Xposed那些事儿 — xposed框架的检测和反制

最新推荐文章于 2021-09-14 16:56:16 发布
最新推荐文章于 2021-09-14 16:56:16 发布
阅读量1.1k 收藏
点赞数
文章标签: 移动开发
原文链接:http://www.cnblogs.com/coffee520/p/9639488.html
版权

之前看到有人发了关于使用xposed屏蔽抖音检测xposed的思路(https://www.52pojie.cn/thread-684757-1-1.html),贴出了部分伪代码,
但觉抖音写的蛮有意思的,自己对这方面也不是很清楚,毕竟Android我没怎么学习。借这个机会,了解一下。写的不是很清楚,大家多多抱哈啊!~~
整理了一下文档,我发现抖音主要使用了以下的手段检测xposed。

环境:      win10 x64
使用的工具:apkdb & jeb 2.2.7
1.尝试加载xposed的类,如果能加载则表示已经安装了。

XposedHelpers类中存在fieldCache methodCache constructorCache 这三个静态成员,都是hashmap类型,凡是需要被hook的且已经被找到的对象都会被缓存到这三个map里面。
我们通过便利这三个map来找到相关hook信息。
备注:方法a是检测xposed到底改了什么东西存放到a中。抖音似乎会收集相关信息并上报。

    public void b() { try { Object localObject = ClassLoader.getSystemClassLoader() .loadClass("de.robv.android.xposed.XposedHelpers").newInstance(); // 如果加载类失败 则表示当前环境没有xposed  if (localObject != null) { a(localObject, "fieldCache"); a(localObject, "methodCache"); a(localObject, "constructorCache"); } return; } catch (Throwable localThrowable) {} } private void a(Object arg5, String arg6) { try { // 从XposedHelpers中读取相关的hook信息 Field v0_1 = arg5.getClass().getDeclaredField(arg6); v0_1.setAccessible(true); Set v0_2 = v0_1.get(arg5).keySet(); if(v0_2 == null) { return; } if(v0_2.isEmpty()) { return; } Iterator v1 = v0_2.iterator(); // 排除无关紧要的类 while(v1.hasNext()) { Object v0_3 = v1.next(); if(v0_3 == null) { continue; } if(((String)v0_3).length() <= 0) { continue; } if(((String)v0_3).toLowerCase().startsWith("android.support")) { continue; }

