Cydia Substrate based DexDumper's weakness

Posted 2020-09-23 寻步

得益于Cydia Substrate框架，HOOK Native函数变得简单，也给脱壳带来方便。

像ijiami免费版，360，classes.dex被加密到so文件并运行时释放到内存，因此针对相关函数的HOOK脱壳就比较简单了。

但也有一些容易被针对的缺点：

1、代码可以在类加载时被修改。hook dexFileParse、__mmap2或memcmp 等可能dump出是修复前的dex

2、修改了odex的标志dey\n036，dumper在内存中搜索不到，将漏掉真正的odex

3、packer可以在内存构造假的odex header，以迷惑dumper和分析者