一例APP绕过root检测解密

已于 2024-01-06 18:01:23 修改
阅读量411 收藏 1
点赞数
文章标签: 服务器 开发语言
于 2023-08-29 10:30:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59598029/article/details/132549927
版权

一例APP绕过root检测解密

前言

最近在分析一款app时遇见了root检测,数据包加密,花了时间简单研究了一下,记录下学习的过程。

抛出问题

打开app发现提示检测到设备为root设备,闪退。能看到提示,推测应该是java层的检测。

拖进jadx发现是加固的。

通过frida绕过检测

java层常见root检测大多是通过检测系统文件:一些路径下的su文件,一些root的app相关文件。

  "/data/local/bin/su",  
  "/data/local/su",  
  "/data/local/xbin/su",  
  "/dev/com.koushikdutta.superuser.daemon/",  
  "/sbin/su",  
  "/system/app/Superuser.apk",  
  "/system/bin/failsafe/su",  
  "/system/bin/su",  
  "/su/bin/su",  
  "/system/etc/init.d/99SuperSUDaemon",  
  "/system/sd/xbin/su",  
  "/system/xbin/busybox",  
  "/system/xbin/daemonsu",  
  "/system/xbin/su",  
  "/system/sbin/su",  
  "/vendor/bin/su",  
  "/cache/su",  
  "/data/su",  
  "/dev/su",  
  "/system/bin/.ext/su",  
  "/system/usr/we-need-root/su",  
  "/system/app/Kinguser.apk",  
  "/data/adb/magisk",  
  "/sbin/.magisk",  
  "/cache/.disable_magisk",  
  "/dev/.magisk.unblock",  
  "/cache/magisk.log",  
  "/data/adb/magisk.img",  
  "/data/adb/magisk.db",  
  "/data/adb/magisk_simple",  
  "/init.magisk.rc",  
  "/system/xbin/ku.sud"

检测一些root的app如magisk等。

  "com.noshufou.android.su",  
  "com.noshufou.android.su.elite",  
  "eu.chainfire.supersu",  
  "com.koushikdutta.superuser",  
  "com.thirdparty.superuser",  
  "com.yellowes.su",  
  "com.koushikdutta.rommanager",  
  "com.koushikdutta.rommanager.license",  
  "com.dimonvideo.luckypatcher",  
  "com.chelpus.lackypatch",  
  "com.ramdroid.appquarantine",  
  "com.ramdroid.appquarantinepro",  
  "com.topjohnwu.magisk",  
  "com.kingroot.kinguser",  
  "com.kingo.root",  
  "com.smedialink.oneclickroot",  
  "com.zhiqupk.root.global",  
  "com.alephzain.framaroot",  
  "com.android.vending.billing.InAppBillingService.COIN",  
  "com.android.vending.billing.InAppBillingService.LUCK",  
  "com.chelpus.luckypatcher",  
  "com.blackmartalpha",  
  "org.blackmart.market",  
  "com.allinone.free",  
  "com.repodroid.app",  
  "org.creeplays.hack",  
  "com.baseappfull.fwd",  
  "com.zmapp",  
  "com.dv.marketmod.installer",  
  "org.mobilism.android",  
  "com.android.wp.net.log",  
  "com.android.camera.update",  
  "cc.madkite.freedom",  
  "com.solohsu.android.edxp.manager",  
  "org.meowcat.edxposed.manager",  
  "com.xmodgame",  
  "com.cih.game_cih",  
  "com.charles.lpoqasert",  
  "catch_.me_.if_.you_.can_"

这里通过一些公开的脚本去绕过,直接可以绕过。

frida -U -f com.xxxx.xxxx -l anti_root.js --no-pause

3此时不再闪退。
4

数据包测试

挂上代理进行测试抓包,发现存在参数加密。

还是需要脱壳进行分析。 这里已经绕过了root检测,没有frida检测,直接上frida-dexdump就行。

frida-dexdump -FU

分析后定位到类:com.xxxx.xxxx.utils.http.DESHelp 直接hook就行。

frida rpc

只是hook加解密还是用很多不方便的地方,有时候需要去主动调用对应的加解密函数。 这里可以用brida,或者是httpdecrypt等工具。
这里提供一个通过python frida交互,使用rpc来完成主动调用。
调用也很简单,只是代码写死在了js脚本中,所用使用rpc.exports开启RPC调用接口,后面使用python来调用。

 function htddecrypt(param,key){  
      var result;  
      Java.perform(function () {  
            
