常见威胁检测方法

已于 2023-09-22 16:15:17 修改
阅读量45 收藏
点赞数
分类专栏: 移动安全 文章标签: android
于 2023-09-22 15:45:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/akkk123456/article/details/132893427
版权

防root

“which”, "su"检测su命令

检测常用目录路径

/system/bin/su
/system/xbin/su
/sbin/su
/system/su
/system/bin/.ext/.su
/system/usr/we-need-root/su-backup
/system/xbin/mu
magisk

检查文件

Superuser
Busybox
.tmpsu
Titanium
busybox
chainfire
daemonsu
greenify
noshufou
rootcloak
substrate
supersu
superuser
titanium
xposed
(以上应用版本不同,可能对应名称不用,推荐使用grep匹配部分关键词如super等)

判断SELinux是否开启,ro.build.selinux"

检测ro.debuggable和ro.secure值

检查特定路径是否有写权限,

/system
            /system/bin
            /system/sbin
            /system/xbin
            /vendor/bin

检测test-keys,开发人员常用
具体可以看:https://www.52pojie.cn/thread-1763111-1-1.html

防调试

通过轮询/proc/app_pid/status文件,读取TracerPid的字段值,可以判断App当前是否被调试跟踪。

常见frida检测
1.检测frida-server文件名 2.检测27042默认端口 3.检测D-Bus 4.检测/proc/pid/maps映射文件 5.检测/proc/pid/tast/tid/stat或/proc/pid/tast/tid/status 6.双进程保护

模拟器识别

模拟器一般的CPU架构是 Intel 或 x86

手机CPU架构是x86的,根据厂商特征,蓝叠模拟器的Wifi名字可能就叫BlueStacks,雷电模拟器进程中含有com.android.emu.coreservice,Redfinger、CloudPhone 可能是红手指云手机、华为云手机

调试

android:exported设置为true

完整性校验

基于MANIFEST.MF文件的安全机制对App包进行完整性校验检测

xposed
包名"de.robv.android.xposed.installer"
类名de.robv.android.xposed.Xposedielpers
de.robv.android.xposed.Xposedbridge
XposedBridge.jar
签名校验

