a5right的博客

文件头里面有一个 map_off 字段，它的值是 map_list 段在dex文件内的偏移。可以看到，逆向的重心，除了api用的熟之外，还需要对app本身的相关知识要有足够的了解才行。作者设置的比较宽泛，中间的两个字节表示的是 dex 的版本号，会搜索所有版本号的 dex。，coalesce 的值表示是否需要合并相同权限的内存段，默认是 false。这里也储存了自身的一个偏移，那么根据这两个东西，就可以认为这个是dex文件。比如，0x3c位置的字节必定是 0x70，因为文件头后面跟着的就是字符串。

看来上一关用了非正规的解法，上一关考研的是方法的调用，那这一关就不贴代码了，和上一贯差不过。发现，登录失败是走到了中间的 else if 逻辑里面，我们需要想办法让逻辑走到最后的 else 里面才行。LoginActivity.a 方法返回了一个字符串，obj2 是第二个输入框的字符串。所以这里是使用了第一个输入框的字符串做了一些变化，然后与第二个输入框的字符串比较。一般情况下，可能会直接写 6 个 hook函数，但是其实可以使用反射加循环来完成。去插件里面加载了一个类，我们需要 hook 这个类的方法。

这里我们注册了一个类，com.example.demo2.SimpleBook2，并且实现了一个代理类，将 MainActivity 的字段替换之后，我们就可以让代理类来托管逻辑，做很多操作。项目里面不一定引入了Gson，所以我们需要自己编译一个gons库，放到手机里面，然后使用frida加载一下就可以使用了。有时候，我们想做一个AOPhook的时候，就需要实现一个接口，我们可以使用 registerClass 方法来做到。符合直觉，子类可以转成父类类型，但是调用的方法还是子类的。

全部上传到了 github 上：https://github.com/aprz512/Android-Crack。

首先，尝试一下 hook com.example.yaphetshan.tencentwelcome.a 类，发现它虽然继承了 net.sqlcipher.database.SQLiteOpenHelper 但是无法 hook 到 getWritableDatabase 方法。回想一下，我们解压出来的目录里面有一个 Encrypt.db，所以很明显，这里是要我们拿到这个加密数据库的密钥。里面有一个 base.apk，这个 apk 很老了，只能运行在低版本下，否则会报 so 链接错误。

objection 还可以安装插件。首先，我们找到想要安装的插件，比如 Wallbreaker：安装成功：使用看文档就好了，简单演示一下：这个作者还有一个脱壳的插件：https://github.com/hluwa/frida-dexdump用法看文档就好了。

/ 地址可以使用 wifi adb 查看通过这种方式，不需要使用 adb，省略了一些步骤。