Android anti-hook技术

最新推荐文章于 2024-05-14 09:57:11 发布
最新推荐文章于 2024-05-14 09:57:11 发布
阅读量1k 收藏
点赞数
分类专栏: Android

原文出处:http://d3adend.org/blog/?p=589


Stab 1: 检查是否安装hook框架,例如xposed或Substrate

PackageManager packageManager = context.getPackageManager();
List applicationInfoList  = packageManager.getInstalledApplications(PackageManager.GET_META_DATA);
		
for(ApplicationInfo applicationInfo : applicationInfoList) {
	if(applicationInfo.packageName.equals("de.robv.android.xposed.installer")) {
		Log.wtf("HookDetection", "Xposed found on the system.");
	}
	if(applicationInfo.packageName.equals("com.saurik.substrate")) {
		Log.wtf("HookDetection", "Substrate found on the system.");
	}
}

Stab 2: 检查调用栈

在方法中打印调用栈,看看有没插入可疑方法,


例如原来的调用栈为:

com.example.hookdetection.DoStuff->getSecret
com.example.hookdetection.MainActivity->onCreate
android.app.Activity->performCreate
android.app.Instrumentation->callActivityOnCreate
android.app.ActivityThread->performLaunchActivity
android.app.ActivityThread->handleLaunchActivity
android.app.ActivityThread->access$800
android.app.ActivityThread$H->handleMessage
android.os.Handler->dispatchMessage
android.os.Looper->loop
android.app.ActivityThread->main
java.lang.reflect.Method->invokeNative
java.lang.reflect.Method->invoke
com.android.internal.os.ZygoteInit$MethodAndArgsCaller->run
com.android.internal.os.ZygoteInit->main
dalvik.system.NativeStart->main
xposed hook后: 

com.example.hookdetection.DoStuff->getSecret
de.robv.android.xposed.XposedBridge->invokeOriginalMethodNative
de.robv.android.xposed.XposedBridge->handleHookedMethod
com.example.hookdetection.DoStuff->getSecret
com.example.hookdetection.MainActivity->onCreate
android.app.Activity->performCreate
android.app.Instrumentation->callActivityOnCreate
android.app.ActivityThread->performLaunchActivity
android.app.ActivityThread->handleLaunchActivity
android.app.ActivityThread->access$800
android.app.ActivityThread$H->handleMessage
android.os.Handler->dispatchMessage
android.os.Looper->loop
android.app.ActivityThread->main
java.lang.reflect.Method->invokeNative
java.lang.reflect.Method->invoke
com.android.internal.os.ZygoteInit$MethodAndArgsCaller->run
com.android.internal.os.ZygoteInit->main
de.robv.android.xposed.XposedBridge->main
dalvik.system.NativeStart->main
Substratehook后: 

com.example.hookdetection.DoStuff->getSecret
com.saurik.substrate._MS$MethodPointer->invoke
com.saurik.substrate.MS$MethodPointer->invoke
com.cigital.freak.Freak$1$1->invoked
com.saurik.substrate.MS$2->invoked
com.example.hookdetection.DoStuff->getSecret
com.example.hookdetection.MainActivity->onCreate
android.app.Activity->performCreate
android.app.Instrumentation->callActivityOnCreate
android.app.ActivityThread->performLaunchActivity
android.app.ActivityThread->handleLaunchActivity
android.app.ActivityThread->access$800
android.app.ActivityThread$H->handleMessage
android.os.Handler->dispatchMessage
android.os.Looper->loop
android.app.ActivityThread->main
java.lang.reflect.Method->invokeNative
java.lang.reflect.Method->invoke
com.android.internal.os.ZygoteInit$MethodAndArgsCaller->run
com.android.internal.os.ZygoteInit->main
com.android.internal.os.ZygoteInit->main
dalvik.system.NativeStart->main
检测代码: 

