xposed检测原理分析 -案例某付宝、某音

最新推荐文章于 2024-04-16 14:55:24 发布
最新推荐文章于 2024-04-16 14:55:24 发布
阅读量6.2k 收藏 14
点赞数 2
分类专栏: Android 反编译 文章标签: Xposed Root

一、
1.支付宝的Xposed hook 检测原理: Xposed Hook 框架将Hook信息存储在fieldCache, methodCache,constructorCache 中,
利用java 反射机制获取这些信息,检测Hook信息中是否含有支付宝App中敏感的方法,字段,构造方法。

2.支付宝的SO检测原理: 检测进程中使用so名中包含关键"hack|inject|hook|call" 的信息。

3.支付宝的Root检测: 是否含有su程序和ro.secure是否为1

安全建议:

像这些 "de.robv.android.xposed.XposedHelpers",
"fieldCache","methodCache","constructorCache" 想这些敏感字符串信息可以进行一些简单加密。防止用户直接根据关键字搜索找到关键函数。

 

fieldCache, methodCache,constructorCache然是XposedHelpers的静态成员,类型是HashMap<String, Field>   

通过反射遍历这些HashMap 缓存字段, 如字段项的key中包含支付宝的关键字"alipy" "taobao",等信息, 则认为是检测有Xposed 注入。

 

二、抖音的Xposed hook检测原理

1.尝试加载xposed的类,如果能加载则表示已经安装了。
XposedHelpers类中存在fieldCache methodCache constructorCache 这三个静态成员,都是hashmap类型,凡是需要被hook的且已经被找到的对象都会被缓存到这三个map里面。
我们通过便利这三个map来找到相关hook信息。
备注:方法a是检测xposed到底改了什么东西存放到a中。抖音似乎会收集相关信息并上报。

通过反射获取de.robv.android.xposed.XposedHelpers类的一个对象obXposedHelpers,
然后调用CheckKeywordInFiled 检测obXposedHelper成员fieldCache,methodCache,constructorCache是否有抖音包的关键字

public void b()
{
    try
    {
        Object localObject = ClassLoader.getSystemClassLoader()
                .loadClass("de.robv.android.xposed.XposedHelpers").newInstance();
        // 如果加载类失败 则表示当前环境没有xposed
        if (localObject != null)
        {
            a(localObject, "fieldCache");
            a(localObject, "methodCache");
            a(localObject, "constructorCache");
        }
        return;
    }
    catch (Throwable localThrowable) {}
}
 
private void a(Object arg5, String arg6) {
    try {
        // 从XposedHelpers中读取相关的hook信息
        Field v0_1 = arg5.getClass().getDeclaredField(arg6);
        v0_1.setAccessible(true);
        Set v0_2 = v0_1.get(arg5).keySet();
        if(v0_2 == null) {
            return;
        }
        if(v0_2.isEmpty()) {
            return;
        }
        Iterator v1 = v0_2.iterator();
        // 排除无关紧要的类
        while(v1.hasNext()) {
            Object v0_3 = v1.next();
            if(v0_3 == null) {
                continue;
            }
            if(((String)v0_3).length() <= 0) {
                continue;
            }
            if(((String)v0_3).toLowerCase().startsWith("android.support")) {
                continue;
            }
            if(((String)v0_3).toLowerCase().startsWith("javax.")) {
                continue;
            }
            if(((String)v0_3).toLowerCase().startsWith("android.webkit")) {
                continue;
            }
            if(((String)v0_3).toLowerCase().startsWith("java.util")) {
                continue;
            }
            if(((String)v0_3).toLowerCase().startsWith("android.widget")) {
                continue;
            }
            if(((String)v0_3).toLowerCase().startsWith("sun.")) {
                continue;
            }
            this.a.add(v0_3);
        }
    }
    catch(Throwable v0) {
        v0.printStackTrace();
    }
}

