Android加固應用逆向分析技術文件及源碼深入分析 ZIP檔案有吴博脱壳--Android加固应用脱壳技术研究的論文及Android SO壳的发展历程和常见Android SO加壳思路以及对应的脱壳思路

1 拦截x86机器上的任意的win32 API函数。 2 插入任意的数据段到PE文件中，修改DDL文件的导入表。 拦截代码是在动态运行时加载的。Detours替换目标API最前面的几条指令，使其无条件的跳转到用户提供的拦截函数。被替换的API函数的前几条指令被保存到trampoline 函数(就是内存中一个数据结构)中。trampoline保存了被替换的目标API的前几条指令和一个无条件转移，转移到目标API余下的指令。 当执行到目标API时，直接跳到用户提供的拦截函数中执行，这时拦截函数就可以执行自己的代码了。当然拦截函数可以直接返回，也可以调用trampoline(蹦床，跳床)函数，trampoline函数将调用被拦截的目标API，目标API调用结束后又会放回到拦截函数。