拿到apk，我们模拟器打开看一下

好好，抽卡模拟器是吧😀

jadx反编译看一下源码

找到生成flag的地方，大概逻辑就是

java

signatureArr = getPackageManager().getPackageInfo(getPackageName(), 64).signaturesfor (int i = 0; i < bArr2.length; i++) {allocate.put((byte) (bArr2[i] ^ byteArray[i % byteArray.length]));}
}

就是数组与获取签名信息异或，逆向是不可能逆的了，我们来看看这个界面有没有搞头

掏出drozer

发现有两个界面是可以exported的，看一下是哪两个

好好，FlagActivity直接exported是吧，直接activity页面劫持，让主页面变成FlagActivity就行

flag直接跳出来