android 论坛_Android 应用多开对抗实践

最新推荐文章于 2022-09-16 15:19:54 发布
最新推荐文章于 2022-09-16 15:19:54 发布
阅读量1.2k 收藏 5
点赞数 1
分类专栏: Android 文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/devilnov/article/details/117334826
版权

目录

 

应用多开技术总结

系统级技术

多开技术方案发行版 APP
Android 多用户功能OEM系统自带的"手机分身"、"应用双开",和 "Island/炼妖壶" 等各种 "Android for work" 产品
chroot暂无发现 APP

  • 多用户功能

    多用户模式主要用到 UserManager 相关类,切换不同的用户,在不同的用户下运行 App,实现多开。最直观的例子是 Android 手机上的 多用户 功能, 手机分身 功能,以及 am switch-user 命令,这种简单粗暴的用法会将 Android 服务都运行一份,如果只用于应用多开,且不说资源消耗,切换用户是在麻烦。

    在 Android 5.0 在基于多用户功能 添加了 Android for work 功能,可以在同一个桌面启动器下使用受限用户启动 APP,不再需要切换界面。同时将权限开发给了非系统应用。

  • chroot

    UNIX 的 chroot 系统调用在 Android 上也能用,需要 root 权限。在本地挂载运行精简版系统镜像,使用远程桌面软件如 VNC 等访问本地多开的系统。尚未发现发行版 APP,可能在 ARM 服务器云手机中用到。

用户级技术

多开技术方案发行版 APP
VirtualAppVirtualXposed, DualSpace
MultiDroidLBE平行空间, Parallel Space
DroidPlugin分身大师
Excelliance双开助手, MultiAccount
其它虚拟大师

 

在用户级的多开技术中,还可以在按设计用途划分出三类

  • “容器”:VirtualApp、MultiDroid
  • 热更新/插件化:DroidPlugin、Excelliance
  • 虚拟系统:虚拟大师

具体实现原理大家可以翻论坛里的 精品贴,这里不多描述。

 

值得一提的是,某云手机团队的 "虚拟大师" 产品,实现在用户态运行了一个精简版的 Android 系统镜像,在系统库中拦截了几乎所有系统调用,使用类似前文提到的 chroot 挂载系统镜像的方法运行,有兴趣的同学可以看一看。

拆招

反系统级应用多开

仅多用户方案的多开,忽略 chroot /lxc

简单粗暴的代码

// --- C++ ---
#include <unistd.h>
bool isDualApp(){return 0 != getuid()/100000;}

1

2

3

// --- Java ---

import android.os.Process;

static boolean isDualApp(){return 0 != Process.myUid() / 100000;}

一行代码完事了?

 

完事了,真的完事了。

 

但是为什么?

 

Android 系统中,如果开启了多用户模式,会存在一个主用户和若干受限用户。

把 MIUI 的 "手机分身" 和 "应用双开" 功能都打开,可以看到有三用户,0、11 和 999,分别对应主用户、"手机分身" 和 "应用双开"

1

2

3

4

5

6

7

8

# --- adb shell ---

$ ls -al /data/user/

total 52

drwx--x--x   4 system system  4096 2019-09-05 11:49 .

drwxrwx--x  42 system system  4096 2019-04-22 20:32 ..

lrwxrwxrwx   1 root   root      10 1970-08-23 18:57 0 -/data/data

drwxrwx--221 system system 16384 2019-09-05 11:50 11

drwxrwx--x  13 system system 16384 2019-09-12 17:53 999

 

使用多用户模式实现的多开,在客户端中可以通过 Android SDK 的 UserManger 类判断当前运行 APP 的用户是否为主用户和受限用户

1

2

3

4

5

6

7

8

9

// android.os.UserManger.java   

public boolean isAdminUser() {

    return isUserAdmin(UserHandle.myUserId());

}

// ...

public boolean isPrimaryUser() {

    UserInfo user = getUserInfo(UserHandle.myUserId());

    return user != null && user.isPrimary();

}

顺着线索,找到 UserHandler 类

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

// android.os.UserHandle.java

@Deprecated

/**

* @hide A user id constant to indicate the "owner" user of the device

* @deprecated Consider using either {@link UserHandle#USER_SYSTEM} constant or

* check the target user's flag {@link android.content.pm.UserInfo#isAdmin}.

