Xposed那些事儿 — xposed框架的检测和反制
之前看到有人发了关于使用xposed屏蔽抖音检测xposed的思路(https://www.52pojie.cn/thread-684757-1-1.html),贴出了部分伪代码,
但觉抖音写的蛮有意思的,自己对这方面也不是很清楚,毕竟Android我没怎么学习。借这个机会,了解一下。写的不是很清楚,大家多多抱哈啊!~~
整理了一下文档,我发现抖音主要使用了以下的手段检测xposed。
环境: win10 x64
使用的工具:apkdb & jeb 2.2.7
1.尝试加载xposed的类,如果能加载则表示已经安装了。
XposedHelpers类中存在fieldCache methodCache constructorCache 这三个静态成员,都是hashmap类型,凡是需要被hook的且已经被找到的对象都会被缓存到这三个map里面。
我们通过便利这三个map来找到相关hook信息。
备注:方法a是检测xposed到底改了什么东西存放到a中。抖音似乎会收集相关信息并上报。
public void b()
{
try
{
Object localObject = ClassLoader.getSystemClassLoader()
.loadClass("de.robv.android.xposed.XposedHelpers").newInstance();
// 如果加载类失败 则表示当前环境没有xposed
if (localObject != null)
{
a(localObject, "fieldCache");
a(localObject, "methodCache");
a(localObject, "constructorCache");
}
return;
}
catch (Throwable localThrowable) {}
} private void a(Object arg5, String arg6) {
try {
// 从XposedHelpers中读取相关的hook信息
Field v0_1 = arg5.getClass().getDeclaredField(arg6);
v0_1.setAccessible(true);
Set v0_2 = v0_1.get(arg5).keySet();
if(v0_2 == null) {
return;
}
if(v0_2.isEmpty()) {
return;
}
Iterator v1 = v0_2.iterator();
// 排除无关紧要的类
while(v1.hasNext()) {
Object v0_3 = v1.next();
if(v0_3 == null) {
continue;
}
if(((String)v0_3).length() <= 0) {
continue;
}
if(((String)v0_3).toLowerCase().startsWith("android.support")) {
continue;
}
if(((String)v0_3).toLowerCase().startsWith("javax.")) {
continue;
}
if(((String)v0_3).toLowerCase().startsWith("android.webkit")) {
continue;
}
if(((String)v0_3).toLowerCase().startsWith("java.util")) {
continue;
}
if(((String)v0_3).toLowerCase().startsWith("android.widget")) {
continue;
}
if(((String)v0_3).toLowerCase().startsWith("sun.")) {
continue;
}
this.a.add(v0_3);
}
}
catch(Throwable v0) {
v0.printStackTrace();
}
}
2.检测xposed相关文件
检测XposedBridge.jar这个文件和de.robv.android.xposed.XposedBridge
XposedBridge.jar存放在framework里面,de.robv.android.xposed.XposedBridge是开发xposed框架使用的主要接口。
在这个方法里读取了maps这个文件,在linux内核中,这个文件存储了进程映射了的内存区域和访问权限。在这里我们可以看到这个进程加载了那些文件。
如果进程加载了xposed相关的so库或者jar则表示xposed框架已注入。
public static boolean a(String paramString)
{
try
{
Object localObject = new HashSet();
// 读取maps文件信息
BufferedReader localBufferedReader =
new BufferedReader(new FileReader("/proc/" + Process.myPid() + "/maps"));
for (;;)
{
// 遍历查询关键词
String str = localBufferedReader.readLine();
if (str == null) {
break;
}
if ((str.endsWith(".so")) || (str.endsWith(".jar"))) {
((Set)localObject).add(str.substring(str.lastIndexOf(" ") + 1));
}
}
localBufferedReader.close();
localObject = ((Set)localObject).iterator();
while (((Iterator)localObject).hasNext())
{
boolean bool = ((String)((Iterator)localObject).next()).contains(paramString);
if (bool) {
return true;
}
}
}
catch (Exception paramString) {}
return false;
}
3.检测堆栈信息
如果你的手机安装了xposed框架,那么你在查看app崩溃时候的堆栈信息,一定能在顶层找到xposed的类信息,
既然xposed想改你的信息,那么在调用栈里面肯定是有它的身影的。比如出现de.robv.android.xposed.XposedBridge这个类,方法被hook的时候调用栈里会出现de.robv.android.xposed.XposedBridge.handleHookedMethod 和de.robv.android.xposed.XposedBridge.invokeOriginalMethodNative这些xposed的方法,在dalvik.system.NativeStart.main方法后出现de.robv.android.xposed.XposedBridge.main调用
try {
throw new Exception("");
} catch (Exception localException) {
StackTraceElement[] arrayOfStackTraceElement = localException.getStackTrace();
int m = arrayOfStackTraceElement.length;
int i = 0;
int j;
// 遍历整个堆栈查询xposed相关信息 检测 ZygoteInit 是否出现了2次
for (int k = 0; i < m; k = j) {
StackTraceElement localStackTraceElement = arrayOfStackTraceElement[i];
j = k;
if (localStackTraceElement.getClassName()
.equals("com.android.internal.os.ZygoteInit")) {
k += 1;
j = k;
if (k == 2) {
return true;
}
}
if (localStackTraceElement.getClassName().equals(e)) {
return true;
}
i += 1;
}
}
return false;
} try {
throw new Exception("");
}
catch(
Exception localException) {
arrayOfStackTraceElement = localException.getStackTrace();
j = arrayOfStackTraceElement.length;
i = 0;
}
for(;;) {
boolean bool1 = bool2;
if (i < j) {
if (arrayOfStackTraceElement[i].getClassName()
.equals("de.robv.android.xposed.XposedBridge")) {
bool1 = true;
}
} else {
return bool1;
}
i += 1;
}
4.修改hook方法的查询结果
数组c包含了抖音里比较重要的及各类, this.a指的是检测出的被修改的方法,字段。他执行了两者的匹配,将结果存放到了一个JSONObject里面,里面包含了是否使用模拟器,系统的详细信息,是否是双开xpp,是否适用了xp,hook了那些方法等信息上报到https://xlog.snssdk.com/do/y?ver=0.4&ts=
private String[] c = {"android.os.Build#SERIAL",
"android.os.Build#PRODUCT",
"android.os.Build#DEVICE",
"android.os.Build#FINGERPRINT",
"android.os.Build#MODEL",
"android.os.Build#BOARD",
"android.os.Build#BRAND",
"android.os.Build.BOOTLOADER",
"android.os.Build#HARDWARE",
"android.os.SystemProperties#get(java.lang.String,java.lang.String)",
"android.os.SystemProperties#get(java.lang.String)",
"java.lang.System#getProperty(java.lang.String)",
"android.telephony.TelephonyManager#getDeviceId()",
"android.telephony.TelephonyManager#getSubscriberId()",
"android.net.wifi.WifiInfo#getMacAddress()",
"android.os.Debug#isDebuggerConnected()",
"android.app.activitymanager#isUserAMonkey()",
"com.ss."}; public ArrayList c() {
ArrayList localArrayList = new ArrayList();
Iterator localIterator = this.a.iterator();
while (localIterator.hasNext()) {
String str1 = (String) localIterator.next();
String[] arrayOfString = this.c;
int j = arrayOfString.length;
int i = 0;
while (i < j) {
if (true == str1.startsWith(arrayOfString[i])) {
String str2 = str1.replace(")#exact", ")").replace(")#bestmatch", ")").replace("#", ".");
if (str2.length() > 0) {
localArrayList.add(str2);
}
}
i += 1;
}
}
return localArrayList;
}
5.检测方法是否被篡改
Modifier.isNative方法判断是否是native修饰的方法,xposedhook方法的时候,会把方法转位native方法,我们检测native方法中不该为native的方法来达到检测的目的,比如getDeviceId,getMacAddress这些方法如果是native则表示已经被篡改了。
public static boolean a(String paramString1, String paramString2, Class... paramVarArgs)
{
try
{
// 判断方法是不是用native修饰的
boolean bool = Modifier.isNative(Class.forName(paramString1)
.getDeclaredMethod(paramString2, paramVarArgs).getModifiers());
if (bool) {
return true;
}
}
catch (Exception paramString1)
{
paramString1.printStackTrace();
}
return false;
}
6.检测包名
这个是最简单也是最不靠谱的方法,因为只要禁止app读取应用列表就没办法了。
if (((ApplicationInfo)localObject).packageName.equals("de.robv.android.xposed.installer"))
{
Log.wtf("HookDetection", "Xposed found on the system.");
}
}
反制xposed
1.通过反射重写xposed设置,直接禁用
这个方法是酷安里中抄来的。重写application,在onCreate中写入
try {
Field v0_1 = ClassLoader.getSystemClassLoader()
.loadClass("de.robv.android.xposed.XposedBridge")
.getDeclaredField("disableHooks");
v0_1.setAccessible(true);
v0_1.set(null, Boolean.valueOf(true));
}
catch(Throwable v0) {
}
未完待续。。。
Xposed那些事儿 — xposed框架的检测和反制的更多相关文章
- Tensorflow实现Mask R-CNN实例分割通用框架,检测,分割和特征点定位一次搞定(多图)
Mask R-CNN实例分割通用框架,检测,分割和特征点定位一次搞定(多图) 导语:Mask R-CNN是Faster R-CNN的扩展形式,能够有效地检测图像中的目标,同时还能为每个实例生成一个 ...
- [Xcode 实际操作]七、文件与数据-(20)CoreML机器学习框架:检测和识别图片中的物体
目录:[Swift]Xcode实际操作 本文将演示机器学习框架的使用,实现对图片中物体的检测和识别. 首先访问苹果开发者网站关于机器学习的网址: https://developer.apple.com ...
- 2 _ 基本框架 _ 检测VMX环境
VT 是先开为大,谁先开谁上层,谁上层 谁权限大. 1 判断是否支持 VMX intel 白皮书 第3卷 传入 参数eax =1, 返回值 ecx 的第5位 = 1 则 surpported VMX. ...
- NancyFx框架之检测任务管理器
先建一个空的项目和之前的NancyFx系列一样的步骤 然后建三个文件夹Models,Module,Views 然后分别安装一下组件 jQuery Microsoft.AspNet.SignalR Mi ...
- Xposed 框架 hook 简介 原理 案例 MD
Markdown版本笔记 我的GitHub首页 我的博客 我的微信 我的邮箱 MyAndroidBlogs baiqiantao baiqiantao bqt20094 baiqiantao@sina ...
- android hook 框架 xposed 如何实现挂钩
Android so注入-libinject2 简介.编译.运行 Android so注入-libinject2 如何实现so注入 Android so注入-Libinject 如何实现so注入 A ...
- 小米5安装Xposed框架——需要解锁刷机
Xposed官网 https://forum.xda-developers.com/xposed 官方模块厂库 https://repo.xposed.info/ 中文站点 https://xpose ...
- 小米4 miui专用 Xposed安装器86版
转载自 http://www.52pojie.cn/thread-516435-1-1.html 写在前面:各位用xp受到不同限制,有些机型还找不到框架包,又要刷第三方rec又要谨慎选择框架版本.官方 ...
- Android Hook神器:XPosed入门与登陆劫持演示
前段时间写了一篇关于Cydia Substrate广告注入的文章,大家都直呼过瘾.但是,真正了解这一方面的同学应该知道,其实还有一个比Cydia Substrate更出名的工具:XPosed. 不是因 ...
随机推荐
- java解析注解的简单例子
代码是根据慕课网的教程写的. 自定义类的注解: package com.immoc.test; import java.lang.annotation.Documented; import java. ...
- Python3爬虫----爬取网页内的图片
无聊把公司内网爬了一遍. https://github.com/gig886/Python/tree/master/爬虫
- linux route命令的使用详解(转)
route命令用于显示和操作IP路由表.要实现两个不同的子网之间的通信,需要一台连接两个网络的路由器,或者同时位于两个网络的网关来实现.在Linux系统中,设置路由通常是 为了解决以下问题:该Linu ...
- Arduino 控制超声波测距模块
一.实物图 二.例子代码 用到数字2 和3 引脚,还有两个就是vcc GND两个阴脚,用模块连线比较简单
- AOP注解形式 整合memcache
1.首先自定义注解 :添加缓存 @Target(ElementType.METHOD)@Retention(RetentionPolicy.RUNTIME)@Documented@Inheritedp ...
- SqlLite提高批量插入速度的方法及原因分析
(1)-SQLite忽略大小写查询大部分数据库在进行字符串比较时,对大小写是不敏感的.但是SQLite却是大小写敏感的.如果想让SQLite忽略大小写,方法如下:方法一:使用大小写转换函数LOWER. ...
- wafII笔记
wafII笔记: 组件的使用方法: 组件属性: 属性的设置和获取通过option方法来完成 waf("#id").wafProm ...
- 51nod1126 求递推序列的第N项【递推】
有一个序列是这样定义的:f(1) = 1, f(2) = 1, f(n) = (A * f(n - 1) + B * f(n - 2)) mod 7. 给出A,B和N,求f(n)的值. Input 输 ...
- 【Codeforces 639B】Bear and Forgotten Tree 3
[链接] 我是链接,点我呀:) [题意] [题解] 首先,因为高度是h 所以肯定1下面有连续的h个点依次连成一条链.->用了h+1个点了 然后,考虑d这个约束. 会发现,形成d的这个路径,它一定 ...
- Spring MVC学习总结(4)——SpringMVC权限管理
1.DispatcherServlet SpringMVC具有统一的入口DispatcherServlet,所有的请求都通过DispatcherServlet. DispatcherServl ...