2.检测xposed相关文件

检测XposedBridge.jar这个文件和de.robv.android.xposed.XposedBridge
XposedBridge.jar存放在framework里面,de.robv.android.xposed.XposedBridge是开发xposed框架使用的主要接口。
在这个方法里读取了maps这个文件,在linux内核中,这个文件存储了进程映射了的内存区域和访问权限。在这里我们可以看到这个进程加载了那些文件。
如果进程加载了xposed相关的so库或者jar则表示xposed框架已注入。
public static boolean a(String paramString)
  {
    try
    {
      Object localObject = new HashSet();
       // 读取maps文件信息
      BufferedReader localBufferedReader =
                new BufferedReader(new FileReader("/proc/" + Process.myPid() + "/maps"));
       // 遍历查询关键词 反编译出来的代码可能不太准确
      for (;;)
      {
        String str = localBufferedReader.readLine();
        if (str == null) {
          break;
        }
        if ((str.endsWith(".so")) || (str.endsWith(".jar"))) {
          ((Set)localObject).add(str.substring(str.lastIndexOf(" ") + 1));
        }
      }
      localBufferedReader.close();
      localObject = ((Set)localObject).iterator();
      while (((Iterator)localObject).hasNext())
      {
        boolean bool = ((String)((Iterator)localObject).next()).contains(paramString);
        if (bool) {
          return true;
        }
      }
    }
    catch (Exception paramString) {}
    return false;
  }

3.检测方法的调用栈
如果你的手机安装了xposed框架,那么你在查看app崩溃时候的堆栈信息,一定能在顶层找到xposed的类信息,
既然xposed想改你的信息,那么在调用栈里面肯定是有它的身影的。
比如出现de.robv.android.xposed.XposedBridge这个类,
方法被hook的时候调用栈里会出现de.robv.android.xposed.XposedBridge.handleHookedMethod
 和de.robv.android.xposed.XposedBridge.invokeOriginalMethodNative这些xposed的方法,
在dalvik.system.NativeStart.main方法后出现de.robv.android.xposed.XposedBridge.main调用
try {
        throw new Exception("");
    } catch (Exception localException) {
        StackTraceElement[] arrayOfStackTraceElement = localException.getStackTrace();
        int m = arrayOfStackTraceElement.length;
        int i = 0;
        int j;
        // 遍历整个堆栈查询xposed相关信息
        for (int k = 0; i < m; k = j) {
            StackTraceElement localStackTraceElement = arrayOfStackTraceElement[i];
            j = k;
            if (localStackTraceElement.getClassName()
                    .equals("com.android.internal.os.ZygoteInit")) {
                k += 1;
                j = k;
                if (k == 2) {
                    return true;
                }
            }
            if (localStackTraceElement.getClassName().equals(e)) {
                return true;
            }
            i += 1;
        }
    }
    return false;
}
 
  try
 
{
    throw new Exception("");
}
catch(
Exception localException)
 
{
    arrayOfStackTraceElement = localException.getStackTrace();
    j = arrayOfStackTraceElement.length;
    i = 0;
}
for(;;)
 
{
    boolean bool1 = bool2;
    if (i < j) {
        if (arrayOfStackTraceElement[i].getClassName()
                .equals("de.robv.android.xposed.XposedBridge")) {
            bool1 = true;
        }
    } else {
        return bool1;
    }
    i += 1;
}

4.修改hook方法的查询结果
   数组c包含了抖音里比较重要的及各类, this.a指的是检测出的被修改的方法,字段。
他执行了两者的匹配,将结果存放到了一个JSONObject里面,里面包含了是否使用模拟器,
系统的详细信息,是否是双开xpp,是否适用了xp,hook了那些方法等信息上报到https://xlog.snssdk.com/do/y?ver=0.4&ts=

private String[] c = {"android.os.Build#SERIAL",
        "android.os.Build#PRODUCT",
        "android.os.Build#DEVICE",
        "android.os.Build#FINGERPRINT",
        "android.os.Build#MODEL",
        "android.os.Build#BOARD",
        "android.os.Build#BRAND",
        "android.os.Build.BOOTLOADER",
        "android.os.Build#HARDWARE",
        "android.os.SystemProperties#get(java.lang.String,java.lang.String)",
        "android.os.SystemProperties#get(java.lang.String)",
        "java.lang.System#getProperty(java.lang.String)",
        "android.telephony.TelephonyManager#getDeviceId()",
        "android.telephony.TelephonyManager#getSubscriberId()",
        "android.net.wifi.WifiInfo#getMacAddress()",
        "android.os.Debug#isDebuggerConnected()",
        "android.app.activitymanager#isUserAMonkey()",
        "com.ss."};
 