*/

@Deprecated

public static final @UserIdInt int USER_OWNER = 0;

// ...

public static final @UserIdInt int USER_SYSTEM = 0;

// ...

public static final int PER_USER_RANGE = 100000;

// ...

public static @UserIdInt int getUserId(int uid) {

    if (MU_ENABLED) {

        return uid / PER_USER_RANGE;

    else {

        return UserHandle.USER_SYSTEM;

    }

}

可看到通过 uid/100000 获得 Android 的 UserId,同时通过其它 final 字段和相关注释得知 OWNER/SYSTEM/ADMIN 的 UserId 是 0,因此我们可以通过 uid/100000 为 0 判断为主用户,非主用户直接判为多开即可。

验证

使用上文提到的 MIUI 中的 "应用双开" 功能,在进程中找到 UserId 999 运行的进程,因为第一列显示成了用户名,进 /proc/${PID}/status 查看进程 uid。uid / 100000 是 999,没毛病。

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

# --- adb shell ---

$ ps -ef | grep u999

u999_a118    14392   905 0 14:07:52 ?     00:00:01 com.miui.analytics

u999_system  19793   905 0 19:55:24 ?     00:00:00 com.android.keychain

shell        20408 13712 3 19:58:11 pts/0 00:00:00 grep u999

$ cat /proc/14392/status

Name:   .miui.analytics

Umask:  0077

State:  S (sleeping)

Tgid:   14392

Ngid:   0

Pid:    14392

PPid:   905

TracerPid:      0

Uid:    99910118        99910118        99910118        99910118

Gid:    99910118        99910118        99910118        99910118

可改进

  • 区分各种系统级双开/分身模式

反用户级应用多开

仍然是简单粗暴的代码

测试代码一

// --- C++ ---
#include <unistd.h>
#include <sys/stat.h>
#include <string>
bool isDualApp(std::string dataDir) {
    return 0 == access((dataDir + "/../").c_str(), R_OK);
}

测试代码二

1

2

3

4

5

// --- Java ---

import java.io.File;

boolean isDualApp(String dataDir){

    return new File(dataDir + File.separator + "..").canRead();

}

dataDir 目录的父级目录理论上归属 system 用户或 root 用户,除非是系统应用,否则不能访问。

补充

为什么使用 dataDir 而不是 nativeLibraryDir 或 sourceDir 呢?

看 nativeLibraryDir 和 sourceDir 目录所在的位置,base.apk 权限 rw-r-r--r--任意用户读取,lib 目录权限 rwxr-xr-x 任意用户读取和执行

1

2

3

4

5

6

# ls -al /data/app/com.example.checksandbox-ElZnrZIb5m2rbBv_3K8nZQ\=\=/

total 2420

drwxr-xr-x  3 system system    4096 2019-09-24 16:15 .

drwxrwx--80 system system   12288 2019-09-24 16:15 ..

-rw-r--r--  1 system system 2440234 2019-09-24 16:15 base.apk

drwxr-xr-x  3 system system    4096 2019-09-24 16:15 lib

而 dataDir 的目录权限 rwx------,私有不公开

1

2

3

4

5

6

7

# ls -al /data/user/0/com.example.checksandbox/

total 40

drwx------   5 u0_a366 u0_a366        4096 2019-09-24 16:15 .

drwxrwx--271 system  system        20480 2019-09-24 16:15 ..

drwxrws--x   2 u0_a366 u0_a366_cache  4096 2019-09-24 16:15 cache

drwxrws--x   2 u0_a366 u0_a366_cache  4096 2019-09-24 16:15 code_cache

drwxrwxr-x   5 u0_a366 u0_a366        4096 2019-09-24 16:15 lldb

因此,对于用户级多开软件来说,仅是实现多开功能,完全可以复用原本的 base.apk 和 lib,不需要在自己目录中释放一份,而 dataDir 目录却是必须要另外准备的。

验证

代码放 APP 里跑一遍看看

 

测试代码一结果

技术发行产品结果
DroidPlugin分身大师阴性
VirtualAppVirtualXposed阳性 +
VirtualAppDualSpace阳性 +
MultiDroidLBE平行空间阳性 +
Excelliance双开助手阳性 +
其它虚拟大师阳性 +

 

emmm,看来三六零在文件系统上的功能做得挺完善的,access 访问 dataDir 的父目录时返回了 -1 (errno: 13 Permission denied),其它的没什么问题

