我本人一般不习惯也不喜欢发帖子，但是看着身边人经常说自己在哪里哪里发过什么原创帖子，感觉没发过几个原创帖子都不好意思在社会上混了。

很多人觉得Android加固很牛逼，试着用各种方法去研究，然后弄个脱壳机，牛不牛逼咱不知道，写个脱壳机还是可以的。

Android加固分为Dex加固和so加固，我这里只给出脱dex的方法，本人声明仅用于学习交流目的，你们不要用它搞破坏，本人对此概不负责！！！

下面提供两种方法：

方法一：

核心思路：反射 + mCookie(其实脱壳的点太多了，这是其中一个)

步骤：

1、找到加固apk的任一class，一般选择主Application或Activity

2、通过该类找到对应的Classloader

3、通过该Classloader找到BaseDexClassLoader

4、通过BaseDexClassLoader找到其字段DexPathList

5、通过DexPathList找到其变量Element数组dexElements

6、迭代该数组，该数组内部包含DexFile结构

7、通过DexFile获取其变量mCookie和mFileName(这个名字没什么鸟用)

至此我们已经获取了mCookie

对该mCookie的解释(有些现在记不太清楚了)：

#1、4.4以下好像，mCookie对应的是一个int值，该值是指向native层内存中的dexfile的指针

#2、5.0是一个long值，该值指向native层std::vector* 指针，注意这里有多个dex，你需要找到你要的

#3、我还测试了8.0手机，该值也是一个long型的值，指向底层vector，但是vector下标0是oat文件，从1开始是dex文件

// 至于你手机是那个版本，如果没有落入我上面描述的，你需要自己看看代码

8、根据mCookie对应的值做转换，最终你能找到dexfile内存指针

9、把该指针转换为dexfile结构，通过findClassDef来匹配你所寻找的dex是你要的dex

10、dump写文件

代码说明(代码包括java层和native层，但java层只需定义一个native函数即可)：

1、代码核心部分为dump_dex.h 和 dump_dex.cpp，里面涉及你需要自行实现的部分(我测试用的5.0.2 moto手机，

如果你的手机版本或者手机型号不同，你可能需要修改我表明的地方)

2、代码相对简单，你可以自行阅读

坑：

此方法思路相对简单，但是操作相对繁琐

1、你需要重打包apk

2、如果遇到签名校验，你同时需要在重打包中加入hook签名代码

方法二：

核心思路(方法数不胜数，这是其中一个毕竟简单的)：

hook系统libart.so的ClassLinker->DefineClass函数

hook工具：

frida

这里提供了两种测试方式：

1、基于命令行的(dexcl.js)

2、基于python程序的(dumpdex.js + main.py)

注意：

你可能需要修改的地方(代码已经对可能需要修改的地方进行了标明)

1、我测试手机是moto 5.02版本，不同版本不同手机该导出函数的原型可能不同，你需要修改

2、有函数原型不同的原因，传入参数可能需要修改，相应的Interceptor.attach的args相关需要进行修改

3、你的class descriptor需要修改为你要找的dex的里面任一类(如Lcom/example/hello/MainApplication;)

4、python中的相应的class descriptor，js文件路径，保存dump的dex路径

测试机型 moto 5.02，frida版本12.6.8

脱壳方法千千万，特别是方法二的思路千千万，随便找个点秒脱，记住他们在变也不会脱离系统机制，否则谁也玩不起来。

关于适配，代码里都有标明，相信只要你会编程和汇编都可以轻松搞定。

受大家影响，没个github都不好意思混了，欢迎学习交流。

最后于 2019-7-30 17:12

被angelToms编辑

，原因： 修改链接