IDA dump 内存内容具体步骤

条件，

0x01手机 要root.

0x02上传 mprop

0x03上传 android_server

1，apk 没有debug 权限的话。注入./mprop ro.debuggable 1 （在手机中运行）

2,./android_server，这里注意要使用 ida 对应目录里面的android_server ，不然会出现协议不可用。C:\Program Files\IDA 7.0\dbgsrv

3，不管是以调试等待方式还是直接起动都可以

4，IDA【Degugger】-》【Process Options】-》【Hostname】:127.0.0.1 端口 23946

5，IDA【Degugger】【Debugger Option】 【Event】 3，4，5

6，IDA Attach to process

7，选择对应的包名 ，eg. com.sec.android.easyMover

8，【File】-【Script command】。

内存地址定位

A.获取当前包名：adb shell dumpsys window w |findstr / |findstr name=

B.获取进程pid： ps | grep "包名"

C.cat /proc/pid/maps

输入脚本

1. auto fp,begin,end,dexbyte;

2. fp = fopen("d:/test/dump-settings-360cache2.dex","wb");

3. begin =0xe278b000;

4. end = 0xe27b5000;

5. for(dexbyte = begin;dexbyte

6. fputc(Byte(dexbyte),fp);

7. return 0;

image.png