转载于:https://www.cnblogs.com/coffee520/p/9639488.html

dfa7886
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
android xposed 拦截 启动,FakeXposed最强屏蔽Xposed、Root检测,自定义maps、文件重定向等支持Android5~11...
weixin_32801895的博客
05-26 1588
源码分析如下public class Runtime{public Process exec(String[] cmdarray, String[] envp, File dir)throws IOException {return new ProcessBuilder(cmdarray).environment(envp).directory(dir).start();}}public fina...
JNI 获取系统类加载器处理反制Xposed框架
Kawa103的博客
12-11 1588
 在网上找了很久没有找到 jni 相应的代码,基本都是java的 下面是全部代码: /** * 检测xposed * checkXposed */ bool checkXposed(JNIEnv *env) { //找到ClassLoader类 jclass classloaderClass = env-&gt;FindClass("java/lang/ClassLoa...
xposed检测方法
Tesi1a的充电桩
03-18 5897
1.尝试加载xposed的类,如果能加载则表示已经安装了。 XposedHelpers类中存在fieldCache methodCache constructorCache 这三个静态成员,都是hashmap类型,凡是需要被hook的且已经被找到的对象都会被缓存到这三个map里面。 我们通过便利这三个map来找到相关hook信息。 备注:方法a是检测xposed到底改了什么东西存放到a中。抖音似乎...
Android xposed权限检测
weixin_42345592的博客
09-14 2000
前言 由于开发的公司的APP上线华为市场被拒绝,APP以隐私政策弹窗前,非法收集用户信息,mac地址。 排查过程 通过抓包我们确认没用在弹出隐私条款前,发送类似的接口上报敏感信息,后和工信部电话沟通确认是只要你有调用getMacAddress此方法,就认定为非法的,即使你没有上报。所以就想怎么抓取那些sdk调用了getMacAddress 确定方案 使用VirtualXposed在手机上装了一下虚拟系统。 :https://github.com/android-hacker/VirtualXposed Ho
检测是否root,是否xposed,是否模拟器,禁用xposed
caoyongsheng的博客
07-07 1147
//这里其实没什么用,目前在测试 String myMac = PhoneUUID.getAdresseMAC(this); L.d("MacID:" + myMac); //检测是否root,是否xposed,是否模拟器,禁用xposed // EasyProtectorLib.checkXposedExistAndDisableIt() //是否root boolean ...
最新神盾xposed框架-里面有64位和32位的
05-04
"神盾"可能是指该版本Xposed框架的一个特色或增强版,可能具有更高的安全性和稳定性。 描述中提到的“64位和32位”,这表明这个框架兼容两种不同的Android处理器架构:ARMv8(64位)和ARMv7(32位)。这非常重要,...
XPosed框架,原XPosed派大星,目前可用的XP框架
02-04
Xposed框架是一种基于模块的系统,这意味着用户可以选择安装不同的模块来实现不同的功能和修改。总的来说,Xposed鸭是一个非常有用的工具,它可以帮助Android用户实现各种自定义和修改,而无需进行复杂的ROM修改。它...
Xposed框架的安装包和卸载包的默认下载路径以及网站下载地址
03-13
Xposed框架的安装包和卸载包的默认下载路径:/sdcard/Android/data/de.robv.android.xposed.installer/cache/downloads/framework ZIP直接下载放入此文件夹 然后打开xposed installer,点击右上角的三个点,最下面的一...
安装xposed框架所需的zip文件
04-23
当安装好xposed框架后,还需要安装.zip包对其进行激活。然而由于网络环境问题,xposed框架软件总是无法成功从网站上下载相应的.zip包。在这里,整理了sdk21-sdk25(android5.0-android7.1)相对应的.zip包。 安装...
xposed安装包和xposed框架各个版本的安装包
最新发布
07-26
xposed安装包和xposed框架各个版本的安装包
检测app.any.run沙箱运行环境
Sven的忘却日记
08-05 1347
检测app.any.run沙箱环境,先写了个遍历进程的demo传上去,看看进程列表有什么沙箱特有的进程。 发现个进程很奇怪,路径是:c:\windows\system32\host.exe ,竟然没有随机名 正常的系统下是没有这个文件的,所以就拿这个来做了,效果图 检测代码: #include "stdafx.h" #include <windows.h> #include <string> #include <fstream> #include <iostre
企业反调试分析及hook检测分析
u011337769的博客
01-26 420
一年前分析的帖子,懒得又搬运一次了,给出freebuf链接https://www.freebuf.com/articles/system/160656.html
Xposed 框架检测机制
Codeooo 博客
08-16 1万+
一、Xposed 框架实现 Hook 的原理介绍 Zygote是Android的核心,每运行一个app,Zygote就会fork一个虚拟机实例来运行app, Xposed Framework深入到了Android核心机制中,通过改造Zygote来实现一些很牛逼的 功能。Zygote的启动配置在init.rc 脚 本 中,由系统启动的时候开启此进程,对应的 执行文件是/system/bin/app_process,这个文件完成类库加载及一些函数调用的工作。 当系统中安装了Xposed Framewo
Android逆向之旅---破解某支付软件防Xposed框架Hook功能检测机制
编码美丽
05-15 8664
&#13; &#13; &#13; &#13; &#13; &#13; &#13; 一、情景介绍最近想写几个某支付软件的插件,大家现在都知道现在插件大部分都是基于Xposed的hook...
xposed绕过模拟器检测_利用Xposed躲过Xposed检测
weixin_39628405的博客
01-14 7276
越来越多的app对xposed进行了检测通过分析了其中部分对xposed检查的代码,希望通过xposed的方式阻止xposed检测达到通用的目的。一般检查手段有很多,楼主也没分析完,这里列举了几个和处理方式。1、通过 ClassLoader 的 loadClass 加载XposedHelper 来修改一些局部变量值,阻止hook.处理方式,通过Hook 类加载修改 加载的类名// 过防止调用loa...
xposed绕过模拟器检测_反xposed检测下载|国外xposed检测工具(project cerberus)下载v1.4.3 安卓版_ 2265安卓网...
weixin_35251837的博客
01-14 1万+
国外xposed检测工具是一款能隐藏xposed框架的辅助工具,它能绕过apk的签名验证,绕过手机系统的某些限制,成功修改apk的框架服务,也可以多模拟位置,root系统进行隐藏,提供伪造信息,对你的手机进行很多个性化设置,感兴趣的朋友赶快来2265安卓网下载吧!防止app检测xposed框架介绍xposed框架可以在不修改apk的情况下影响程序运行(修改系统)的框架服务,基于它可以制作出许多功...
android 检查xposed,[原创]利用Xposed躲过Xposed检测
weixin_36221149的博客
05-27 1884
越来越多的app对xposed进行了检测通过分析了其中部分对xposed检查的代码,希望通过xposed的方式阻止xposed检测达到通用的目的。一般检查手段有很多,楼主也没分析完,这里列举了几个和处理方式。1、通过ClassLoader的loadClass加载XposedHelper 来修改一些局部变量值,阻止hook.处理方式,通过Hook 类加载修改 加载的类名//过防止调用loa...
过支付宝反Xposed登录检测
热门推荐
Pansy的博客
03-25 1万+
在我hook支付宝目前的最新版10.1.58版本时,发现支付宝有反Xposed检测机制,如果安装了Xposed则无法登录,提示“你的操作频率过快,请稍后再试” 连登录都不让登录,这也太狠了趴。不过没事,我们可以把它的检测给hook掉。 1.手机连接电脑,打开Android Device Monitor ,可以看到手机正在运行的进程,选中支付宝的进程,点击Start Method Profilin...
xposed框架绕过模拟器检测
05-23
Xposed框架是一款可以在Android系统中实现hook(钩子)功能的工具,可以修改其他应用程序的行为。由于它的功能强大,很多应用程序都会检测是否存在Xposed框架,并在检测到时禁止运行。如果您需要在模拟器中使用Xposed框架,可以尝试以下方法进行绕过模拟器检测: 1. 修改设备属性 在模拟器中修改设备属性,使其看起来像是真实设备,从而欺骗应用程序的检测机制。具体来说,可以修改设备的品牌、型号、IMEI、Android版本号等信息。 2. 使用Magisk框架 Magisk框架是一款可以绕过系统完整性检测的工具,可以用于在模拟器中使用Xposed框架。具体方法是在模拟器中安装Magisk框架,然后使用Magisk模块来安装Xposed框架。 3. 使用其他模拟器 一些模拟器已经支持Xposed框架,例如LDPlayer、夜神模拟器等。您可以尝试使用这些模拟器来运行应用程序,避免被检测Xposed框架。 需要注意的是,绕过模拟器检测是一种不道德的行为,可能会违反应用程序的使用规定。请谨慎使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值