 

测试代码二结果

技术发行产品结果
DroidPlugin分身大师阳性 +
VirtualAppVirtualXposed阳性 +
VirtualAppDualSpace阳性 +
MultiDroidLBE平行空间阳性 +
Excelliance双开助手阳性 +
其它虚拟大师阳性 +

 

到底还是我高估了三六零。。。

威力加强版

上面给的两份代码容易被绕过,稍微换个姿势,获取到真实的路径,再利用父级目录进行检测。

1

2

3

graph LR;

A[dataDir的fd] --> B[fd反查真实路径]

--> C[尝试访问真实路径的父目录]

由于睡懵了忘记了细节,这里用 Java 写了份 "伪" 代码,由于没能绕过 hook,多少会存在瑕疵,但是原本的 ASM 代码绕过各种 Hook,达到通杀

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

// --- Java ---

import android.support.annotation.RequiresApi;

import java.io.File;

import java.io.FileDescriptor;

import java.io.FileOutputStream;

import java.lang.reflect.Field;

import java.nio.file.Files;

import java.nio.file.Paths;

 

@RequiresApi(api = Build.VERSION_CODES.O)

boolean isDualAppEx(String dataDir) {

    try {

        String simpleName = "wtf_jack";

        String testPath = dataDir + File.separator + simpleName;

        FileOutputStream fos = new FileOutputStream(testPath);

        FileDescriptor fileDescriptor = fos.getFD();

        Field fid_descriptor = fileDescriptor.getClass().getDeclaredField("descriptor");

        fid_descriptor.setAccessible(true);

        // 获取到 fd

        int fd = (Integer) fid_descriptor.get(fileDescriptor);

        // fd 反查真实路径

        String fdPath = String.format("/proc/self/fd/%d", fd);

        String realPath = Files.readSymbolicLink(Paths.get(fdPath)).toString();

        if (!realPath.substring(realPath.lastIndexOf(File.separator))

            .equals(File.separator + simpleName)){

            // 文件名被修改

            return true;

        }

        // 尝试访问真实路径的父目录

        String fatherDirPath = realPath.replace(simpleName, "..");

        Log.d(TAG, "isDualAppEx: " + fatherDirPath);

        File fatherDir = new File(fatherDirPath);

        if (fatherDir.canRead()) {

            // 父目录可访问

            return true;

        }

    } catch (Exception e) {

        e.printStackTrace();

        return true;

    }

    return false;

}

对用户级应用多开的理解

两个关键技术点:Binder IPC 拦截 、系统函数拦截

 

两个直观特征:沙盒破损、共享 UID

 

Binder IPC 拦截用于重定向 APP 与 Android 系统服务、其它应用的远程调用;

 

系统函数拦截主要用于重定向 I/O 操作,如果搞定所有 libc 函数,再配合修改过的 linker ,可以在一定程度上仿真 Linux 系统;

 

在用户级的多开中,没有系统的支持,缺少沙盒机制,应用的数据目录一般内嵌在宿主的数据目录中。同时,在同一个用户级多开软件中,内部的 APP 共享宿主的 UID,意味着他们都具有相同的权限,在系统层面上可以相互访问。因此,围绕这点,除了上文给出的方法外,还有三百六十五天不重复的姿势能够检出用户级的多开。

  • 由于是在用户态实现的隔离,不建议用于政企办公保密场景,有此类需求的可以直接用系统自带的 "Android for work" 功能。

业务前端白名单

如果己方有用户级的多开辅助工具,需要在 前端 检测上添加白名单,通常有三种白名单:

  • APK 包名
  • APK 签名公钥
  • APK 内文件(文件名/CRC/HASH)