 
public ArrayList<String> c() {
    ArrayList localArrayList = new ArrayList();
    Iterator localIterator = this.a.iterator();
    while (localIterator.hasNext()) {
        String str1 = (String) localIterator.next();
        String[] arrayOfString = this.c;
        int j = arrayOfString.length;
        int i = 0;
        while (i < j) {
            if (true == str1.startsWith(arrayOfString[i])) {
                String str2 = str1.replace(")#exact", ")").replace(")#bestmatch", ")").replace("#", ".");
                if (str2.length() > 0) {
                    localArrayList.add(str2);
                }
            }
            i += 1;
        }
    }
    return localArrayList;
}
5.检测方法是否被篡改
Modifier.isNative方法判断是否是native修饰的方法,xposedhook方法的时候,
会把方法转位native方法,我们检测native方法中不该为native的方法来达到检测的目的,
比如getDeviceId,getMacAddress这些方法如果是native则表示已经被篡改了。
public static boolean a(String paramString1, String paramString2, Class... paramVarArgs)
  {
    try
    {
      // 判断方法是不是用native修饰的
      boolean bool = Modifier.isNative(Class.forName(paramString1)
                   .getDeclaredMethod(paramString2, paramVarArgs).getModifiers());
      if (bool) {
        return true;
      }
    }
    catch (Exception paramString1)
    {
      paramString1.printStackTrace();
    }
    return false;
  }

6.检测包名
   这个是最简单也是最不靠谱的方法,因为只要禁止app读取应用列表就没办法了。
if (((ApplicationInfo)localObject).packageName.equals("de.robv.android.xposed.installer"))
     {
       Log.wtf("HookDetection", "Xposed found on the system.");
     }
 }

