关键字:libdvm DexFileOpenPartialPK fopen
样本:MtkEditer原版.apk
反编译 查壳 有爱加密壳
脱壳:
0x1:
adb shell
su
chmod 755 /data/local/tmp/as
/data/local/tmp/as
0x2:
adb forward tcp:23946 tcp:23946
0x3:
adb shell
am start -D -n com.zxjw.mtkediter/.ui.Detection
0x4:
开IDA附加
Module 里选择 libdvm.so
再选择 DexFileOpenPartialPK
在这下个断点
这个apk 还有检测 PTracerID 端口 反调试
在 fopen 处也下个断点
F9运行
0x5:
开启 monitor(DDMS)
0x6:
jdb -connect com.sun.jdi.SocketAttach:hostname=127.0.0.1,port=8700
则到了fopen断点处
0x7:
Hex View窗口里 右键
SynChronize with R0
注意观察 R0值的文本显示
出现这个 /proc/xxx/status 关键字后
说明已经打开了 检测的 关键文本了
返回到上级