前端白名单会成为一个很好的攻击点,需要相关业务的后端一起配合来弥补

DevilNoV
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Android中获取当前User id的方式
weixin_43507738的博客
07-19 8132
Android基于Linux,所以它也是支持多用户的。 当需要获取当前正在运行的user id时,有两种方式: android.os.Process.myUid() /** * Returns the identifier of this process's uid. This is the kernel uid * that the process is running under, which is the identity of its * app-spec
android sdk多开,[原创]Android 应用多开对抗实践
weixin_42524610的博客
05-29 907
Android 应用多开对抗实践白天午睡梦到些以前给某行业安全峰会写了材料,醒来后把记得的部分重新整理一下,分享出来给大家,尽量写得简洁明了。未必准确,仅供参考,欢迎纠正补充应用多开技术总结系统级技术多开技术方案发行版 APPAndroid 多用户功能OEM系统自带的"手机分身"、"应用双开",和 "Island/炼妖壶" 等各种 "Android for work" 产品chroot暂无发现 A...
简单的禁止应用被双开的方法
夏菠
11-05 3496
前段时间发现一个应用被双开后,不能同时在一个手机上登陆两个账号,登陆A之后,B会被踢下线。 刚开始还以为有什么黑科技,或者有名管道,本地socket之类的,或者是向sd卡写了什么文件,这几种方案都检查了,没有效果。 没办法只能分析它的逻辑了,应用是加固了的,脱壳之后分析其原理。偶然通过netstat命令发现了这个应用监听了一个端口,发现原来用了这么简单的一种方法防止双开,既没有读取IMEI,IMS...
Android获取当前进程和线程ID常用方法总结
热门推荐
u012438830的博客
03-23 1万+
线程和进程的获取常用方式: android.os.Process 获取当前进程ID:android.os.Process.myPid(); 获取当前进程的用户ID:android.os.Process.myUid(); 获取当前线程ID(1): Thread.currentThread().getId(); 获取当前线程ID(2): android.os.Process.myTid(); 获取应...
Android获取用户名
qq_51558437的博客
05-30 2536
Android基于Linux,所以它也是支持多用户的。 当需要获取当前正在运行的user id(int)时,有两种方式: android.os.Process.myUid()/100000 /** * Returns the identifier of this process’s uid. This is the kernel uid * that the process is running under, which is the identity of its * app-specific sand
Process.myPid、Process.myTid和Process.myUid方法简介
冰雪世界
03-25 4224
Process.myPid()、Process.myTid()和Process.myUid()这几个方法分别表示什么含义? PID全称为:Process Identifier,亦即进程ID。一个app中可以有多个进程,有个默认进程,称为主进程。 TID全称为:Thread Identifier,亦即线程ID。一个进程中可以有多个线程。每个进程有一个默认线程,称为主线程,通常为UI线程,其ID与进程ID相同。 UID全称为:User Identifier,亦即用户ID。一个app中只有一个用户。 可以通过如
Android下uid与多用户释疑
qdb
09-08 2959
Android是基于Linux的OS,Linux下有一套自己的账户管理体系,而Android对此有一些封装和改动。同时,Android也引进了自己的多用户功能。所以,大量的类似“uid”的概念存在于Android中,让初学者很头痛,有必要整理一下以释疑。 1.Linux uid/gid  Linux下的用户id(uid)和群组id(gid)。Linux是多用户系统,每个用户都拥有一个uid
微信_8.0.18全功能多开Ⅱ.ipa
03-30
微信_8.0.18全功能多开Ⅱ.ipa
wpe.rar_wpe_wpe多开游戏
09-24
【标题】"wpe.rar_wpe_wpe多开游戏" 提到的是一个关于网络游戏中使用的工具,名为WPE(Win32 Packet Editor)的压缩包。这个工具主要用于网络游戏的多开,即同时运行多个游戏客户端。 【WPE】是Windows平台下的...
沙盘_3.74_注册多开
02-15
这个版本特别强调了注册和多开,意味着用户可以创建多个独立的沙盘环境,每个环境都可以拥有自己的应用程序配置和数据,而不会互相干扰。 沙盘技术是一种虚拟化技术,它在操作系统层面创建了一个隔离的环境,使得在...
怎样完全退出android程序
06-25
Android中,如果想退出Android程序,一般都是调用finish()、System.exit(0)android.os.Process.killProcess(android.os.Process.myPid())等方法来实现退出程序功能,可是在实际开发中,并不能达到完全退出应用程序的效果,这是因为调用finish()、System.exit(0)、android.os.Process.killProcess(android.os.Process.myPid())只能杀死当前的activity,并不能杀死所有的activity,为了完美达到此效果,接下来通过一个案例实现
