首先抱歉,如果以下任何术语不正确。我是 Frida/android 调查游戏的新手,目前主要是为了提高我的理解。
我有一个我正在分析的 APK。我可以通过通常的反编译看到某些方面被混淆了,其他方面似乎被加密了,调用似乎消失得无影无踪。通过挂钩加密库分析流量后,我可以看到它下载了一个开始 PK 的文件。
为了进一步调查,我已将 zip 写入磁盘并将其解压缩。里面是一个 classes.dex 文件,我相信它包含一些我一直在寻找的隐藏内容,以弥补我一直在寻找的空白。
不幸的是,这就是目前结束的地方。我可以看到新的函数和类,但是当我尝试挂钩它们进行操作时(绕过模拟器检测是其中的关键)Frida 抱怨说函数/类从一开始就不存在。在我看来,这些类是在运行时以某种方式导入的,启动后。
我接下来要做的是拦截下载,用我根据需要修改的 dex 文件替换它,这应该允许我继续我的分析,但我想知道是否有更简单的方法?是否可以针对这些未立即加载的类,如果可以,有人可以指出我需要调查的方向吗?我假设有一个内置的 android 函数需要执行此导入,我可以寻找,但我不确定从哪里开始。
任何帮助/方向/指导将不胜感激。为了确认,我想知道以下流程是否可行:
- 启动应用程序,挂钩加密库
- 等待下载新的 classes.dex 文件
- 在加载时挂钩这些类
- 自动绕过新加载的类
谢谢。