Android anti-hook技术

最新推荐文章于 2024-05-14 09:57:11 发布
最新推荐文章于 2024-05-14 09:57:11 发布
阅读量1k 收藏
点赞数
分类专栏: Android

原文出处:http://d3adend.org/blog/?p=589


Stab 1: 检查是否安装hook框架,例如xposed或Substrate

PackageManager packageManager = context.getPackageManager();
List applicationInfoList  = packageManager.getInstalledApplications(PackageManager.GET_META_DATA);
		
for(ApplicationInfo applicationInfo : applicationInfoList) {
	if(applicationInfo.packageName.equals("de.robv.android.xposed.installer")) {
		Log.wtf("HookDetection", "Xposed found on the system.");
	}
	if(applicationInfo.packageName.equals("com.saurik.substrate")) {
		Log.wtf("HookDetection", "Substrate found on the system.");
	}
}

Stab 2: 检查调用栈

在方法中打印调用栈,看看有没插入可疑方法,


例如原来的调用栈为:

com.example.hookdetection.DoStuff->getSecret
com.example.hookdetection.MainActivity->onCreate
android.app.Activity->performCreate
android.app.Instrumentation->callActivityOnCreate
android.app.ActivityThread->performLaunchActivity
android.app.ActivityThread->handleLaunchActivity
android.app.ActivityThread->access$800
android.app.ActivityThread$H->handleMessage
android.os.Handler->dispatchMessage
android.os.Looper->loop
android.app.ActivityThread->main
java.lang.reflect.Method->invokeNative
java.lang.reflect.Method->invoke
com.android.internal.os.ZygoteInit$MethodAndArgsCaller->run
com.android.internal.os.ZygoteInit->main
dalvik.system.NativeStart->main
xposed hook后: 

com.example.hookdetection.DoStuff->getSecret
de.robv.android.xposed.XposedBridge->invokeOriginalMethodNative
de.robv.android.xposed.XposedBridge->handleHookedMethod
com.example.hookdetection.DoStuff->getSecret
com.example.hookdetection.MainActivity->onCreate
android.app.Activity->performCreate
android.app.Instrumentation->callActivityOnCreate
android.app.ActivityThread->performLaunchActivity
android.app.ActivityThread->handleLaunchActivity
android.app.ActivityThread->access$800
android.app.ActivityThread$H->handleMessage
android.os.Handler->dispatchMessage
android.os.Looper->loop
android.app.ActivityThread->main
java.lang.reflect.Method->invokeNative
java.lang.reflect.Method->invoke
com.android.internal.os.ZygoteInit$MethodAndArgsCaller->run
com.android.internal.os.ZygoteInit->main
de.robv.android.xposed.XposedBridge->main
dalvik.system.NativeStart->main
Substratehook后: 

com.example.hookdetection.DoStuff->getSecret
com.saurik.substrate._MS$MethodPointer->invoke
com.saurik.substrate.MS$MethodPointer->invoke
com.cigital.freak.Freak$1$1->invoked
com.saurik.substrate.MS$2->invoked
com.example.hookdetection.DoStuff->getSecret
com.example.hookdetection.MainActivity->onCreate
android.app.Activity->performCreate
android.app.Instrumentation->callActivityOnCreate
android.app.ActivityThread->performLaunchActivity
android.app.ActivityThread->handleLaunchActivity
android.app.ActivityThread->access$800
android.app.ActivityThread$H->handleMessage
android.os.Handler->dispatchMessage
android.os.Looper->loop
android.app.ActivityThread->main
java.lang.reflect.Method->invokeNative
java.lang.reflect.Method->invoke
com.android.internal.os.ZygoteInit$MethodAndArgsCaller->run
com.android.internal.os.ZygoteInit->main
com.android.internal.os.ZygoteInit->main
dalvik.system.NativeStart->main
检测代码: 

try {
	throw new Exception("blah");
}
catch(Exception e) {
	int zygoteInitCallCount = 0;
	for(StackTraceElement stackTraceElement : e.getStackTrace()) {
		if(stackTraceElement.getClassName().equals("com.android.internal.os.ZygoteInit")) {
			zygoteInitCallCount++;
			if(zygoteInitCallCount == 2) {
				Log.wtf("HookDetection", "Substrate is active on the device.");
			}
		}
		if(stackTraceElement.getClassName().equals("com.saurik.substrate.MS$2") && 
				stackTraceElement.getMethodName().equals("invoked")) {
			Log.wtf("HookDetection", "A method on the stack trace has been hooked using Substrate.");
		}
		if(stackTraceElement.getClassName().equals("de.robv.android.xposed.XposedBridge") && 
				stackTraceElement.getMethodName().equals("main")) {
			Log.wtf("HookDetection", "Xposed is active on the device.");
		}
		if(stackTraceElement.getClassName().equals("de.robv.android.xposed.XposedBridge") && 
				stackTraceElement.getMethodName().equals("handleHookedMethod")) {
			Log.wtf("HookDetection", "A method on the stack trace has been hooked using Xposed.");
		}

