有关odex文件结构请看我leader的博客http://blog.csdn.net/roland_sun/article/details/47183119
非虫的白皮书也有详细的讲解。
总之odex文件从0x28开始包含一个完整的dex文件,与原来的dex略有不同。
下面具体比较一下从odex当中dump下来的dex有何不同
dey.036开头,这是一份样本中获得的odex文件,可以看到前8个字节为魔数,9到12字节为0x28,也就是dex_offset,13到16为dex_len
根据偏移和长度可以将dex截取下来,命名为class.dex
左边是class.dex,右边是原来的classes.dex
文件的头部
似乎与想象中的不太一样,相差不是很大
在用dex2jar分别转化为jar包试试
在对class.dex操作的时候输出了大量的信息
都可以转化
相比较而言,class.dex的内容偏少,应该是优化的作用
dex文件大小几乎一样,但是jar文件就差很多了
class的MainActivity
classes的MainActivity
一页并不能截完,很多就是了