jadx载入寻找xposed_init文件中定义的xposed程序的入口,发现主体只有如下三个函数,那猜想真正的hook函数被加密存储了,执行时通过dexClassloader动态加载执行
在程序的assets下发现了如下几个后缀为dex的文件,直接尝试了使用jadx去反编译,发现反编译不成功,拖入010Editor
dex被作者进行了加密,那就得去代码中寻找解密执行代码 直接看ui的入口并没有发现任何的解密地方,猜想既然是xposed插件,那一定会有findAndHookMethod的地方,以及beforeHook和afterHook,直接去查找,找到如下代码 |
某Xposed微信群发工具dex解密分析
最新推荐文章于 2024-03-09 00:34:32 发布
本文详细分析了一款基于Xposed框架的微信群发工具的dex文件,揭示了其内部工作机制,包括消息发送逻辑和可能的加密手段。
摘要由CSDN通过智能技术生成