Question

下面就来逐一分析这个工具支持哪几种命令。

1.dump_dexinfo

获取应用运行时内存中 dex 的信息 DumpDexInfoCommandHandler，代码如下：

进入方法详细查看一下：

可以看到，这里的实现逻辑是，全部通过反射机制获取每个应用的 dex 文件对应的 DexFile 类型对象，这里的工作和 Android 中插件化开发逻辑有点类似，通过应用的默认类加载 PathClassLoader 类得到 DexPathList 类，然后再得到具体的 DexFile 对象即可。

这里要说的就是这个 dex 文件对应的 cookie 值，这个值非常重要，是后续命令操作的基本信息，它代表的含义就是底层中每个应用的 dex 文件对应的唯一 id 值，系统会维护一个 map 结构来保存这些数据，然后通过这个 cookie 值找到对应的 dex 文件信息。

命令用法：

这里使用的是命令方式发送一个广播，通过--ei 携带目标进程 id 是一个 int 类型，通过--es 携带命令字符串。

2.dump_dexfile

这个命令也是后续脱壳的重要命令，就是 dump 出应用内存中的 dex 文件 DumpDex-FileCommandHandler，代码如下：

这里可以看到 dump 出应用的内存数据，首先需要传入源应用的 dex 数据，也就是 apk 文件，这一般都是存放在/data/app/xxx.apk 目录下的，然后构建了一个 dump 之后的 dex 文件路径，通过源码查看是在/data/data/xxx/files/dexdump.odex 中。接下继续查看 dump 的核心代码：

看到这里有一个核心的方法，但是可惜的是这个方法是 native 的，而这个工具并没有把 native 层的代码公开，但是通过这里传递的参数可以了解到，底层应该是采用了 libdvm.so 或者是 libart.so 库得到具体的函数，然后通过 dex 对应的 cookie 值获取信息。

命令用法：

注意这里的 dexpath 参数代表需要脱壳的 dex 文件，也就是应用程序文件。

3.backsmali

这个命令与上面的命令功能差不多，只是这个命令多了一层操作，就是把 dex 文件转化成 smali 文件，所以这里不再详细说明了，可以先得到 dex 文件，然后通过工具得到 smali 文件。

命令用法：

注意这里的 dexpath 参数代表需要脱壳的 dex 文件，也就是应用程序文件。而最终生成的 smali 文件是放在/data/data/xxx/smali 下面的。

4.dump_mem

这个命令是用来 dump 出应用程序运行时内存中指定开始位置和长度的内存块数据的 DumpMemCommandHandler，代码如下所示：

可惜这个方法也是 native 层的，但是可以知道每个应用运行时的内存地址都在/proc/[pid]/maps 文件中，如下所示：

那么查找内存地址，然后使用 memcpy 进行内存数据拷贝也是非常简单的。

命令用法：

注意这里的 start 和 length 都是十进制的，而不是十六进制的数据格式。

5.dump_heap

这个命令可以 dump 出虚拟机的堆内存信息，文件可以使用 Java heap 工具进行分析，而对于这个命令想一下应该也知道实现逻辑，也是在 native 层的，而且这个代码逻辑应该和上面的那个命令差不多。

命令用法：

6.dump_class

这个命令主要用于 dump 出 dex 文件中的类信息，因为在 DexFile 对象中有一个隐藏的方法可以把 dex 文件中的所有类名获取到 getClassNameList，如下代码：

可以看到这个方法的传入参数为一个 dex 文件对应的 cookie 值。

命令用法：

这里的 dexpath 是需要得到所有类信息的 dex 文件路径，也就是应用的 apk 文件路径。

7.invoke

这个命令用于运行时动态调用 Lua 脚本，该功能可以通过 Lua 脚本动态调用 Java 代码。使用场景：可以动态调用解密函数，完成解密；可以动态触发特定逻辑。代码就不进行分析了，因为觉得这个命令很少使用。

命令用法：

这里的 filepath 是 Lua 脚本文件的存放路径。