【Android逆向】制作Youpk脱壳机，完成对NCSearch的脱壳操作

1. 拉去youpk 代码或镜像，自行编译构建

youpk 代码地址 https://github.com/youlor/unpacker

2. 执行 `adb reboot bootloader`

3. `执行 sh flash-all.sh`

4. 安装NCSearch，并启动app

5. 执行`adb shell dumpsys window | grep mCurrentFocus` 获取包名 `com.ninemax.ncsearchnew`

6. 执行以下命令，告诉youpk脱哪个进程

adb shell "echo com.ninemax.ncsearchnew >> /data/local/tmp/unpacker.config"

7. 重新启动app，每十秒会触发一次脱壳，脱完毕的dex将不再增长

8. `adb pull /data/data/com.ninemax.ncsearchnew/unpacker` 将脱下来的文件拉取到本地，

dex位未修复的dex文件， method目录下的bin文件为函数体数据

9. 执行`java -jar dexfixer.jar ./unpacker ./out`, 在out目录下会生产修复后的dex文件，

10. 用jadx打开dex，可以看到函数体都被修复完毕

参考：
https://blog.csdn.net/cui_yonghua/article/details/126694457

posted @ 2023-03-02 20:25 明月照江江阅读(549) 评论(0) 编辑收藏举报

会员力量，点亮园子希望

刷新页面返回顶部