前言

电子取证当中，已经有越来越多的取证人开始使用Frida帮助完成取证，但是我看了一下现在的文章，还没有人用unidbg完成过取证，所以在这里用unidbg写一篇取证文章，但是unidbg的使用门槛要比Frida高很多，但是多一个手段，取证的成功率就会大很多。

前言

这里我们来看一下为啥说要比Frida难度要大。

这里先用白龙哥给的起手架，把这个框架给搭建起来。

这里用的取证样本是之前的文章分析的，所以关于java层和so层的前期分析就不写了

电子取证

达达，公众号：Th0r安全 针对某APP常用地址取证解密

这里直接运行一下，发现jni_onload的时候就开始报错了。

这里开始直接补上，这里不是一般的直接一把梭补对象，因为后面还会遇到这个问题，所以这里就先不提为啥不直接补对象。

这里就前面jni_onload的环境补成功了

接下来开始调用解密函数，这里面的密文是在之前文章的地方导入，这里也不写了，可以看之前的文章。

开始补新的环境

这里就直接给它一个对象

继续补环境

因为是布尔，所以返回true

继续

这里都还是常规的继续补环境

继续补环境

这里就开始我们之前所说的，为啥不直接一把梭的地方了，这里面的方法查自于白龙哥的星球

我们先到那个地方下断点

可以看到是这个类的时候，出现了问题

查看上下文，可以发现是找不到jmethodid,也就是找不到方法

在当前类找不到方法，所以我们需要去父类查找，打开jadx

可以看到，是继承自AbstractSensorsDataAPI，所以需要给它这个父类

修改一下，这也是Application那个地方提到的

问题解决，继续补下一个环境

直接回空

可以看到这里面就成功跑出我们想要的东西了

总结

用unidbg进行取证的时候，可以看到比frida的难度使用高，但是它也有自己的优点，可以直接运行，不依赖环境。对于算法模拟的时候，也是比较快捷的，不过一开始补环境的时候，确实需要花时间。多一个手段，多一份取证的希望。