完整的代码已经上传github，30cK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6K6L8h3q4J5N6r3c8G2L8X3g2Q4x3V1k6r3M7X3W2V1j5g2)9J5k6q4y4U0M7X3W2H3N6s2y4Q4x3V1k6@1M7X3g2W2i4K6u0r3L8h3q4K6N6r3g2J5i4K6u0r3M7$3S2W2L8r3H3`.，如果喜欢请star哦

在对一些加固的Android应用做测试的时候，脱壳二次打包是一个相当相当复杂的工作。所以一般是脱壳分析代码，然后用hook的方式来动态劫持代码。使用xposed来hook加固的应用大家可能已经很熟悉了，但是使用frida大概没有多少人尝试，今天就给大家分享下如何使用xposed来hook加固之后的Android应用。

要hook加固的应用分为三步，第一步是拿到加载应用本事dex的classloader；第二步是通过这个classloader去找到被加固的类；第三步是通过这个类去hook需要hook的方法

得到第一步的classloader之后的hook操作和hook未加固的应用基本类似。

我们看Android的android.app.Application的源码d91K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3q4F1k6s2u0G2K9h3c8^5M7X3g2X3i4K6u0W2j5$3!0E0i4K6u0r3y4#2)9J5k6e0q4Q4x3X3f1J5i4K6g2X3M7U0x3$3i4K6u0r3P5s2u0W2k6W2)9J5c8X3k6J5j5h3#2W2N6$3!0J5K9%4y4Q4x3V1k6T1j5i4y4W2i4K6u0r3j5$3!0J5k6g2)9J5c8X3A6S2N6X3q4Q4x3V1k6S2L8X3c8J5L8$3W2V1i4K6u0r3j5i4m8H3i4K6u0r3b7i4m8H3L8r3W2U0j5i4c8A6L8$3&6Q4x3X3g2B7j5i4k6S2i4K6t1K6x3e0R3^5可以发现，自己定义的Application的attachBaseContext方法是在Application的attach方法里面被调用的。而基本上所有的壳都是在attachBaseContext里面完成的代码解密并且内存加载dex，在attachBaseContext执行完之后就可以去拿classloader，此时的classloader就已经是加载过加固dex的classloader了。

以i春秋app为例，此应用使用的360加固，我们的目标是hook他的flytv.run.monitor.fragment.user.AyWelcome的onCreate方法，然后弹出一个Toast。

我们直接使用Java.use来获取这个Activity，代码如下：

使用如下命令来注入这个js：

运行之后会报如下的错误：

也就是找不到这个类，也就是我们现在这个默认的classloader找不到flytv.run.monitor.fragment.user.AyWelcome这个类。

代码如下：

现在我们在attach方法执行之后拿到了Context，并且通过context获取了classloader，我们看现在的classloader是否加载了被加固的dex。我们使用classloader的loadClass方法去加载flytv.run.monitor.fragment.user.AyWelcome这个类，看是否成功：

注入这个js，可以正确的打印出flytv.run.monitor.fragment.user.AyWelcome类名，说明我们拿到这个这个classloader是加载了加固过的dex的。

在上一步我们虽然可以通过frida来获取到加固之后的class，但是你如果直接使用这个{class}.{fuction}依然会失败，因为class没有这个成员变量，所以我们需要来实现获取到与Java.use一样的js对象，那么如何解决呢？当然是read the fuking source code。

我们看frida-java的use方法的实现，代码在66eK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6X3M7X3W2V1j5g2)9J5c8X3k6J5K9h3c8S2i4K6u0V1K9X3q4$3j5g2)9J5c8X3u0D9L8$3u0Q4x3V1j5&6j5X3g2U0j5K6t1%4x3o6V1I4y4e0M7$3k6X3x3I4z5e0S2V1j5K6u0S2y4K6p5&6j5K6m8X3k6h3c8T1x3K6m8S2x3U0M7H3j5U0t1^5i4K6u0r3L8r3W2T1i4K6u0r3j5$3I4S2M7%4y4Q4x3X3c8X3j5h3y4@1L8%4u0&6i4K6u0W2K9Y4y4Q4x3U0y4x3x3e0x3&6代码如下：

从代码中我们可以看出来，他会先到他存class的一个列表里面去找，如果找不到，就会判断loader是不是null，loader不为null，就会使用loader加载class，loader为null就会使用JNIEnv的findClass方法去找类，也就是使用默认的classloader。所以现在目标明确了，我们只需要让这个loader是我们从Applicaiton的attach方法获取到的classloader即可，那么怎么替换呢？

很显然直接Java.loader会说undefined，我们看最终导出的是index.js这个脚本ed7K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6X3M7X3W2V1j5g2)9J5c8X3k6J5K9h3c8S2i4K6u0V1K9X3q4$3j5g2)9J5c8X3u0D9L8$3u0Q4x3V1j5H3x3U0u0T1j5K6N6V1z5e0g2U0x3o6m8V1y4U0t1%4x3o6V1I4k6o6c8W2k6r3x3H3k6X3j5^5y4$3t1$3y4$3c8W2y4h3p5&6y4K6x3&6i4K6u0r3K9h3&6V1k6i4S2Q4x3X3g2B7M7#2)9J5x3@1H3J5x3R3`.`.，有下面几个成员变量：

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课