通过字符常量池可以看到这部分文本 资源ID:7f100049 属性:0_resource_name_obfuscated
当 r3 == -3 或 r3 == -5 时,会将 r3 赋值为 2131755081(即 7f100049)
通过 frida 得出调用链如下
Ei.g(Java方法, SourceFile:2)
↓
[调用 native 层]
↓
Ei.c(SourceFile:12) ← 在这里硬编码创建 Fi(-3)
↓
Fi构造函数(-3)
↓
Fi.a = -3 (表示检测到 MagiskHide)
放到ida中看了一眼,混淆混的太牛逼了,以目前的技术实在是找不到入口,ebpf 抓了一下 推测可能和 property 或者 /proc/self/maps 有点关系
2026-03-21
最近闲来无事 再来一把 通过frida分析出 环境损坏返回值 -3 最终调用函数基址 0xe564 附带了两个 0x15798 和 0x15c48
而sub_E564并没有再次调用后面两个 所以说 最终的 判断逻辑就在 e564 这里
最后经过九九八十一难 最终定位 读取 /proc/self/status 判断有无 TraceID