签名前后的变化

文件校验

二次打包前后apk关键文件hash值比较,判断是否被修改

wifi代理

判断网络状态是否是vpn状态

是酷酷呀
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
浅谈WAF市场中常见检测技术
10-19
启明星辰,WAF,Web应用防火墙,算法,Web服务器,随着电子商务、网上银行、电子政务的盛行,Web服务器承载的业务价值越来越高,Web服务器所面临的安全威胁也随之增大,因此,针对Web应用层的防
内部威胁检测的多域信息融合.pptx
06-16
恶意内部人员对信息安全构成重大威胁,但检测恶意内部人员的能力非常有限。众所周知,内部威胁检测是一个难题,存在许多研究挑战。在本文中,报告了我们从大量工作实践数据中检测恶意内部人员的成果。我们提出了检测两种类型的内部活动的新方法:(1)混合异常,恶意内部人员尝试表现得与他们不属于的人群类似。(2)异常变化异常,恶意内部人员表现出行为变化与同类人的行为变化不同。我们的第一个贡献集中在检测混入的恶意内部人员。我们通过检查各种活动领域,并检测这些领域的行为不一致性,提出了一种新方法。我们的第二个贡献是用于检测具有异常行为变化的内部人员的方法。该提出的方法的关键优势在于它避免标记可能被传统的时间异常检测机制错误地检测到的常见变化。我们的第三个贡献是结合来自多个信息来源的异常指标的方法
信息安全_构建全流量入侵检测平台.pptx
08-14
近年来,网络安全的国际形势日益严峻,不断增长的安全威胁给企业和个人都带来巨大的挑战。企业面临越来越多的安全挑战,如何能在攻防对抗中占主动地位? 传统的IDS系统做一个形象的比喻,假如防火墙是一幢大楼的门锁的话,那么IDS就是这幢大楼里的监视系统。然而面临愈发严峻的网络安全态势,IDS系统的缺陷日益显露: 1、基于规则检测,可检测攻击类型有限 2、关注检测过程,不关注结果,误报率高 3、没有保留全部原始流量数据,不便于事后追溯 4、扩展性不高 因此,引入全流量入侵检测技术架构就很有必要了。我们会通过镜像端口获取Nginx后端进出的Http流量,结合Bro抓包进行规则匹配检测和异常流量分析。常见的如SQL注入、暴力破解、撞库攻击、CC攻击等攻击手段,都可以通过异常分析引擎进行检测。 目录 安全威胁感知体系建设 全流量入侵检测平台 安全收益和平台扩展
一种使用深度包检测和深度流检测的鱼叉式网络钓鱼检测方法-研究论文
05-19
在互联网银行时代,大多数人可能会听到“网络钓鱼”一词,它与互联网欺诈以及社会工程有关。 通常,这是通过向目标用户发送带有嵌入式超链接的电子邮件来窃取其用户名,密码,交易密码等来完成的。此外,网络钓鱼者通常会获得目标用户的个人凭据访问权,以便从用户的账户中窃取现金。银行账户。 网络钓鱼可以通过其他几种方式来完成,例如发送文本消息(对于SMS网络钓鱼称为“ Smishing”),通过电话(对于语音网络钓鱼通常称为“ Vishing”)或有时通过社交媒体本身(包括发送电子邮件) -发送给用户或组织。 网络钓鱼在使用的媒介以及受害者方面有几种类型。 鱼叉式网络钓鱼是一种常见的网络钓鱼方法,属于“高级持久威胁(APT)”类别。 “网络钓鱼诈骗”一词的主要定义是通过发送电子邮件来一次窃取特定用户或特定公司的凭据。 本文介绍了Spear网络钓鱼电子邮件,这些电子邮件主要是组织,公司以及大多数时候老百姓通过Phishers获得的电子邮件。 本文提出了一种利用数据包过滤和网络流量识别技术,借助深度包检测和深度流检测检测鱼叉式网络钓鱼电子邮件的方法
威胁检测和响应:如何领先于高级威胁
dylanOO1的博客
11-27 1476
威胁检测是网络安全团队的第一要务。 如果您甚至在网络中都没有看到坏人,您将无法做出适当的响应。 但是,由于潜在的威胁和对手如此之多,部署适当的威胁检测似乎是一项艰巨的任务。 大量的营销流行语和网络艺术术语,甚至更难制定清晰的策略。 分解威胁检测和对最基本元素的响应可以使情况更加清晰。 在这篇文章中,您将学习: 什么是威胁检测? 攻击者是什么? 威胁的例子有哪些? 如何检测威胁 如何捕捉威胁 如何应...
常见网络安全威胁及防范
XMWS-IT
08-18 2479
思维导图)企业存在来自内部和外部的安全威胁,企业网络的安全威胁来源大致可以分为以下几部分:外部威胁:来自企业网络外部的安全威胁,如DDoS攻击,病毒、木马、蠕虫等网络入侵,网络扫描,垃圾邮件,钓鱼邮件,针对Web服务器的攻击等;内部威胁:网络结构不可靠,网络未隔离,终端存在漏洞,员工行为不受控,信息安全违规操作,信息泄露,恶意员工,权限管理混乱,非法接入等。.........
Webshell的常见检测方法与靠谱工具推荐
王教主的博客
06-11 2525
Webshell简介 安全人员所说的Webshell的web指的是在web服务器,而shell是用脚本语言编写的脚本程序,Webshell通常是一个可执行的脚本文件。攻击者在入侵时,通常要通过各种方式取得webshell,从而获得网站的控制权,然后进行之后的进一步入侵行为。 Webshell常见的获取手法包括:直接上传webshell、SQL注入上传、远程文件包含(RFI)、FTP、通过后台提供的数据恢复等功能、数据库压缩等。 Webshell的通用功能包括但不限于shell命令执行、代码执行、数据库枚举和
硬件木马检测方法概述
LowType
10-29 2171
硬件木马通常包括两个基本结构,即触发逻辑和有效载荷,如下图所示。触发逻辑的功能是监听预设的触发信号,在接收到指定信号或满足特殊条件时激活植入的有效载荷,触发信号多种多样,如组合逻辑、数字逻辑等数字信号,温度、电压等模拟信号;常见的触发逻辑结构有简单组合逻辑触发、伪随机数生成器、时序性结构及状态机等。有效载荷是用来实现硬件木马功能的主体电路,当触发逻辑满足条件时,有效载荷部分使能,并按照木马设计者设定的方向运转,实现原本电路所不具备的恶意功能,如信息泄露、参数修改、功能改变等。
常见的网络威胁类型
m0_67776192的博客
05-11 2118
