检测是否安装了xposed相关应用,检测调用栈道的可疑方法,检测并不应该native的native方法,通过/proc/[pid]/maps检测可疑的共享对象或者JAR。

最新推荐文章于 2023-06-27 13:56:57 发布
最新推荐文章于 2023-06-27 13:56:57 发布
阅读量1.7k 收藏 3
点赞数 2
文章标签: Android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37599041/article/details/80110088
版权



package com.greens1995.myapplication;


import android.content.Context;
import android.content.pm.ApplicationInfo;
import android.content.pm.PackageManager;
import android.util.Log;


import java.io.BufferedReader;
import java.io.FileReader;
import java.util.HashSet;
import java.util.List;
import java.util.Set;


/**
 * Created by Ben on 2018/1/29.
 */


public class CheckHook {


    public static boolean isHook(Context context) {
        return isHookByPackageName(context) || isHookByStack(context) || isHookByJar();
    }


    /**
     * 包名检测
     *
     * @param context
     * @return
     */
    public static boolean isHookByPackageName(Context context) {
        boolean isHook = false;
        PackageManager packageManager = context.getPackageManager();
        List<ApplicationInfo> applicationInfoList = packageManager.getInstalledApplications(PackageManager.GET_META_DATA);
        if (null == applicationInfoList) {
            return isHook;
        }
        for (ApplicationInfo applicationInfo : applicationInfoList) {
            if (applicationInfo.packageName.equals("de.robv.android.xposed.installer")) {
                Log.wtf("HookDetection", "Xposed found on the system.");
                isHook = true;
            }
            if (applicationInfo.packageName.equals("com.saurik.substrate")) {
                isHook = true;
                Log.wtf("HookDetection", "Substrate found on the system.");
            }
        }
        return isHook;
    }
 // 1. 如果存在Xposed框架hook  
    // (1)在dalvik.system.NativeStart.main方法后出现de.robv.android.xposed.XposedBridge.main调用  
    // (2)如果Xposed hook了调用栈里的一个方法,  
    // 还会有de.robv.android.xposed.XposedBridge.handleHookedMethod  
    // 和de.robv.android.xposed.XposedBridge.invokeOriginalMethodNative调用  
  
    // 2. 如果存在Substrate框架hook  
    // (1)dalvik.system.NativeStart.main调用后会出现2次com.android.internal.os.ZygoteInit.main,而不是一次。  
    // (2)如果Substrate hook了调用栈里的一个方法,  
    // 还会出现com.saurik.substrate.MS$2.invoked,com.saurik.substrate.MS$MethodPointer.invoke还有跟Substrate扩展相关的方法 
    public static boolean isHookByStack(Context context) {
        boolean isHook = false;
        try {
            throw new Exception("blah");
        } catch (Exception e) {
            int zygoteInitCallCount = 0;
            for (StackTraceElement stackTraceElement : e.getStackTrace()) {
                if (stackTraceElement.getClassName().equals("com.android.internal.os.ZygoteInit")) {
                    zygoteInitCallCount++;
                    if (zygoteInitCallCount == 2) {
                        Log.wtf("HookDetection", "Substrate is active on the device.");
                        isHook = true;
                    }
                }
                if (stackTraceElement.getClassName().equals("com.saurik.substrate.MS$2") &&
                        stackTraceElement.getMethodName().equals("invoked")) {
                    Log.wtf("HookDetection", "A method on the stack trace has been hooked using Substrate.");
                    isHook = true;
                }
                if (stackTraceElement.getClassName().equals("de.robv.android.xposed.XposedBridge") &&
                        stackTraceElement.getMethodName().equals("main")) {
                    Log.wtf("HookDetection", "Xposed is active on the device.");
                    isHook = true;
                }
                if (stackTraceElement.getClassName().equals("de.robv.android.xposed.XposedBridge") &&
                        stackTraceElement.getMethodName().equals("handleHookedMethod")) {
                    Log.wtf("HookDetection", "A method on the stack trace has been hooked using Xposed.");
                    isHook = true;
                }