☆七年
关注
  • 2
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Android中破解某支付软件防Xposedhook功能检测机制过程分析
2401_84558442的博客
04-29 903
因为文件太多,全部展示会影响篇幅,暂时就先列举这些部分截图。场吐槽、大厂内推、面试辅导),让我们一起学习成长!
xposed-v89-sdk25-x86.zip
07-25
在本文中,我们将围绕“xposed-v89-sdk25-x86.zip”这个压缩包,深入探讨其背后的原理、使用方法以及对Android系统的影响。 首先,我们来看“xposed-v89-sdk25-x86.zip”的命名规则。"xposed-v89"表示这是Xposed...
Android jni 方法 hook 的实现方案
最新发布
Eqiqi的博客
04-16 820
本文主要是简述一下 jni 方法的调用流程,然后讨论下对jni 方法hook的实现方案。JNI 即 Java Native Interface,作为Java代码和native代码之间的中间层,方便Java代码调用native api以及native 代码调用Java api。以 Android 上Java 代码启动线程为例,调用方法时,会调到进而调用到他的 native peer,最后创建相应的 pthread。
HookAlipaytransport:Hooking Alipay 通信数据(小程序数据 等)
05-10
Alipaytransport Hook 适用支付v10.1.25版本(其他版本未测试); 可获取转账数据包、小程序、H5应用通信数据包等; 仅hook部分通信接口、未bypass日志上传接口。 仅用于第三方应用数据分析,请勿用于其他用途。
【安卓逆向】xposed hook native 函数
weixin_44862184的博客
09-28 5594
xposed 集成dobby 实现 hook native 函数
xposed 05 - so函数hook
a5right的博客
12-28 1742
本文讨论如何hook目标apk中的 so 中的函数。实现 so hook 的一个主要思想,就是将目标apk当成是我们自己编写的就行,就像开发中hook系统调用一样。有了这个思维,思路会宽广许多。
使用Xposednative进行hook
头铁逆向的旅程
01-07 6275
使用Xposednative进行hook,Dobby框架的使用
android hook 框架 xposed 如何实现注入
weixin_30929295的博客
02-28 242
Android so注入-libinject2 简介、编译、运行 Android so注入-libinject2 如何实现so注入 Android so注入-Libinject 如何实现so注入 Android so注入挂钩-Adbi 框架简介、编译、运行 Android so注入挂钩-Adbi 框架如何实现so注入 Android so注入挂钩-Adbi 框架如何实现so函数挂钩 ...
xposed-x86 xposed-x86-64
03-08
由于这两种架构的不同,Xposed框架也需要为每个架构提供相应的版本,即“xposed-x86”和“xposed-x86_64”。这确保了框架在不同硬件平台上能够正常运行。 安装Xposed框架的步骤通常包括以下几步: 1. 获取对应架构...
0积分 Xposed开发必备 api-82.jar
10-20
在Android开发领域,Xposed框架是一个非常著名的工具,它允许开发者通过编写模块来修改系统的行为,无需对系统进行Root操作。Xposed框架的核心是它的钩子(Hook)机制,这使得开发者可以拦截并修改系统调用,从而...
xposed-v88-sdk25-x86.zip
12-16
标题 "xposed-v88-sdk25-x86.zip" 提供了关于这个压缩包的重要信息,它是一个针对特定环境的 Xposed 框架版本。Xposed 是一个在 Android 系统上运行的框架,允许用户通过安装模块来修改系统行为,无需root权限。这里...
framework-xposed-v89-sdk25-x86
11-29
"framework-xposed-v89-sdk25-x86"这个标题表明我们正在处理的是Xposed框架的一个版本,针对的是Android SDK Level 25(即Android 7.1.1 Nougat)的x86架构设备。这个版本号"v89"表示它是Xposed框架的某个迭代更新。...
xposed-uninstaller-20180117-arm.zip
03-06
而“xposed-uninstaller-20180117-arm.zip”则是专门为Xposed框架提供的卸载工具,适用于基于ARM架构的Android 5.0系统。 在深入探讨Xposed框架之前,我们需要理解Android系统的运行机制。Android系统基于Linux内核...
xposed-v89-sdk25合集.zip
12-30
xposed-v89-sdk25-arm86与xposed-v89-sdk25-arm64两个版本对应的系统是安卓5.0以上的
xposed-v90.2-sdk26-beta3-topjohnwu.zip
01-11
在“xposed-v90.2-sdk26-beta3-topjohnwu.zip”压缩包中,包含了以下关键文件: 1. **.gitattributes**:这是一个Git配置文件,用于定义文件的属性,如文本编码、行结束符等,对于项目源代码管理至关重要。 2. **...
xposed-v89-sdk25-x86.zip和script.sh
05-10
"xposed-v89-sdk25-x86.zip" 文件名表明这是一款针对Android SDK 25(即Android 7.1 Nougat)的Xposed框架版本,适用于x86架构的设备。"script.sh" 文件则可能是一个脚本,用于帮助用户安装或配置Xposed框架。 1. *...
Xpose学习笔记
kernweak的博客
06-04 1777
Xpose原理 控制zygote进程,通过替换/system/bin/app_precess程序控制zygote进程,使它在系统启动过程中加载Xposed framework的一个jar文件即XposedBridge.jar,从而完成对Zygote进程及创建的Dalvik/ART虚拟机的劫持,并且能够允许开发者独立替代任何class,例如framework本身,系统UI或者随意一个app。 控制程序两种方式,通过attach之后ptrace调试器,通过定制rom。 Xpose安装 Android5.0以后:
Xposed学习-常用方法介绍
qq_33771145的博客
06-05 1867
Xposed学习-常用方法介绍XposedHelpers提供的一些API方法hook中值得注意的事项小结 XposedHelpers提供的一些API方法 findAndHookMethod(Class<?> clazz, String methodName, Object… parameterTypesAndCallback) 这个方法是你需要hook某个方法用到,填入的参数分别是:1...
安卓逆向Hook So层方法
weixin_43169858的博客
05-12 1498
在Android逆向工程中,对so层(共享库层)的hook是一种常见的技术手段。对so层的hook常常使用的工具是frida和Xposed。下面是一个关于如何使用Frida对Android应用的so文件进行hook的简单教程。
xposed-v7.1-sdk25-x86.zip
07-31
xposed-v7.1-sdk25-x86.zip是一个针对Android系统的软件框架文件。Xposed框架是一个开源项目,可以在不修改系统APK文件的情况下改变系统和应用程序的行为。xposed-v7.1-sdk25-x86.zip中的v7.1表示框架的版本号,sdk...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值