          var hclass = Java.use("com.xxxx.xxxx.utils.http.DESHelp");  
          var hexarry = hclass.parseHexStr2Byte(param);  
          param = byteToString(hexarry);  
          console.log("[*] Hooking ...");  
          result = hclass.decrypt(param, key);  
          //console.log(result);   
      });  
      return result;  
  }  
​  
  function htdencrypt(param,key){  
      var result;  
      var enc  
      Java.perform(function () {  
          var hclass = Java.use("com.xxxx.xxxx.utils.http.DESHelp");  
          console.log(param);  
          enc = hclass.encrypt(param, key);  
          //console.log(result);   
          var hexarry = stringToByte(enc);  
          result = hclass.parseByte2HexStr(hexarry);  
      });  
      return result;  
  }      
​  
  rpc.exports = {    
      rpcfunc: htdencrypt,  
      rpcfunc1: htddecrypt  
​  
  }

通过python中代码:

session = frida.get_usb_device().attach("com.xxxx.xxxx")     
script = frida_rpc(session)  
param = str(sys.argv[2])  
ret = script.exports.rpcfunc(param,"CCCk+H%b6.MMMMkoKKK")  
print(ret)   
​

总结

还是一个简单的例子,现在常规的app大体思路都是这样,只能碰到问题花时间研究去解决,不能迷信通杀方案。

ports.rpcfunc(param,“CCCk+H%b6.MMMMkoKKK”)
print(ret)

[外链图片转存中…(img-gthFjLfE-1693234148407)]

总结

还是一个简单的例子,现在常规的app大体思路都是这样,只能碰到问题花时间研究去解决,不能迷信通杀方案。

网络安全工程师(白帽子)企业级学习路线

第一阶段:安全基础(入门)

img

第二阶段:Web渗透(初级网安工程师)

img

第三阶段:进阶部分(中级网络安全工程师)

img

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

学习资源分享

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-sDwcchjK-1693234148410)(C:\Users\Administrator\Desktop\网络安全资料图\微信截图_20230201105953.png)]