            }
        }
        return isHook;
    }


    public static boolean isHookByJar() {
        boolean isHook = false;
        try {
            Set<String> libraries = new HashSet();
            String mapsFilename = "/proc/" + android.os.Process.myPid() + "/maps";
            BufferedReader reader = new BufferedReader(new FileReader(mapsFilename));
            String line;
            while ((line = reader.readLine()) != null) {
                if (line.endsWith(".so") || line.endsWith(".jar")) {
                    int n = line.lastIndexOf(" ");
                    libraries.add(line.substring(n + 1));
                }
            }
            for (String library : libraries) {
                if (library.contains("com.saurik.substrate")) {
                    Log.wtf("HookDetection", "Substrate shared object found: " + library);
                    isHook = true;
                }
                if (library.contains("XposedBridge.jar")) {
                    Log.wtf("HookDetection", "Xposed JAR found: " + library);
                    isHook = true;
                }
            }
            reader.close();
        } catch (Exception e) {
            Log.wtf("HookDetection", e.toString());
        }
        return isHook;
    }
}


  

心灵实惠
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Android Java层的hook检测(Cydia Substrate或者Xposed框架)
u012131859的博客
06-08 6820
参考原文 http://d3adend.org/blog/?p=589 参考翻译 http://drops.wooyun.org/tips/16356 注意:原文中第3个方法检测并不应该nativenative方法”没用实现。 检测代码如下: import java.io.BufferedReader; import java.io.FileReader; import
通过Xposed框架Hook打印Java函数调用
wei.zheng BLOG
09-05 2535
Xposed Xposed的使用有2点限制条件 1 需要Root 2 适用于Android4-Android9, 在Android10会有无法访问网络的问题 无法Root问题:适用VitualXposed 建立一个Android工程 app/build.gradle文件中添加xposed依赖 compileOnly 'de.robv.android.xposed:api:82' 新建一个Java类,实现IXposedHookLoadPackage接口,用来Hook方法 package com.ex
xposed视频教程
05-03
本套课程主要讲利用xposedandroid平台进行逆向分析,适合用于喜欢android系统的安全人员,如果对android逆向分析有兴趣那本套视频教程非常适合。
Xposed 框架检测机制
Codeoooo 博客
06-17 2111
Zygote是Android的核心,每运行一个app,Zygote就会fork一个虚拟机实例来运行app,Xposed Framework深入到了Android核心机制中,通过改造Zygote来实现一些很牛逼的功能。Zygote的启动配置在init.rc 脚 本 中,由系统启动的时候开启此进程,对应的执行文件是/system/bin/app_process,这个文件完成类库加载及一些函数调用的工作。
安卓逆向环境检测--xposed
最新发布
weixin_44348983的博客
06-27 1278
安卓、逆向、检测
xposed检测方法
Tesi1a的充电桩
03-18 5838
1.尝试加载xposed的类,如果能加载则表示已经安装了。 XposedHelpers类中存在fieldCache methodCache constructorCache 这三个静态成员,都是hashmap类型,凡是需要被hook的且已经被找到的对象都会被缓存到这三个map里面。 我们通过便利这三个map来找到相关hook信息。 备注:方法a是检测xposed到底改了什么东西存放到a中。抖音似乎...
论文研究-一种基于Xposed框架的Android应用恶意行为检测方法 .pdf
08-18
一种基于Xposed框架的Android应用恶意行为检测方法,王赛,郭燕慧,针对Android终端日益猖獗的恶意攻击,本文从恶意行为的触发和捕获两个方面对现有方法进行改进,提出一种基于Xposed框架的Android应用恶�
XposedDetectLib:[不推荐使用]轻巧但功能强大的解决方案库,用于检测xposed安装
03-21
