android hook之 xposed检测

最新推荐文章于 2024-06-04 14:52:56 发布
最新推荐文章于 2024-06-04 14:52:56 发布
阅读量1.3k 收藏 2
点赞数
分类专栏: android反编译 hook 文章标签: android
原文链接:https://blog.csdn.net/u012131859/article/details/51612641
版权

注意:原文中第3个方法“检测并不应该native的native方法”没有实现。

检测代码如下:

import java.io.BufferedReader;
import java.io.FileReader;
import java.util.HashSet;
import java.util.List;
import java.util.Set;
 
import android.content.Context;
import android.content.pm.ApplicationInfo;
import android.content.pm.PackageManager;
import android.util.Log;
 
/**
 * 检测native hook框架:Cydia Substrate、Xposed
 * 
 * @author admin
 *
 */
public class FindHook {
 
    private static boolean findHookAppName(Context context) {
        PackageManager packageManager = context.getPackageManager();
        List<ApplicationInfo> applicationInfoList = packageManager
                .getInstalledApplications(PackageManager.GET_META_DATA);
 
        for (ApplicationInfo applicationInfo : applicationInfoList) {
            if (applicationInfo.packageName.equals("de.robv.android.xposed.installer")) {
                Log.wtf("HookDetection", "Xposed found on the system.");
                return true;
            }
            if (applicationInfo.packageName.equals("com.saurik.substrate")) {
                Log.wtf("HookDetection", "Substrate found on the system.");
                return true;
            }
        }
        return false;
    }
 
    private static boolean findHookAppFile() {
        try {
            Set<String> libraries = new HashSet<String>();
            String mapsFilename = "/proc/" + android.os.Process.myPid() + "/maps";
            BufferedReader reader = new BufferedReader(new FileReader(mapsFilename));
            String line;
            while ((line = reader.readLine()) != null) {
                if (line.endsWith(".so") || line.endsWith(".jar")) {
                    int n = line.lastIndexOf(" ");
                    libraries.add(line.substring(n + 1));
                }
            }
            reader.close();
            for (String library : libraries) {
                if (library.contains("com.saurik.substrate")) {
                    Log.wtf("HookDetection", "Substrate shared object found: " + library);
                    return true;
                }
                if (library.contains("XposedBridge.jar")) {
                    Log.wtf("HookDetection", "Xposed JAR found: " + library);
                    return true;
                }
            }
        } catch (Exception e) {
            Log.wtf("HookDetection", e.toString());
        }
        return false;
    }
 
    // 1. 如果存在Xposed框架hook
    // (1)在dalvik.system.NativeStart.main方法后出现de.robv.android.xposed.XposedBridge.main调用
    // (2)如果Xposed hook了调用栈里的一个方法,
    // 还会有de.robv.android.xposed.XposedBridge.handleHookedMethod
    // 和de.robv.android.xposed.XposedBridge.invokeOriginalMethodNative调用
 
    // 2. 如果存在Substrate框架hook
    // (1)dalvik.system.NativeStart.main调用后会出现2次com.android.internal.os.ZygoteInit.main,而不是一次。
    // (2)如果Substrate hook了调用栈里的一个方法,
    // 还会出现com.saurik.substrate.MS$2.invoked,com.saurik.substrate.MS$MethodPointer.invoke还有跟Substrate扩展相关的方法
 
    private static boolean findHookStack() {
        try {
            throw new Exception("findhook");
        } catch (Exception e) {
 
            // 读取栈信息
            // for(StackTraceElement stackTraceElement : e.getStackTrace()) {
            // Log.wtf("HookDetection", stackTraceElement.getClassName() + "->"+
            // stackTraceElement.getMethodName());
            // }
 
            int zygoteInitCallCount = 0;
            for (StackTraceElement stackTraceElement : e.getStackTrace()) {
                if (stackTraceElement.getClassName().equals("com.android.internal.os.ZygoteInit")) {
                    zygoteInitCallCount++;
                    if (zygoteInitCallCount == 2) {
                        Log.wtf("HookDetection", "Substrate is active on the device.");
                        return true;
                    }
                }
                if (stackTraceElement.getClassName().equals("com.saurik.substrate.MS$2")
                        && stackTraceElement.getMethodName().equals("invoked")) {
                    Log.wtf("HookDetection", "A method on the stack trace has been hooked using Substrate.");
                    return true;
                }
                if (stackTraceElement.getClassName().equals("de.robv.android.xposed.XposedBridge")
                        && stackTraceElement.getMethodName().equals("main")) {
                    Log.wtf("HookDetection", "Xposed is active on the device.");
                    return true;
                }
                if (stackTraceElement.getClassName().equals("de.robv.android.xposed.XposedBridge")
                        && stackTraceElement.getMethodName().equals("handleHookedMethod")) {
                    Log.wtf("HookDetection", "A method on the stack trace has been hooked using Xposed.");
                    return true;
                }
            }
        }
        return false;
    }
 
    public static boolean isHook(Context context) {
        if (findHookAppName(context) || findHookAppFile() || findHookStack()) {
            return true;
        }
        return false;
    }
 