教IT的小强
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
安卓逆向之某省回头车AppROOT检测
Packager
12-02 790
hook app,过app root检测
过某approot检测
weixin_35762183的博客
03-15 526
如何定位检测位置很棘手。使用jadx打开app。找了几处检测su路径的地方,无奈都不对。想到检测su路径的时候,需要使用java的java.io.File类来判断是否存在,spwan启动app,果然输出了很多带有su的路径。
Android逆向学习(七)绕过root检测与smali修改学习
qq_52380836的博客
02-19 1507
这是吾爱破解正己大大教程的第五个作业,然后我的系统还是ubuntu, 这个是剩下作业的完成步骤。
aosp集成证书和过root检测
11-07 963
这里就要先介绍关于adbd降权的操作了,我们知道,root后的手机adb shell进来是$符,通过su可以给adbd提权到root权限,userdebug和user在执行adb shell之后默认都给与root权限,同时都有降权的动作,但是userdebug可以通过su执行升权的操作,而user版本没有su这个东西,所以我们可以在adb shell之后的降权操作进行修改,不让他降权不就可以达到adb shell之后就是root权限吗?
毕业一年,从事运维感觉没有出路,如何转型更有前景?
Python_0011的博客
07-08 631
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
app root 检测
最新发布
TF的博客
05-27 464
Android APP 绕过安全检测机制
android 绕过root检测,公主连结怎么绕过root检测 绕过root检测方法一览
weixin_39639286的博客
05-27 912
公主连结刷初始怎么绕过root检测呢?很多小伙伴想刷初始可是经常被root检测,有没有什么办法才能绕过检测呢? 实机可以用magisk自带的hide功能,xposed框架可以选择rootcloak,ANRC在x86半残废可能能用,Android版只是检测su二进制文件是否存在,绕过也十分简单,改名就行。iOS版暂时没有可用的绕过越狱工具,虽然我知道有人ida调试爆破掉isJailbroken函数了...
江南百景图过Root检测
寒梅独自开
10-29 2637
工具: jadx, AndroidKiller 详细操作: 首先把 apk 放再jadx 中打开,搜索 root , 就能看到 root 相关的函数,字段等信息, 再用AndroidKiller 反编译apk , 我们搜索在 jadx 中分析到的地方, 第一步:用Android Killer 打开apk, 我们搜索一下 checkRootProp 我们看完java 代码之后就是 修改检测 点了,怎么修改哪? 我之前写过 app 的都明白,...
[免费专栏] Android安全之Root检测Root绕过(浅析)
橙留香Park的博客
08-08 8062
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ...
常见Java层反调试技术之root检测方式总结—之用Shamiko能过绕过多少
qq_37314468的博客
03-24 1553
Magisk + Shamiko 基本上除了挂载文件的rw权限搞不定 其他的都OK的java层上的ROOT检测 以这篇帖子为参考来测试以后有其他的检测点 在做测试。
Android如何判断系统是否已经被Root
热门推荐
Android系统工程师--小馬佩德罗
10-15 1万+
Android如何判断系统是否已经被Root前言App检测Android系统是否已经Root的几种方法1 判断系统内是否包含 su2 判断系统内是否包含 busybox3. 检测系统内是否安装了Superuser.apk之类的App4. 检测系统是否为测试版5. 检测系统挂载目录权限 前言 实体手机的Root本文不讨论,只讨论Android模拟器的Root问题。 在Android模拟器上运行的APP有时会提示:“设备已Root,使用软件可能存在安全风险” 本文分析在Android模拟器系统中如何解决这个问
ROOT android 原理。 基于(zergRush)
daibalusu
02-23 133
出自: http://bbs.gfan.com/android-2996211-1-1.html 需要ROOT的同学请去上面的地址下载。 a.控制手机创建个临时文件夹,然后把zergRush脚本写入此文件夹,并修改此文件权限使之可以执行(这一步无需ROOT权限); adb shell rm -r /data/local/tmp adb shell mkdir /data...
某金融app的加解密hook+rpc+绕过SSLPinning抓包
Adminxe的博客
03-07 3441
charles抓包的时候app显示无法连接到服务器,charles提示证书的问题,怀疑可能是SSLPinning,使用抓包工具抓包时,抓包工具拦截了服务端返回的内容并重新发给客户端的时候的证书不是服务器端原来的证书了,抓包工具将原本服务器的证书替换成自己的证书,于是就构成了中间人攻击,触发SSL Pinning导致连接中断,所以就抓不到包了。console.log("==========================解密算法==============================");
【保姆级教学】某金融app FRIDA hook加解密算法+jsrpc=乱杀
Adminxe的博客
03-16 3569
注意:抓取https的包需要安装证书,需要注意的是,安卓7.0以下,系统信任用户安装的证书,而安卓7.0以上,系统不会信任用户安装的证书,导致无法抓取https的包,建议使用magisk+Move Certificates将证书移动到系统路径下。通过抓包,发现请求包和返回包都被加密了,但是通过观察多个请求包会发现请求体的内容都是以“#01开头”,而这正是突破口,我们可以通过反编译代码,全局搜索“#01”,来寻找加密的地方。加固的话,也是有对策的,可以使用脱壳机脱壳,使用hluda绕过frida检测
判断Android设备Root方法总结
m0_37735448的博客
10-14 3519
判断Android设备Root方法总结 ##**先说结论没有办法完全检测出设备是否被root,因为root权限拥有系统的最高权限。**已经root的设备可以通过修改系统文件,和Hook来躲避检查。我们只能增加他躲避检查的难度来检测root权限。 1,通过判断是否存在一些已知的root程序包名来判断机器是否被root "com.noshufou.android.su", "com.noshufou...
建设银行检测到设备已被Root的判断
liuminx的专栏
06-03 7263
转载:https://blog.csdn.net/m0_37735448/article/details/102555244 判断Android设备Root方法总结 先说结论没有办法完全检测出设备是否被root,因为root权限拥有系统的最高权限。 已经root的设备可以通过修改系统文件,和Hook来躲避检查。我们只能增加他躲避检查的难度来检测root权限。 1,通过判断是否存在一些已知的root程序包名来判断机器是否被root "com.noshufou.android.su", "com.noshuf
绕过app检测代理抓包方法
01-31
绕过App检测代理抓包的方法有很多种,其中一种常见的方法是使用VPN代理进行抓包。首先,用户可以根据自己的需求选择一个稳定且可靠的VPN代理服务,并将其安装到手机或电脑上。然后,打开VPN代理并选择一个服务器进行连接,这样就能够成功建立起一个代理通道。 接下来,用户需要在手机或电脑上安装一个抓包工具,比如Fiddler、Charles或Wireshark等。然后,在代理服务器连接成功的情况下,用户可以在抓包工具中设置代理,让其能够捕获App发送和接收的请求和响应数据。这样就能够成功绕过App检测,对其进行抓包分析了。 除了使用VPN代理进行抓包之外,用户还可以使用Root技术绕过App检测。通过Root手机或电脑,用户可以获得更高的权限,从而可以利用各种工具对App进行抓包。当然,这种方法需要用户对操作系统和手机结构有一定的了解,并且需要谨慎操作,以免造成不必要的损失。 总的来说,绕过App检测代理抓包的方法有很多种,但需要注意的是,这样的行为可能违反了某些国家或地区的法律法规,并且可能侵犯了其他人的隐私和数据安全,因此在进行类似操作时需要谨慎对待。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值