	}
}



Stab 3:检查你的方法是否变成native

xposed会将要hook的方法本地化,再添加hook的方法,具体实现见 XposedBridge_hookMethodNativeSubstrate的原理和它差不多。

for (ApplicationInfo applicationInfo : applicationInfoList) {
	if (applicationInfo.processName.equals("com.example.hookdetection")) {		
		Set classes = new HashSet();
		DexFile dex;
		try {
			dex = new DexFile(applicationInfo.sourceDir);
			Enumeration entries = dex.entries();
			while(entries.hasMoreElements()) {
				String entry = entries.nextElement();
				classes.add(entry);
			}
			dex.close();
		} 
		catch (IOException e) {
			Log.e("HookDetection", e.toString());
		}
		for(String className : classes) {
			if(className.startsWith("com.example.hookdetection")) {
				try {
					Class clazz = HookDetection.class.forName(className);
					for(Method method : clazz.getDeclaredMethods()) {
						if(Modifier.isNative(method.getModifiers())){
							Log.wtf("HookDetection", "Native function found (could be hooked by Substrate or Xposed): " + clazz.getCanonicalName() + "->" + method.getName());
						}
					}
				}
				catch(ClassNotFoundException e) {
					Log.wtf("HookDetection", e.toString());
				}
			}
		}
	}
}


Stab 4:根据 /proc/[pid]/maps 来检查内存中已加载的共享库或jar包

try {
	Set libraries = new HashSet();
	String mapsFilename = "/proc/" + android.os.Process.myPid() + "/maps";
	BufferedReader reader = new BufferedReader(new FileReader(mapsFilename));
	String line;
	while((line = reader.readLine()) != null) {
		if (line.endsWith(".so") || line.endsWith(".jar")) {
			int n = line.lastIndexOf(" ");
			libraries.add(line.substring(n + 1));
		}
	}
	for (String library : libraries) {
		if(library.contains("com.saurik.substrate")) {
			Log.wtf("HookDetection", "Substrate shared object found: " + library);
		}
		if(library.contains("XposedBridge.jar")) {
			Log.wtf("HookDetection", "Xposed JAR found: " + library);
		}
	}
	reader.close();
}
catch (Exception e) {
	Log.wtf("HookDetection", e.toString());
}

以下是对应的anti-anti-hook:

1.hookPackageManager的检测方法,去掉可疑的包名

2.hook getStackTrace去掉调用栈里的可疑函数

3.hook getModifiers 去掉native

4.hook jave.io相应的方法



fzs4idiot
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android登录拦截的场景-基于动态代理+Hook的实现
Android技术之家
08-24 535
前言 前面的一篇文章我们讲到了Intent原始的方法,虽然使用起来很麻烦但是还是能实现效果的,那有没有简便一点的封装?有的,其实就和本篇的标题一样,早前网上还有这样的一种方案,使用动态代理+Hook的方式,替换启动Activity的对象,把全部的startActivity都拦截掉,替换掉我们自定义的Activiy。如果都写死了所有的Activity跳转都写到一个拦截中,我们又如何实现拦截登录的功能...
AndroidAntiHook:反调试,反so注入demo
05-18
library目录下有反调试,防so注入等代码,修改jni代码后,运行rebuild project即可重新生成so inject目录下有so注入例子 Inject说明 真机先进行root android6.0/7.0禁掉Selinux adb shell setenforce 0 local.properties配置好NDK目录 cd 进入 inject目录,执行 ndk-build 命令 将so和可执行文件inject导入真机,执行 inject adb root adb remount adb push libs/armeabi-v7a/libqever.so /data/local/tmp adb push libs/armeabi-v7a/inject /data/local/tmp adb shell cd /data/local/tmp ./inject ..
探索真实设备的秘密:Antifake 库——你的模拟器检测利器!
最新发布
gitblog_00018的博客
05-14 407
探索真实设备的秘密:Antifake 库——你的模拟器检测利器! 项目地址:https://gitcode.com/happylishang/AntiFakerAndroidChecker 项目介绍 在移动开发的世界里,区分真实设备和模拟器是一项至关重要的任务。Antifake 是一个非商业牟利的开源项目,专门设计用于检测设备是否为模拟器,并提供了一套有效的方法来获取相对真实的 Android 设...
做一个检测钩子程序的工具
热门推荐
oRbIt 的专栏
11-25 1万+
(本文最早发表在《电脑编程技巧与维护》杂志) 输入您的搜索字词 提交搜索表单 一、引言    Windows系统是建立在事件驱动的机制上的,每一个事件就是一个消息,每个运行中的程序,也就是所谓的
180313 逆向-反调试技术(6)HookAntiHook
whklhhhh的博客
04-03 1245
1625-5 王子昂 总结《2018年3月13日》 【连续第528天总结】 A. 反调试技术(6) B. HookAntiHook 壳通过调用ThreadHideFromDebugger检测调试器,于是OD的HideOD插件就是通过对ThreadHideFromDebugger的Hook来对抗的 最早期直接在入口写入retn 10来直接返回,防止函数的调用 于是外壳也进行了改进:...
Android代码-Hook
08-06
Android代码-Hook技术详解】 Hook技术Android开发中是一种非常重要的逆向工程和插桩技术,它允许开发者在不修改原始代码的情况下,通过拦截和替换原有方法的执行流程,来实现对系统或应用功能的扩展和调试。在...
Android代码-anti-counterfeit-android
08-05
anti-counterfeit-android 模拟器检测,多开检测,Hook检测,Root检测。 4个Java类,直接拷贝使用即可。 模拟器检测 boolean isEmulator = EmulatorDetector.isEmulator(); 多开检测 boolean isVirtual = ...
emqx-lua-hook:EMQ X钩钩
02-03
在emqx-lua-hook-master文件中,可能包含了以下内容: 1. `src/` 目录:存放插件的Erlang源代码,其中可能有加载和管理Lua脚本的模块。 2. `priv/` 目录:存放Lua脚本,这些脚本会被插件加载并在适当的时候执行。 3...
ast-hook用于js逆向根据参数值快速定位到生成加密参数位置
05-04
在IT行业中,逆向工程是一种常见的技术,尤其在JavaScript领域,由于其开源和无编译阶段的特性,逆向分析显得尤为重要。`ast-hook`工具就是针对这种情况设计的,它专注于帮助开发者在JavaScript代码中快速定位到特定...
Mirage:内核模式的Anti-Anti-Debug插件。 基于intel vt-x && ept技术
02-06
《Mirage:基于Intel VT-x & EPT技术的内核模式Anti-Anti-Debug插件解析》 在计算机安全领域,调试技术是检测、分析和逆向工程软件的重要手段。然而,随着技术的发展,一些恶意软件开始使用反调试策略来避免被分析...
Anti Hook,Anti BreakPoint
c/c++、x86汇编、Win32汇编、逆向、破解
02-26 975
这段代码演示了如何让你的程序要保护的API函数不被下断。这段代码显示一个对话框,但Cracker在OD中是无法下MessageBoxA断点的。因为程序将要用到的MessageBoxA函数的DLL文件拷贝到了自己新申请的空间内,并执行的是新空间中MessageBoxA的代码。而Cracker下的断是系统DLL文件的断点,显然是无法拦截到我们的函数的。#include #include DWO
Android hook检测(安全方向)
weixin_41508948的博客
09-19 8806
什么是hook 所谓hook技术,就是通过一段代码(反射、代理)侵入到App启动过程中,在原本执行的代码前插入其它的功能。比如:通过hook技术,上传登陆页面的账号密码等。 干货 对于主流hook框架(Xposed、Cydia Substrate),通常有以下三种方式来检测一个App是否被hook: 安装目录中是否存在hook工具 存储中是否存在hook安装文件 运行栈中是否存在ho...
Android Log系统
pan0755的博客
11-29 788
一,log是按照种类存储在不同的buffer中。     /** @hide */ public static final int LOG_ID_MAIN = 0;     用Log.v, Log.d, .... 输出     /** @hide */ public static final int LOG_ID_RADIO = 1;     用RLog.v, Log.d, .... 输出  ...
Android dropbox介绍
学无止境
07-25 2280
Android dropbox介绍
iOS逆向之反HOOK的基本防护
weixin_33695082的博客
05-28 572
iOS逆向之Method Swizzle iOS逆向之fishHook原理探究 iOS逆向之fishHook怎么通过符号找字符串 学习完上面的文章后,深感fishhook之强大,既然fishhookhook系统的函数。那么猜想: 如果在我们的项目中hook了Method Swizzle,那么别人还能hook我们的项目吗?? 一、写上基本的防护,内部使用hook,外部没有hook 1、新建工...
基于HOOKAnti-debug调用点trace和Anti-anti
zhangmiaoping23的专栏
04-17 1809
转:http://bbs.pediy.com/showthread.php?p=1365668#post1365668 发一个之前写的辅助调试SO的小东西,限于水平难免会有错误之处,请各位大大批评斧正,小弟感激不尽。 同时,也欢迎各位大大讨论下反调试的技术Anti方法,让也小弟学学 ----------------------------------------------
iconv-hook
08-12
iconv-hook 是一个用于字符编码转换的钩子库。钩子函数是一种在程序执行期间被调用的函数,可以用于在特定事件发生时执行一些额外的操作。 在编码转换过程中,iconv-hook 可以用于拦截和修改转换操作。它提供了一种机制,允许用户自定义编码转换的行为。通过使用 iconv-hook,你可以实现自定义的字符编码转换逻辑,例如字符集转换、字符过滤或字符替换等。 iconv-hook 库通常与 iconv 库一起使用,后者是一个常用的字符编码转换库。通过在 iconv 函数调用之前设置 iconv-hook 的钩子函数,可以在编码转换过程中对数据进行修改或者添加自定义逻辑。 需要注意的是,iconv-hook 是一个第三方库,并不是标准的 C 库或者操作系统提供的功能。你可以在互联网上搜索相关资源来获取更多关于 iconv-hook 的详细信息和使用示例。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值