}

检测绕过的方法

对应如下:
hook PackageManager的getInstalledApplications,把Xposed或者Substrate的包名去掉
hook Exception的getStackTrace,把自己的方法去掉
hook 打开的文件的操作,返回/dev/null或者修改的map文件

原文链接:https://blog.csdn.net/u012131859/article/details/51612641

参考原文 http://d3adend.org/blog/?p=589

参考翻译 http://drops.wooyun.org/tips/16356

走遍星空的CG
关注
专栏目录
android8 检测xposed,Xposed检测与自定义Xposed
weixin_39850365的博客
05-26 507
Xposed检测与自定义Xposed前言:Xposed检测1、遍历App安装列表检测2、自造异常检测堆栈信息。3、检查关键Java方法是否变为native方法4、反射XposedHelper类和XposedBridge类5、检测Xposed相关文件6、Root检测7、安全建议自定义Xposed一、修改XposedBridge.jar包名二、修改Xposed相关文件名三、修改installer包名前...
安卓 反调试 环境检测点汇总 hook( 面具 xp ida frida )检测点 和 绕过策略
arr的博客
01-06 9164
属于到处收集的资料和工作中碰到的,在此感谢文末出处链接的作者 我把他们分为三大部分,由浅至深,实际上检测点实在太多了,肯定不全的,如果有漏掉的麻烦大佬在评论区指出 Java 在java层检测的实际很容易就能找到,因为app反调试的反映只有几种 闪退 弹窗 卡启动页 实际上甚至可以无视上面几种,无脑hook所有函数,再过滤掉启动必须的函数就能找到 1.应用主动申请root权限 来源: https://www.cnblogs.com/android-er/p/5478298.html 主要是这一条命令 .
Android Hook检测技术的一些浅谈
weixin_42673574的博客
01-04 1109
针对xposed hook、frida hook检测话,还有一种方法,就是被xposed hook的Java方法修饰符都会变成native,3.通过mmap将文件映射到内存,然后把内容传给ELF解析工具,获取其.text段的偏移和大小。这种方式最好放到线程里面去做,缺陷是app自身不能使用inline hook,否则也会被检测到。对比内存中的.text段和文件中的.text的crc是否相等。2.匹配到你需要检测的so文件,获取其的加载基地址和文件路径。比如检测libxxx.so,命名空间,指定类等等。
聊聊Xposed检测
zhangmiaoping23的专栏
03-19 1281
转:http://www.360doc.com/content/19/0601/18/29401987_839659591.shtml 这两天看到有部分人称微信大规模封号,主要被封的是Xposed和各类微信插件的使用者,部分人说自己只是安装了Xposed,但并未使用微信相关的任何插件也被封了。由此有人开始说微信侵犯用户隐私,随意扫描用户的手机等等。 本人一直是Xposed的...
Android xposed权限检测
weixin_42345592的博客
09-14 2072
前言 由于开发的公司的APP上线华为市场被拒绝,APP以隐私政策弹窗前,非法收集用户信息,mac地址。 排查过程 通过抓包我们确认没用在弹出隐私条款前,发送类似的接口上报敏感信息,后和工信部电话沟通确认是只要你有调用getMacAddress此方法,就认定为非法的,即使你没有上报。所以就想怎么抓取那些sdk调用了getMacAddress 确定方案 使用VirtualXposed在手机上装了一下虚拟系统。 :https://github.com/android-hacker/VirtualXposed Ho
安卓应用hook测试
Scorpio_m7
12-29 5096
安卓应用渗透测试
基于XposedAndroid Hook测试
Locksk的博客
03-03 1605
0x01前言此次测试基于海马模拟器,Xposed框架版本为54,测试内容为安卓apk程序中的函数的传入参数的拦截准备工具:android studio                XposedBridgeApi-54.jar                海马模拟模拟器0x02 搭建框架在海马模拟器安装Xposed框架0x03准备测试样例用Android Studio写一个简单的测试的安卓程序D...
Android应用防xposed注入,android hook 框架 xposed 如何实现注入
weixin_39956036的博客
05-26 946