try {
	throw new Exception("blah");
}
catch(Exception e) {
	int zygoteInitCallCount = 0;
	for(StackTraceElement stackTraceElement : e.getStackTrace()) {
		if(stackTraceElement.getClassName().equals("com.android.internal.os.ZygoteInit")) {
			zygoteInitCallCount++;
			if(zygoteInitCallCount == 2) {
				Log.wtf("HookDetection", "Substrate is active on the device.");
			}
		}
		if(stackTraceElement.getClassName().equals("com.saurik.substrate.MS$2") && 
				stackTraceElement.getMethodName().equals("invoked")) {
			Log.wtf("HookDetection", "A method on the stack trace has been hooked using Substrate.");
		}
		if(stackTraceElement.getClassName().equals("de.robv.android.xposed.XposedBridge") && 
				stackTraceElement.getMethodName().equals("main")) {
			Log.wtf("HookDetection", "Xposed is active on the device.");
		}
		if(stackTraceElement.getClassName().equals("de.robv.android.xposed.XposedBridge") && 
				stackTraceElement.getMethodName().equals("handleHookedMethod")) {
			Log.wtf("HookDetection", "A method on the stack trace has been hooked using Xposed.");
		}

	}
}



Stab 3:检查你的方法是否变成native

xposed会将要hook的方法本地化,再添加hook的方法,具体实现见 XposedBridge_hookMethodNativeSubstrate的原理和它差不多。

for (ApplicationInfo applicationInfo : applicationInfoList) {
	if (applicationInfo.processName.equals("com.example.hookdetection")) {		
		Set classes = new HashSet();
		DexFile dex;
		try {
			dex = new DexFile(applicationInfo.sourceDir);
			Enumeration entries = dex.entries();
			while(entries.hasMoreElements()) {
				String entry = entries.nextElement();
				classes.add(entry);
			}
			dex.close();
		} 
		catch (IOException e) {
			Log.e("HookDetection", e.toString());
		}
		for(String className : classes) {
			if(className.startsWith("com.example.hookdetection")) {
				try {
					Class clazz = HookDetection.class.forName(className);
					for(Method method : clazz.getDeclaredMethods()) {
						if(Modifier.isNative(method.getModifiers())){
							Log.wtf("HookDetection", "Native function found (could be hooked by Substrate or Xposed): " + clazz.getCanonicalName() + "->" + method.getName());
						}
					}
				}
				catch(ClassNotFoundException e) {
					Log.wtf("HookDetection", e.toString());
				}
			}
		}
	}
}


Stab 4:根据 /proc/[pid]/maps 来检查内存中已加载的共享库或jar包

try {
	Set libraries = new HashSet();
	String mapsFilename = "/proc/" + android.os.Process.myPid() + "/maps";
	BufferedReader reader = new BufferedReader(new FileReader(mapsFilename));
	String line;
	while((line = reader.readLine()) != null) {
		if (line.endsWith(".so") || line.endsWith(".jar")) {
			int n = line.lastIndexOf(" ");
			libraries.add(line.substring(n + 1));
		}
	}
	for (String library : libraries) {
		if(library.contains("com.saurik.substrate")) {
			Log.wtf("HookDetection", "Substrate shared object found: " + library);
		}
		if(library.contains("XposedBridge.jar")) {
			Log.wtf("HookDetection", "Xposed JAR found: " + library);
		}
	}
	reader.close();
}
catch (Exception e) {
	Log.wtf("HookDetection", e.toString());
}

以下是对应的anti-anti-hook:

1.hookPackageManager的检测方法,去掉可疑的包名

2.hook getStackTrace去掉调用栈里的可疑函数

3.hook getModifiers 去掉native

4.hook jave.io相应的方法



fzs4idiot
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
180313 逆向-反调试技术(6)HookAntiHook
whklhhhh的博客
04-03 1245
1625-5 王子昂 总结《2018年3月13日》 【连续第528天总结】 A. 反调试技术(6) B. HookAntiHook 壳通过调用ThreadHideFromDebugger检测调试器,于是OD的HideOD插件就是通过对ThreadHideFromDebugger的Hook来对抗的 最早期直接在入口写入retn 10来直接返回,防止函数的调用 于是外壳也进行了改进:...
Android登录拦截的场景-基于动态代理+Hook的实现
Android技术之家
08-24 535
前言 前面的一篇文章我们讲到了Intent原始的方法,虽然使用起来很麻烦但是还是能实现效果的,那有没有简便一点的封装?有的,其实就和本篇的标题一样,早前网上还有这样的一种方案,使用动态代理+Hook的方式,替换启动Activity的对象,把全部的startActivity都拦截掉,替换掉我们自定义的Activiy。如果都写死了所有的Activity跳转都写到一个拦截中,我们又如何实现拦截登录的功能...
AndroidAntiHook:反调试,反so注入demo
05-18
library目录下有反调试,防so注入等代码,修改jni代码后,运行rebuild project即可重新生成so inject目录下有so注入例子 Inject说明 真机先进行root android6.0/7.0禁掉Selinux adb shell setenforce 0 local.properties配置好NDK目录 cd 进入 inject目录,执行 ndk-build 命令 将so和可执行文件inject导入真机,执行 inject adb root adb remount adb push libs/armeabi-v7a/libqever.so /data/local/tmp adb push libs/armeabi-v7a/inject /data/local/tmp adb shell cd /data/local/tmp ./inject ..
探索真实设备的秘密:Antifake 库——你的模拟器检测利器!
最新发布
gitblog_00018的博客
05-14 407
探索真实设备的秘密:Antifake 库——你的模拟器检测利器! 项目地址:https://gitcode.com/happylishang/AntiFakerAndroidChecker 项目介绍 在移动开发的世界里,区分真实设备和模拟器是一项至关重要的任务。Antifake 是一个非商业牟利的开源项目,专门设计用于检测设备是否为模拟器,并提供了一套有效的方法来获取相对真实的 Android 设...
Android Java层的anti-hooking技巧
weixin_34234721的博客
09-29 124
原文是英文,乌云上的是中文翻译,英文原文地址 Android Anti-Hooking Techniques in Java 原文链接:Android Java层的anti-hooking技巧 0x00 前言 一个最近关于检测native hook框架的方法让我开始思考一个Android应用如何在Java层检测Cydia Substrat...
Anti Hook,Anti BreakPoint
c/c++、x86汇编、Win32汇编、逆向、破解
02-26 975
这段代码演示了如何让你的程序要保护的API函数不被下断。这段代码显示一个对话框,但Cracker在OD中是无法下MessageBoxA断点的。因为程序将要用到的MessageBoxA函数的DLL文件拷贝到了自己新申请的空间内,并执行的是新空间中MessageBoxA的代码。而Cracker下的断是系统DLL文件的断点,显然是无法拦截到我们的函数的。#include #include DWO
java层 android_Android Java层的anti-hooking技巧
weixin_33101399的博客
02-21 177
0x00 前言一个最近关于检测native hook框架的方法让我开始思考一个Android应用如何在Java层检测Cydia Substrate或者Xposed框架。声明:下文所有的anti-hooking技巧很容易就可以被有经验的逆向人员绕过,这里只是展示几个检测的方法。在最近DexGuard和GuardIT等工具中还没有这类anti-hooking检测功能,不过我相信不久就会增加这个功能。...
Android代码-Hook
08-06
Android代码-Hook技术详解】 Hook技术Android开发中是一种非常重要的逆向工程和插桩技术,它允许开发者在不修改原始代码的情况下,通过拦截和替换原有方法的执行流程,来实现对系统或应用功能的扩展和调试。在...
Android代码-anti-counterfeit-android
