Xiaohan Zhang
最近在更新后的ColorOS上使用frida-dexdump进行脱壳时,发现使用原有脚本脱出来的dex文件全都是名为com.coloros.phonemanager-idleoptimize的系统进程。
1 2 3 4 INFO:frida -dexdump :[+] Starting dump to 'F:\apks\top2000-4262\com.coloros.phonemanager-idleoptimize' ... INFO:frida -dexdump :[+] DexMd5= 1 d1ffe171610319311dda1f25b808f5f, SavePath=F:\apks\top2000 -4262 \com.coloros.phonemanager -idleoptimize \classes.dex, DexSize= 0 x6850b4 INFO:frida -dexdump :[+] DexMd5=d047d1f63deeed86ec6d3ab61c38a840, SavePath=F:\apks\top2000 -4262 \com.coloros.phonemanager -idleoptimize \classes2.dex, DexSize= 0 x128f000 INFO:frida -dexdump :[+] DexMd5=a2827813aa1c63baccb7e
1 adb shell pm uninstall -k --user 0 com.coloros.phonemanager 重启后,结果倒是不会输出该系统进程了,但是又换了一个com.android.statementservice,脱出来的dex文件全变成了Android的系统服务,这就让人有点难以琢磨了。
Xiaohan Zhang