转:http://www.cnblogs.com/jiayy/p/4305018.html前面分析的adbi框架和libinject都是使用so注入的方式,实现将指定代码装入目标进程,这种方式有几个特点:1. 是动态的,需要目标进程已经启动2. 无法影响全局,比如注入A进程挂钩里边libc.so的open函数,此时,B进程使用的libc.so的open函数还是老函数,linux系统通过COW机制,...
Android逆向之旅—Hook神器Xposed使用详解
尼古拉斯.赵四的博客
02-08 2794
一、前言 关于Xposed框架相信大家应该不陌生了,他是AndroidHook技术的一个著名的框架,还有一个框架是CydiaSubstrate,但是这个框架是收费的,而且个人觉得不怎么好用,而Xposed框架是免费的而且还是开源的,网上也有很多文章介绍了Xposed框架的原理实现,不了解的同学可以自行查阅即可,本文主要介绍如何通过这个框架来进行系统方法的拦截功能,比如我们开发过程中,对于一些测...
android微信hook过滤检测,基于Xposed hook 实时监测微信消息
weixin_32017139的博客
05-26 1932
本文以微信版本6.7.3为例进行分析有hook, 大部分做微信机器人的话,首先要实时抓取微信的消息,在这里展示三种方式对微信的消息进行hook:1.基于UI层拉取加载进行监听2.基于微信dao层调用的保存进行监听3.基于数据库的插入保存进行监听 这三层各有各的特点请自行选用package cn.robot;import android.content.ContentValues;import an...
xposed hook框架的使用(二)
08-17
androidHook,xposed,Android逆向androidHook,xposed,Android逆向
Android中破解某支付软件防Xposedhook功能检测机制过程分析
2401_84558442的博客
04-29 950
因为文件太多,全部展示会影响篇幅,暂时就先列举这些部分截图。场吐槽、大厂内推、面试辅导),让我们一起学习成长!
android 检查xposed,[原创]利用Xposed躲过Xposed检测
weixin_36221149的博客
05-27 1942
越来越多的app对xposed进行了检测通过分析了其中部分对xposed检查的代码,希望通过xposed的方式阻止xposed检测达到通用的目的。一般检查手段有很多,楼主也没分析完,这里列举了几个和处理方式。1、通过ClassLoader的loadClass加载XposedHelper 来修改一些局部变量值,阻止hook.处理方式,通过Hook 类加载修改 加载的类名//过防止调用loa...
tomcat使用、部署方式、目录结构、将tomcat集成到idea中创建web项目详细步骤
qq_45698833的博客
10-18 460
tomcat启动方式 进入tomcat目录下的bin目录,找到startup.bat ,双击运行该文件即可 关闭 正常关闭: * bin/shutdown.bat * ctrl+c 2. 强制关闭: * 点击启动窗口的× 部署项目的方式 直接将项目放到webapps目录下即可 简化部署:将项目压缩成一个war包,再将war包放置到webapps目录下。 war包会自动解压缩 配置conf/server.xml文件 在<Host>标签体中配置 <Context d
jni android service,JNI的方式来检测AndroidServiceHook(演示检测爆破签名校验)
weixin_29638241的博客
05-29 228
[C++] 纯文本查看 复制代码int isHookPMS(JNIEnv *env){jobject cPMSO = getCurrentPMSObject(env);jclass cPMSC = (*env)->GetObjectClass(env, cPMSO);jclass cPMSFC =(*env)->GetSuperclass(env,cPMSC);jclass proxy...
安卓逆向环境检测--hook
weixin_44348983的博客
06-26 2470
安卓、逆向、检测
Android中的HOOK技术
最新发布
m0_62787113的博客
06-04 794
HOOK技术
android检测,[原创]企业壳反调试及hook检测分析
weixin_30786631的博客
05-30 525
企业壳反调试及hook检测分析1.写在开始... 22.反调试之时间线程检测... 23.反调试之ptrace检测... 54.大致调用流程... 75.Hook检测Xposed检测... 86.Hook检测之substrate检测... 97.小结... 108.参考引用... 101.写在开始最近在学习梆梆壳加固思路,在调试的过程中遇到了反调试,很是苦恼,而且每次调试都会被中断,盆友在论坛发...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值