游戏通用多开器.zip_3d网游多开器_N1J_exe游戏多开_游戏多开_游戏多开
07-15
通用游戏多开器,支持大部分2D3D游戏,不用虚拟机
v5多开器,沙盒,游戏多开
10-24
【标题】"v5多开器,沙盒,游戏多开"所指的是一款名为v5的多开工具,主要用于实现应用程序,特别是游戏的多个实例同时运行。在IT领域,多开器是一种软件,它允许用户在同一设备上开启同一程序的多个副本,这样就可以在...
神途多开_神途多开_神途多开器_神途_
10-04
描述中的“直接把桌面神途游戏的快捷图标托到多开器进程框里然后开启”是指操作步骤,玩家需要将神途游戏的快捷方式拖拽到多开器的界面中,这样多开器就会识别并启动游戏。这个过程涉及到操作系统的基本交互、快捷...
mxdskqmsdkpl.9ht_85_冒险岛多开器079_
10-02
标题中的“mxdskqmsdkpl.9ht_85_冒险岛多开器079_”可能指的是一个特定版本的冒险岛游戏多开工具,079和085可能是该工具支持的不同游戏版本或者更新编号。这个工具的主要功能是允许用户在同一台电脑上同时运行多个...
Android基于Docker容器的双系统多开实现和自动化部署
hao_qi
01-20 9383
本文技术涉及基于Docker容器的移动端双系统实现系统及方法,所述系统包括相互连接的内核层及应用程序层,其中,应用程序层包括Docker模块以及Docker模块根据Docker创建的多个容器,所述内核层包括LSM模块,所述LSM模块用于对多个容器内的进程进行访问控制。本文技术提供的基于Docker容器的移动端双系统实现系统及方法,可有效阻止Docker容器进程对宿主机中没有被隔离文件资源的访问,完善了Docker容器与宿主机之间的访问控制机制,可满足多元场景的实用性及移动端的安全性,同时又可以省去多个移动端
Android 手机应用
qq_45146250的博客
09-16 3488
当前市面上实现手机分身的方式主要有三类:修改Framework -> 使用进行实现该方式适用于手机厂商,修改底层代码,通过创建多用户的方法来实现手机分身功能。通过getFileDir()的api发现,在本体得到的是 ,克隆得到的是修改apk通过反编译apk,修改apk的包名、签名等将apk伪装成另一个app,市面上常见的第三方多开app大部分都是使用该技术。其特点是每次制作一个分身都需要时间进行一个拷贝、并且在应用列表中可以看到参考资料:https://blog.csdn.net/weixin_439707
Android 虚拟多开系列二——技术原理
THMAIL的博客
02-17 6482
目录 Android虚拟多开应用有哪些? Android虚拟多开应用技术原理有哪几类? Android虚拟多开需求分析 反虚拟多开技术 正文 一、Android虚拟多开应用列表 应用名称 版本号 开源 公司名称 下载链接 太极 否 维术(个人) ...
Process.myPid、Process.myTid、Process.myUid释义
Jason_Lee155的博客
04-25 2511
Process.myPid()、Process.myTid()和Process.myUid()这几个方法分别表示什么含义呢?
android 微信多开代码
最新发布
08-07
要实现Android微信多开的功能,首先需要通过编写代码来达到此目的。 在Android开发中,我们可以使用多进程的方式实现微信多开。具体的步骤如下: 1. 在AndroidManifest.xml文件中,为微信添加一个新的进程声明。可以使用android:process属性来指定进程的名称。例如: ``` <application ...> ... <activity android:name=".MainActivity" android:process=":wechat1" /> ... </application> ``` 2. 在MainActivity的代码中,需要增加逻辑来判断当前进程的名称,并根据名称的不同来实现不同的功能。 ```java public class MainActivity extends AppCompatActivity { @Override protected void onCreate(Bundle savedInstanceState) { super.onCreate(savedInstanceState); setContentView(R.layout.activity_main); String processName = getProcessName(); if (processName != null && processName.equals("com.example.wechat:wechat1")) { // 处理微信多开的逻辑 ... } } } ``` 3. 在微信多开逻辑中,需要注意处理用户登录信息、数据的隔离等问题,以保证每个微信实例的独立性和安全性。 以上就是实现Android微信多开的基本代码逻辑。通过在AndroidManifest.xml中声明新的进程,然后在具体的Activity中根据进程名称来实现不同的功能,我们就可以实现微信多开的效果。当然,在实际的开发中,还需要处理一些细节问题,如多个微信实例之间的通信、通知栏的显示等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值