强大的检测功能,可用于任何类型的xposed安装。 支持版本 rovo89的Xposed 基于Riru的任何xposed变体(例如 ) 特征 轻的 反斗篷(对MagiskHide , Zuper , RootCloak等进行测试) 用法 需要NDK来编译该库。 将其...
模拟器中安装xposed相关资源
09-09
资源包括: xposed framework :v89, sdk25(支持android7.1,32位系统) XposedInstaller_3.1.5.apk:用于管理xposed的 使用步骤在: https://mp.csdn.net/mp_blog/creation/editor/126780374
Android中利用Xposed框架实现拦截系统方法
09-01
Android系统中,Xposed框架通过系统进程注入技术,使得开发者能够拦截并修改系统或应用方法调用,从而实现自定义功能。 ### 前言 1. **Xposed框架介绍**:Xposed框架的核心在于其提供的API,让开发者可以方便...
Xposed框架的检测
七月冷雨
02-23 8151
参考文章:http://d3adend.org/blog/?p=589Xposed和CydiaSubstrate是常用的两款hook框架。其中Xposed能够对java层进行hook,CydiaSubstrate能够对java层和native层进行hook。我们如何检测当前的手机已经安装了相应的框架以及判断当前进程是否被hook呢?方法只有一个,收集hook框架安装及运行时在系统中留下的信息。一、包
利用Xposed Hook打印Java函数调用信息的几种方法
热门推荐
Fly20141201. 的专栏
02-26 1万+
本文博客链接:http://blog.csdn.net/QQ1084283172/article/details/79378374在进行Android逆向分析的时候,经常需要进行动态调试回溯,查看Java函数的调用流程,Android的smali动态调试又不是很方便,因此使用Android的Java Hook的方法,打印Java函数调用信息辅助静态分析。package com.xposedd...
linux proc self exe,如何检测Linux上/ proc/self/maps中的可执行文件或共享对象
weixin_35443436的博客
05-16 875
我想列出所有加载到应用程序地址空间的库(.so)。我使用procfs并从/ proc/self/maps中读取信息。我现有的方法检测文件是可执行文件或.so?或者我需要将每个找到的模块名称与/ proc/self/exe的值进行比较?如何检测Linux上/ proc/self/maps中的可执行文件或共享对象UPD还有一些问题。当我解析/ proc/self /映射procfs文件时,我想找到每...
安卓端自行实现工信部要求的隐私合规检测二(使用Xposed/VirtualXposed进行监测)
cjs1534717040的专栏
07-15 6811
一、准备条件 1、已经root的手机可以下载Xposed.apk Xposed在github上面开源,可以自己下载XposedInstaller的源码进行编译,也可以直接下载已经编译好的apk。 支持安卓5及以上的app 支持安卓5以下的app 2、没有root的手机可以下载VirtualXposed.apk VirtualXposed在github上面有专门的release页面,其作者在0.20.x的版本的时候放弃了对32位应用的支持,理由是谷歌商店未来只允许64位的app上架,不想花更多精力维护32位的
聊聊Xposed检测
zhangmiaoping23的专栏
03-19 1239
转:http://www.360doc.com/content/19/0601/18/29401987_839659591.shtml 这两天看到有部分人称微信大规模封号,主要被封的是Xposed和各类微信插件的使用者,部分人说自己只是安装Xposed,但并未使用微信相关的任何插件也被封了。由此有人开始说微信侵犯用户隐私,随意扫描用户的手机等等。 本人一直是Xposed的...
验证Xposed模块自身是否被启用
牵手生活
12-02 7363
任何一个xposed插件都必须在xposed installer 上勾选,并在插件上开启相关设置(有些是没界面的,默认开启),然后重启系统才能生效。 但用户可能因为各种原因没有启用模块,导致所有的设置都无法应用。 这个时候,就有必要提醒下用户,当然如果插件除了问题,也可以清楚的看到到底是“没有用”还是“没应用xposed应该提供了一个接口查询本插件的启用状态,当没没有这方面的接口
Xposed检测与自定义Xposed
qq_33604739的博客
07-04 4007
Xposed检测与自定义Xposed前言:Xposed检测1、遍历App安装列表检测2、自造异常检测信息。3、检查关键Java方法是否变为native方法4、反射XposedHelper类和XposedBridge类5、检测Xposed相关文件6、Root检测7、安全建议自定义Xposed一、修改XposedBridge.jar包名二、修改Xposed相关文件名三、修改installer包名 ...
android 检查xposed,Xposed那些事儿 -- xposed框架的检测和反制
weixin_28931449的博客
05-27 811
[Java] 纯文本查看 复制代码public void b(){try{Object localObject = ClassLoader.getSystemClassLoader().loadClass("de.robv.android.xposed.XposedHelpers").newInstance();// 如果加载类失败 则表示当前环境没有xposedif (localObject !...
phoenixos root与安装xposed方法
03-16
Phoenix OS 是一个基于 Android 的操作系统,它可以...注意,如果 Phoenix OS 的版本与你使用的 Xposed 版本不兼容可能会导致问题或者无法安装。 请注意,使用root及其他高级操作有可能造成系统的不稳定,请谨慎操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值