inlinehook框架,判断安卓版本后hook指定的脱壳点并dump出dex
- 通过/proc/%s/cmdline遍历去找到指定PackageName的pid,fork出子进程attach到目标pid,然后就是和一套内存搜索组合拳打进去,再dump dex
- 支持5.0以上,指令回填,区分32、64应用,基于虚拟机实现
- 基于Android 6.0实现主动调用的脱壳机
- 又一款ART的主动调用的脱壳机