​当前互联网中的网络威胁主要有以下 6 种: 恶意软件 恶意软件是一个广义术语,包括损害或破坏计算机的任何文件或程序。例如:勒索软件、僵尸网络软件、间谍软件、木马、病毒和蠕虫等,它们会为黑客提供未经授权的访问对计算机造成损坏。比较常见的恶意软件攻击方式是恶意软件将自己伪装成合法文件,从而绕过检测。 分布式拒绝服务(DDoS)攻击 DDoS 攻击是通过大规模互联网流量淹没目标服务器或其周边基础设施,从而破坏目标服务器、服务或网络正常流量的恶意行为。它利用多台受损计算机系统作为攻击流量来源以达到攻击效果
常见威胁建模框架分析与比较
qq_35388992的博客
06-11 4068
威胁建模的方法最初是为了帮助开发更多的安全的操作系统,但已经开发的大量威胁建模方法,有些只关注软件发展,有些仅涵盖业务或组织的风险和威胁,另有一些可能是技术性的,不同的威胁模型都在基于不同的目的而开发和使用的。美国国土安全部(DHS)的下一代网络基础设施(NGCI)Apex计划将使用威胁建模和网络攻防演练的方式来为风险指标的开发、技术的评估和探寻,以及为如何降低风险提供信息。DHS评估了现有的框架无法满足其NGCI Apex计划的需求,促使其开发一个威胁建模框架。 ...
论文研究-基于自适应学习神经网络的DDoS攻击检测方法 .pdf
08-17
基于自适应学习神经网络的DDoS攻击检测方法,谭淼,武斌,分布式拒绝服务攻击(DDoS)是如今常见的网络威胁之一,DDoS攻击难以检测和防范。现如今,已经有一些针对DDoS攻击的检测方法,但是由
基于结构化网络安全数据流的无监督内部威胁检测方法(Deep Learning for Unsupervised Insider Threat Detection in Structured Cybe)
一智哇的博客
04-11 4413
Deep Learning for Unsupervised Insider Threat Detection in Structured Cybersecurity Data Streams 基于结构化网络安全数据流的无监督内部威胁检测方法 摘要:分析组织的计算机网络活动是早期发现和减轻内部威胁的关键组成部分,我们提出了一种在线无监督深度学习方法,从系统日志中实时检测异常网络活动。我们的模型将异常分数分解为个人用户行为特征的贡献,增加了可解释性,以帮助分析人员审查潜在的内部威胁案例。使用CERT内部威胁
网络安全之认识托管威胁检测与响应(MDR)
学而思(xiejava的blog)
11-12 1923
随着数字化转型加速,企业的IT环境日益复杂,面临的网络安全威胁也在不断增加。传统的防御措施已经无法有效应对新型威胁,而且很多企业缺乏专业的网络安全团队和技术手段,导致大量的安全事件未能及时被发现和处理。 在这种背景下,托管威胁检测响应服务(MDR)应运而生。MDR能够利用现代安全运营中心的技术和专业人员,为客户提供全天候的安全监测和快速响应,从而缩短威胁发现和响应之间的窗口期,降低风险并减轻安全运营压力。
入侵检测系统建设及常见入侵手法应对
网络安全领域优质创作者
04-06 3676
​提示:正文共6400字,预计阅读需要17分钟 入侵检测 入侵检测是帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测是系统保护的最后一道安全闸门,在不影响网络和主机性能的情况下进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。 入侵行为的影响程度取决于对信息安全CIA三元组的破坏程度、商业压力及监管压力
安卓部署ffmpeg全平台so并实现命令行调用
codeofcc的博客
05-17 1063
前面的章节实现了ffmpeg全平台so的生成,接下来的步骤就是部署以及使用了,部署so还是比较简单的,用gradle和cmake都可以部署,部署好了就可以直接使用了,如果需要c++进行封装一层,则需要链接,对cmake熟悉的话链接也是比较简单的。以上就是今天讲述的内容,ffmpeg的so部署还是比较容易的,但是命令行的调用会麻烦一些,尤其是要解决ffmpeg退出问题,在c++中比较好解决,java理论上也比较好实现,如果在dart中则会比较麻烦,因为dart的方法通常不能跨线程调用,多线程的情况会出问题。
Android正向开发实现客户端证书认证
dafan0的博客
05-18 353
如果第三方模块被混淆,那hook方式均不能生效。这时就需要根据系统包去定位校验的函数,因此需要对安卓开发者是如何实现客户端证书校验的有一定了解,接下来就介绍这部分内容。开发者实现客户端证书校验的本质是:证书/密钥 + 代码。在形式上有:公钥校验、证书校验和Host(主机)校验。
Android 11 触摸小圆点显示流程
最新发布
littleyards的博客
05-21 320
当SHOW_TOUCHES 这个key的值有改变时,调用updateShowTouchesFromSettings方法,在updateShowTouchesFromSettings方法中,是调用nativeSetShowTouches这个native方法,直接来看下这个方法。小圆点的图片资源已经被加载,并将其保存在相应的变量中了,接下来就需要将其显示出来了。在开发者选项中,打开 “显示点按操作反馈” 开关,当我们在触摸屏幕时,会显示一个小圆点,来分析下小圆点的显示流程。
安卓手机APP开发__支持64位的架构
红孩儿编程大师
05-15 630
在谷歌的应用中发布的APP需要支持64位的架构。添加上你的APP的64位的版本, 提供了性能上的提升,并且能够运行在仅支持64位的硬件上。
web常见漏洞、检测方法
08-23
针对这些常见漏洞,可以使用以下方法进行检测: 1. 漏洞扫描器:使用专门的扫描工具,对Web应用程序进行全面扫描,检测漏洞并给出相应的建议。 2. 安全审计:通过对应用程序代码和配置进行详细审查,识别潜在的漏洞...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

是酷酷呀

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值