Android加固与脱壳学习之linux基础和抽取dex

文件系统暴露信息

重要的几个文件系统包括：
/proc/pid/maps 内存映射
/proc/pid/task 子线程
/proc/pid/mem 进程持有的内存，不可读
/proc/pid/cmdline 启动时相关
/proc/pid/status 进程状态

1.可通过ps查看到pid
2.通过cat命令查看到proc文件系统对应的相关信息。
3.如果需要dump信息可以通过dd来达到效果。bs指定blocksize，count指定dump的block数量，通过skip可以选择dump的起始位置，可以用来在maps里dump某内存的数据。一些简单的壳是可以通过这种方法脱掉的

maps 可通过配合grep 查看到dex的加载地址。
task 可通过ls来查看到子线程pid

dd 抽取dex

1.cat maps grep出dex
2.dd 出dex，

gdb gcore抽取dex

1.push gdbserver
2.chmod
3.ps找到Pid
4.防止保护了主进程，查看子进程pid(通过task)
5.通过./gdbserver :1234 --attach pid监听
6.打开gdb本地，然后target remote:1234
7.gcore 这样会把整个内存全部dump下来。 大小会比较大，时间也会比较长，然后去搜索相关内容。可以去找类等等