之前对Android的两个运行时的源码做了一些研究，又加上如火如荼的Android加固服务的兴起，便产生了打造一个用于脱壳的运行时，于是便有了DexHunter的诞生（源码：https://github.com/zyq8709/DexHunter/）。今天，我就通过这篇小文聊聊我的一些简单的思路，供大家参考和讨论。

那篇文章中有UPX脱壳笔记,tElock脱壳笔记,PEncrypt脱壳笔记.但是我认为应该详细介绍八大法脱壳。因为他提到的所有这种脱壳笔记,都是利用八大法脱的!每一种壳都可以用很多种方法来脱掉,所以应该介绍的应该是脱壳大法,而不是xxx壳应该用xxx方法来脱,授人以鱼不如授人以渔。SO,有了这篇教程~

Android应用程序相比传统PC应用程序更容易被逆向，因为被逆向后能够完整的还原出Java代码或者smali中间语言，两者都具有很丰富的高层语义信息，理解起来更为容易，让程序逻辑轻易暴露给技术能力甚至并不需要很高门槛的攻击者面前。因此Android应用程序加固保护服务随之应运而生。从一开始只有甲方公司提供服务到现在大型互联网公司都有自己的加固保护服务，同时与金钱相关的Android应用程序例如银行等也越来越多开始使用加固保护自己，这个市场在不断的扩大。

这里整合了一下之前自己学习软件手工脱壳的一些笔记和脱文，希望能给新学软件逆向和脱壳的童鞋们一点帮助。

随着带协处理器和买手环的人越来越多，微信运动一下子火了，只要你在微信关注微信运动，手机就能自动记录你每天行走的步数，还可以跟朋友圈里的好友PK运动量。并且每日排名第一的用户可以占据当日排行榜的封面。这充分激起了大家的求胜的欲望，于是出现了很多励志的和悲伤的故事……

将一个普通的文件系统想象为一个大的笔记本。当一个文件被删除时，许多人以为这一页是被用“三福”牌记号笔完全涂黑了，就像关于51 区的机密文档那样。但事实上，在这个操作背后所发生的一切更像是用一支很细的红色笔在这一页上面画了一个巨大的X。文件被标记为已删除，但内容实际上还存在于笔记本上。所有想知道其看起来是什么样的人还是可以轻松地读出它的内容，而不管有一个红色的X 将它标记为已删除。这就是庭审律师（不论是美剧Boston Legal中的还是真实生活中的律师）如何从嫌疑犯的电脑里还原出大量已删除的文件。苹果公司也知道这一点，因此，在iOS 4中开始使用一些特殊的精心设计的文件系统加密方法来防止已删除文件被还原出来。然而，这种技巧并不完美，有时候文件依然可能被盗。

注:框架有风险,使用要谨慎.

Cydia Substrate是一个代码修改平台.它可以修改任何主进程的代码,不管是用Java还是C/C++（native代码）编写的.而Xposed只支持HOOK app_process中的java函数,因此Cydia Substrate是一款强大而实用的HOOK工具.

众所周知，所有运行的进程在操作系统里面分为两类：一类拥有访问全部硬件设备的权限（内核空间）而另一类无法直接访问硬件设备(用户空间)。
操作系统内核和驱动程序通常是属于第一类的。
而应用程序通常是属于第二类的。

TLS是每个线程特有的数据区域，每个线程可以把自己需要的数据存储在这里。一个著名的例子是C标准的全局变量errno。多个线程可以同时使用errno获取返回的错误码，如果是全局变量它是无法在多线程环境下正常工作的。因此errno必须保存在TLS。

这种传递参数的方法在C/C++语言里面比较流行。

如下的代码片段所示，调用者反序地把参数压到栈中：最后一个参数，倒数第二个参数，第一个参数。调用者还必须在函数返回之后把栈指针（ESP）还原为初始状态。

异常 让我们稍微修改一下，月处理的那个例子(在932页的54.13.4)

官方教程:https://github.com/rovo89/XposedBridge/wiki/Development-tutorial

官网:http://repo.xposed.info/module/de.robv.android.xposed.installer

apk:http://dl-xda.xposed.info/modules/de.robv.android.xposed.installer_v33_36570c.apk

源码:https://github.com/rovo89/XposedInstaller

这次来看一个简单的伪随机函数生成器，之前我在书中提到过一次。

smalidea是一款 IntelliJ IDEA/Android Studio的 smali 插件

大家都知道，java有很多的反编译器（或是产生JVM字节码） 原因是JVM字节码比其他的X86低级代码更容易进行反编译。