从上图可以看到方法指令都被抽走了 。
加壳时将方法指令抽走后自定义格式加密存放在assets/ijiami.ajm文件中,通过IDA动态调试分析发现每个被抽走的方法的debuginfo值改成0X3F开始的8字节大不的值,该值在还原时做为Map的KEY。
还原后的结构大致如下:
壳还原指令时流程如下: