(2020.7.6)Android Xposed防护总结

最新推荐文章于 2024-02-26 23:03:29 发布
最新推荐文章于 2024-02-26 23:03:29 发布
阅读量1.2k 收藏 2
点赞数
分类专栏: Android 文章标签: android 安卓
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jaydenx/article/details/118757379
版权

(转载公司内部论坛本人文章2020.7.6)

xposed原理

Android系统中,Zygote进程在启动的过程中,会创建一个Dalvik虚拟机实例,同时将Java运行时库加载到进程中来,以及注册一些Android核心类的JNI方法到Dalvik虚拟机实例中去。
而我们知道,系统其它所有进程都是由Zygote进程孵化的。Zygote在启动新的app进程时,都会将自身的Dalvik虚拟机实例复制到该App进程里,形成该App独立的Dalvik虚拟机实例,同时还会与Zygote进程一起共享Java运行时库。所以Xposed通过替换/system/bin/app_process程序控制zygote进程,使得app_process在启动过程中会加载XposedBridge.jar这个jar包,也进而使XposedBridge.jar加载到了每一个Android app进程里。
Xposed可以实现在不修改APK源码的情况下,hook app里的任意java方法,实现方法的修改和替换。

Xposed简单使用教程

手机可以通过 Xposed Installer 安装Xposed服务,但是需要ROOT权限。如果不想ROOT手机,也可以通过安装一个自带Xposed的虚拟系统,效果也是一样的。
想要hook apk的方法,首先要知道apk内该方法的具体路径,这个涉及到 apk反编译 的过程,这里不做细说。
通过Xposed Hook方法主要运用到 XposedHelpers.findAndHookMethod() 方法,demo代码如下:

public class Hooktest implements IXposedHookLoadPackage {

    public void handleLoadPackage(XC_LoadPackage.LoadPackageParam loadPackageParam) throws Throwable {

        if (loadPackageParam.packageName.equals("想要hook apk的包名")) {

            Class clazz = loadPackageParam.classLoader.loadClass("想要hook的类名");

            XposedHelpers.findAndHookMethod(clazz, "想要hook的方法名", new XC_MethodHook() {

                protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
                    super.beforeHookedMethod(param);
                }

                protected void afterHookedMethod(MethodHookParam param) throws Throwable {
                    param.setResult("修改返回结果");
                }

            });

        }

    }

}

具体过程请查看教程

Xposed检测与防护

Xposed的防护思路:App检测系统是否安装了Xposed模块,一旦检测到,便强制退出App。
因此Xposed防护的重点在于如何检测到系统是否安装了Xposed模块。
Xposed检测可以分为Java层Native层

Java层检测

1.检测系统是否安装了Xposed Installer软件包

通过PackageManager遍历系统中App的安装情况,判断系统是否有安装Xposed Installer相关的软件包。

    public static boolean hasXposed(Context context) {
        PackageManager packageManager = context.getPackageManager();
        List<ApplicationInfo> applicationInfoList = packageManager.getInstalledApplications(PackageManager.GET_META_DATA);
        for (ApplicationInfo applicationInfo: applicationInfoList) {
            if (applicationInfo.packageName.equals("de.robv.android.xposed.installer")) {
                return true;
            }
        }
        return false;
    }
2.自抛异常,读取堆栈信息判断

如果系统安装了Xposed Installer框架,程序方法异常栈中就会出现Xposed的 de.robv.android.xposed.XposedHelpersde.robv.android.xposed.XposedBridge 相关日志。因此可以通过自抛异常并Catch来读取异常堆栈信息,检测系统是否安装了Xposed Installer

    public static boolean isXposedExistByThrow() {
        try {
            throw new Exception("gg");
        } catch (Exception e) {
            for (StackTraceElement stackTraceElement : e.getStackTrace()) {
                if (stackTraceElement.getClassName().contains("de.robv.android.xposed.XposedHelpers")) {
                    return true;
                } else if (stackTraceElement.getClassName().contains("de.robv.android.xposed.XposedBridge")){
                    return true;
                }
            }
            return false;
        }
    }
3.检查关键Java方法被变为Native JNI方法

如果App中的Java方法变成了Native JNI方法,则非常有可能被Xposed Hook了。因此,检查关键方法是不是变成Native JNI方法,也可以检测系统是否安装了Xposed Installer框架。

    public  boolean isXposedMethod() {
        try {
            Method method = getClass().getDeclaredMethod("方法名");
            return Modifier.isNative(method.getModifiers());
        } catch (NoSuchMethodException e) {
            e.printStackTrace();
        }
        return false;
    }

但是Xposed同样可以篡改isNative这个方法的返回值,让其返回false。

4.尝试反射XposedHelper类字段,判断是否ClassNotFoundException
    public static boolean isXposedExists() {
        try {
            ClassLoader.getSystemClassLoader().loadClass("de.robv.android.xposed.XposedHelpers").newInstance();
            ClassLoader.getSystemClassLoader().loadClass("de.robv.android.xposed.XposedBridge").newInstance();
        } catch (InstantiationException e) {
            e.printStackTrace();
            return true;
        } catch (IllegalAccessException e) {
            e.printStackTrace();
            return true;
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
            return false;
        }
        return true;
    }

总结: Java层检测Xposed方法有很多,但是前面我提到过,Xposed可以hook app里的任意java方法,自然也可以修改我们检测方法isXposedExists的返回值,所以理论上Java层的防护是没有太大作用。

Native层检测

无论在Java层做何种检测,Xposed都可以通过Hook相关检测方法,修改检测结果绕过检测,所以仅Java层检测是不够的。
但是前面我们提到,xposed hook方法还需要知道该方法的具体路径。因此我们把检测代码放在so库中,这样可以增加反编译拿到检测代码的位置的成本。同时由于Xposed Installer通常只能Hook Java层,这样也能避免检测方法被直接hook。

extern "C"
JNIEXPORT void
JNICALL
Java_com_tencent_signndk_Sign_sign(JNIEnv *env, jobject instance)
{

    FILE *fp = NULL;
    int BUFFER_SIZE = 1024;
    char strLine[BUFFER_SIZE];
    char* filepath = "/proc/self/maps";
    char* xp_name = "XposedBridge.jar";
    fp = fopen(filepath,"r");
    while (!feof(fp))
    {
        fgets(strLine,BUFFER_SIZE,fp);
        char* origin_str = strLine;
        char* str = trim(origin_str);
        if(strstr(str, xp_name) != NULL)
//        if (contain(str,xp_name))
        {
            jclass jcls = env->FindClass("java/lang/IllegalArgumentException");
            env->ThrowNew(jcls, "Argument cannot be null.");
            break;
        }
    }
}

其他

在安全对抗领域,攻防都是一个长期的过程。如果只是客户端的防护是不够的,就这个wifi信息泄露这个例子,我们也进行了后台层面的防护,返回wifi信息的接口做了更加严格的判断。

END。

参考:
https://tech.meituan.com/2018/02/02/android-anti-hooking.html

Jaydenx
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
android xposed 拦截 启动,FakeXposed最强屏蔽Xposed、Root检测,自定义maps、文件重定向等支持Android5~11...
weixin_32801895的博客
05-26 1611
源码分析如下public class Runtime{public Process exec(String[] cmdarray, String[] envp, File dir)throws IOException {return new ProcessBuilder(cmdarray).environment(envp).directory(dir).start();}}public fina...
Android APP常见风险及防护
技术超强的网络安全平台
09-17 1169
如果程序本身对运行时的内存没有做任何的保护措施,攻击者通过反编译对源代码进行分析,定位到可以程序外 Hook 类似操作的关键位置,完全不需要修改程序本身,当程序运行到敏感的界面 Activity 时,从程序外获取用户输入的证件号、姓名、手机号和密码等敏感的信息,并从内存中进行修改,尤其是对于涉及到支付等操作时,将严重威胁用户的财产安全。app被轻易的二次打包,很容易被攻击者添加恶意的代码或者添加广告,从而窃取登录账号密码、支付密码等,严重威胁用户隐私安全,也给公司的形象带来不利的影响。
Android专项-针对Xposed hook密码框的防护
doctorq
03-17 3535
原理TextWatcher接口为EditText控件的响应字符输入事件提供了3个方法,这三个方法分别为: public void beforeTextChanged(CharSequence s, int start, int count, int after) public void onTextChanged(CharSequence s, int start, int before, int
xposed插件加固保护方案以及对华为方舟编译器的思考
大星星的专栏
10-25 3046
目前市面上各家加固厂商在对普通App的加固上已经做得比较成熟稳定,而且强度也很高了。但是似乎没有一个针对xposed插件加固的方案,笔者在试用了几家加固后,均会导致xposed插件的崩溃,要么就是插件功能失效,又或者运行性能大大影响导致App拦截的时候巨卡。 迫于无奈,对于本身就是安全从业者的笔者来说,只能自己动手想办法来解决了,以下提供两种思路,简单的demo笔者也已跑通了,但是可能稳定性上还需...
Xposed检测
weixin_42793441的博客
07-14 4142
前段时候微信封禁了一大批使用 xposed 的微信账号,对一些运营微信的企业造成的巨大损失。下面我们聊聊 xposed检测机制。 市面上 xposed检测手段一般包含如下几种方法 XposedInstaller 检测; Java 层检测是否安装 xposed 组件; 堆栈信息检测 xposed 相关信息; 检测关键方法是否是 native 方法;(只能检测出是否 hook, 但是...
Xposed-api-82使用lib库.zip
06-08
- 定义Module类,继承自`de.robv.android.xposed.IXposedHookLoadPackage`接口。 - 在`handleLoadPackage`方法中,使用`XposedHelpers`类的hook方法来拦截目标类的方法。 - 注册Module,在`initZygote`方法中添加...
Xposed框架用到 full.xml.gz
10-18
Xposed框架是一个在Android系统上运行的模块化框架,它允许用户通过安装各种插件来修改系统的功能或应用的行为,而无需对系统进行root。在Android开发和个性化领域,Xposed框架深受高级用户和开发者喜爱。"full.xml....
Xposed full.xml.gz
07-25
Xposed框架用到的full.xml.gz,适用于模拟器
Android7.1.2,XPosed框架包
03-02
Android系统中,Xposed框架是一个非常著名的工具,它允许用户通过安装各种模块来修改系统的功能,无需对系统进行根权限操作。这个压缩包文件包含了针对Android 7.1.2版本的XPosed框架支持。 标题“Android7.1.2,...
Magisk_v24.1.apk文件用于安卓9 xposed
02-14
Magisk_v24.1.apk文件用于安卓9 xposed
修改xposed源码特征 防止检测 并刷机 xposed编译&魔改xposed
z920981023的博客
08-08 1875
环境相关 设备 sailfish 编译环境 kali 致谢 https://blog.csdn.net/qq_22656473/article/details/103455103 r0ysue 魔改 推荐vscode修改,顺手方便的很。 改XposedInstaller git clone https://github.com/rovo89/XposedInstaller.git android studio 打开,全局搜索,de.robv.android.xposed更改为de....
xposed绕过模拟器检测_移动安全防护策略之——Xposed 反调试
weixin_31089065的博客
01-05 5088
点击上方“蓝字”,发现更多精彩当下是个一个数据价值的时代,是一个万物互联的时代,数据是“21世纪的生产材料”这句话现在看一点都不夸张,不过随着时代的发展,催生了很多灰色产业,比如数据贩子、爬虫等,互联网各个行业也都有着激烈的竞争,安全技术的比拼也越发的重要,因此安全防范技术对于各个企业来讲都是未来发展的重中之重,安全防范技术成了不可或缺的重要一环。追溯移动安全的历史,在移动互联兴起的时候...
Android应用防xposed注入,android hook 框架 xposed 如何实现注入
weixin_39956036的博客
05-26 942
转:http://www.cnblogs.com/jiayy/p/4305018.html前面分析的adbi框架和libinject都是使用so注入的方式,实现将指定代码装入目标进程,这种方式有几个特点:1. 是动态的,需要目标进程已经启动2. 无法影响全局,比如注入A进程挂钩里边libc.so的open函数,此时,B进程使用的libc.so的open函数还是老函数,linux系统通过COW机制,...
android 检查xposed,[原创]利用Xposed躲过Xposed检测
weixin_36221149的博客
05-27 1932
越来越多的app对xposed进行了检测通过分析了其中部分对xposed检查的代码,希望通过xposed的方式阻止xposed检测达到通用的目的。一般检查手段有很多,楼主也没分析完,这里列举了几个和处理方式。1、通过ClassLoader的loadClass加载XposedHelper 来修改一些局部变量值,阻止hook.处理方式,通过Hook 类加载修改 加载的类名//过防止调用loa...
第六十八天 APP攻防-Xposed&Frida&Hook&证书校验&反代理&代理转发
最新发布
qq_46343633的博客
02-26 775
1、APP防代理绕过-应用&转发2、APP证书校验类型-单向&双向3、APP证书校验绕过-Frida&XP框架等。
Android安全防护/检查root/检查Xposed/反调试/应用多开/模拟器检测(持续更新1.0.5)
HAPP NEW JAVA
12-19 9496
参考地址:https://www.jianshu.com/p/c37b1bdb4757 多开软件检测 多开软件的检测方案这里提供5种,首先4种来自 《Android多开/分身检测》https://blog.darkness463.top/2018/05/04/Android-Virtual-Check/ 《Android虚拟机多开检测》https://www.jianshu.com/p/21...
Android中破解某支付软件防Xposed的hook功能检测机制过程分析
六桥风月IT随笔
09-02 4727
一、情景介绍 最近想写几个某支付软件的插件,大家现在都知道现在插件大部分都是基于Xposed的hook功能,包括之前写了很多的某社交软件的插件,所以不多说就直接用Jadx打开支付软件之后然后找到想要hook的方法,可惜的是遇到这个错误:  这个软件内部做了防止Xposed的hook功能检测,当我们写了对应了Xposed模块在打开app的时候就会出现这样的错误,其实吧这个错误网上之前有人...
Xposed检测绕过
weixin_44389363的博客
12-12 790
分享些Xposed检测绕过
android 6.0.x 系统安装xposed框架
09-06
安装Xposed框架到Android 6.0.x系统是可能的。但需要注意,安装Xposed框架可能需要ROOT权限,并且需要管理者权限来修改系统文件。 首先,确保您的Android设备已经ROOT。然后,在设备上安装一个可靠和适用于Android ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值