08-05
anti-counterfeit-android 模拟器检测,多开检测,Hook检测,Root检测。 4个Java类,直接拷贝使用即可。 模拟器检测 boolean isEmulator = EmulatorDetector.isEmulator(); 多开检测 boolean isVirtual = ...
emqx-lua-hook:EMQ X钩钩
02-03
在emqx-lua-hook-master文件中,可能包含了以下内容: 1. `src/` 目录:存放插件的Erlang源代码,其中可能有加载和管理Lua脚本的模块。 2. `priv/` 目录:存放Lua脚本,这些脚本会被插件加载并在适当的时候执行。 3...
ast-hook用于js逆向根据参数值快速定位到生成加密参数位置
05-04
在IT行业中,逆向工程是一种常见的技术,尤其在JavaScript领域,由于其开源和无编译阶段的特性,逆向分析显得尤为重要。`ast-hook`工具就是针对这种情况设计的,它专注于帮助开发者在JavaScript代码中快速定位到特定...
Android_Anti_Debug,android反调试的一个例子。.zip
09-25
android反调试的一个例子。
Mirage:内核模式的Anti-Anti-Debug插件。 基于intel vt-x && ept技术
02-06
《Mirage:基于Intel VT-x & EPT技术的内核模式Anti-Anti-Debug插件解析》 在计算机安全领域,调试技术是检测、分析和逆向工程软件的重要手段。然而,随着技术的发展,一些恶意软件开始使用反调试策略来避免被分析...
做一个检测钩子程序的工具
热门推荐
oRbIt 的专栏
11-25 1万+
(本文最早发表在《电脑编程技巧与维护》杂志) 输入您的搜索字词 提交搜索表单 一、引言    Windows系统是建立在事件驱动的机制上的,每一个事件就是一个消息,每个运行中的程序,也就是所谓的
基于CallStack的Anti-Rootkit HOOK检测思路
01-18 1585
基于CallStack的Anti-Rootkit HOOK检测思路:MJ00112007-11-2th_decoder@126.comAnti-Rootkit目前扫描Hook的方法主要有以下几种:1.对抗inline -hook ,IAT/EAT HookAnti-Rootkit使用读取磁盘上系统文件并将之进行map/重定位后,同内存中的代码进行对比的方法来检测inline hook(或EAT/I
Xposed Hook & Anti-hook
weixin_30760895的博客
10-27 114
一点简单记录。 xposed原理包括将hook的method转为Native。因此可检测如下: for (ApplicationInfo applicationInfo : applicationInfoList) { if (applicationInfo.processName.equals("com.example.hookdetection")) { ...
基于HOOKAnti-debug调用点trace和Anti-anti
zhangmiaoping23的专栏
04-17 1809
转:http://bbs.pediy.com/showthread.php?p=1365668#post1365668 发一个之前写的辅助调试SO的小东西,限于水平难免会有错误之处,请各位大大批评斧正,小弟感激不尽。 同时,也欢迎各位大大讨论下反调试的技术Anti方法,让也小弟学学 ----------------------------------------------
iOS逆向之反HOOK的基本防护
weixin_33695082的博客
05-28 571
iOS逆向之Method Swizzle iOS逆向之fishHook原理探究 iOS逆向之fishHook怎么通过符号找字符串 学习完上面的文章后,深感fishhook之强大,既然fishhookhook系统的函数。那么猜想: 如果在我们的项目中hook了Method Swizzle,那么别人还能hook我们的项目吗?? 一、写上基本的防护,内部使用hook,外部没有hook 1、新建工...
iconv-hook
08-12
iconv-hook 是一个用于字符编码转换的钩子库。钩子函数是一种在程序执行期间被调用的函数,可以用于在特定事件发生时执行一些额外的操作。 在编码转换过程中,iconv-hook 可以用于拦截和修改转换操作。它提供了一种机制,允许用户自定义编码转换的行为。通过使用 iconv-hook,你可以实现自定义的字符编码转换逻辑,例如字符集转换、字符过滤或字符替换等。 iconv-hook 库通常与 iconv 库一起使用,后者是一个常用的字符编码转换库。通过在 iconv 函数调用之前设置 iconv-hook 的钩子函数,可以在编码转换过程中对数据进行修改或者添加自定义逻辑。 需要注意的是,iconv-hook 是一个第三方库,并不是标准的 C 库或者操作系统提供的功能。你可以在互联网上搜索相关资源来获取更多关于 iconv-hook 的详细信息和使用示例。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值