壳的运行流程:
加固流程分析:
总结篇:
梆梆加固将整个Dex文件加密,并重写了原来的Application类,并将程序的入口重定向到“Loader”--secData0.jar上。系统会在初始化的时候执行loader内的stubApplication,subApplication完成对原始Dex文件(Playload)的解密并动态加载,然后执行原Application类,并以此来结合反调试技术达到对程序加固的目的。
梆梆在对dex进行动态加载的时候,是把 makeDexElements->openDexFileNative->dvmRawDexFileOpen(dex,dex)对dvmRawDexFileOpen函数进行了HOOK,然后再重写,往java层返回了一个cookie. 梆梆的免费版依然是以动态加载为主。