Android环境检测与绕过对抗

最新推荐文章于 2024-07-12 12:21:25 发布
最新推荐文章于 2024-07-12 12:21:25 发布
阅读量4.8k 收藏 29
点赞数 3
文章标签: android 网络 绕过
原文链接:http://cn-sec.com/archives/1379961.html
版权

Android环境检测与绕过对抗

近几年,各个厂商安全意识提高了~这本来是件好事....

可是吧...总感觉方向错了....

一直孜孜不倦的加强客户端的代码保护、环境检测....

PC 端各种客户端加壳、虚拟机检测等保护早就证明了一个道理:客户端安全永远比不上服务端安全。

提示

此处的环境以 Lsposed(Zygisk 版)+Magisk(Zygisk 模式)为例。

常见的环境检测方案#

  • 检测 Root 权限,例如直接请求 root 权限,或者查找 su 文件;
  • 检测是否存在 Magisk、Xposed 管理器以及 Xposed 模块;
  • 进行进程 Trace,检测是否存在 Xposed 进程、Frida 进程;
  • 进行代理检测,检测是否通过代理连接网络;
  • 进行 VPN 检测,检测是否通过 VPN 连接网络;
  • 采用单向认证、双向认证方案;
  • 检测 SELinux 状态,检测是否为开启状态;
  • 加各种乱七八糟的壳;
  • 检测 Bootloader 锁定情况,默认为锁定;
  • 检测是否开启调试模式;

对抗检测#

Root 对抗#

Magisk 需要安装最新版本:
直达链接

1. 按照下图配置开启 Zygisk#

2. 安装 Shamiko 模块#


直达链接

下载下来的是 magisk 模块,通过内置选择器安装。

3. 安装 Shamiko 白名单管理工具#


直达连接

4. 开启 Shamiko 白名单#

注意

shamiko 开启白名单后会屏蔽所有 root 请求,只有关闭白名单才能收到 root 请求

至此完成 Root 检测屏蔽

应用检测对抗#

1. 安装 HideMyAppList#


直达链接

2. 安装 HideMyAppList 的 Magisk 插件#

需要关闭 shamiko 的白名单模式,安装完成后重新启动

3. 创建应用隐藏模板#

4.对目标 App 进行隐藏#

隐藏完成后需要重新启动 app

进程 Trace 对抗、VPN 检测对抗#

使用对话框取消这个模块来搞定,
直达链接

frida 检测问题可以采用去特征的 Frida:
链接直达

代理检测对抗#

该方案适用于检测代理或者 App 干脆不走代理的情况。

注意

安卓 7 以上版本,系统不再信任用户安装的证书,可以手动操作移动到系统目录;

安卓 11 以上版本不支持直接将证书移动到系统目录,可以使用 Magisk 模块 MagiskTrustUserCerts 解决:https://github.com/NVISOsecurity/MagiskTrustUserCerts/releases,安装完证书后需要重新启动;

 

  3. adb shell 
  5. su root 
  7. cd /data/misc/user/0/cacerts-added 
  9. mount -o remount,rw /system 
  11. cp * /etc/security/cacerts/ 
  13. mount -o remount,ro /system 
 

  • 方案一:使用安卓端 VPN 抓包工具 HttpCanary
    直达链接,建议下载 3.3.6 版本
 

 

  • 方案二:使用 drony,开启虚拟 VPN,让 VPN 走代理即可,
    直达链接
 

 

单向认证、双向认证对抗#
 

单向认证#
 

使用 JustTrustMe++ 模块,
直达链接,使用方式比较傻瓜,推荐使用。
 

或者使用 Frida 脚本 ssl-pining-bypass:
直达链接
 

双向认证#
 

  •  
    先用单向认证的办法搞定一半
     
  •  
    解包,找证书(一般为 P12 后缀)
     
     
  
    1. tree -NCfhl |grep -i p12
  •  
    抓密码,这是最麻烦的一点
     
  
    • 采用 frida 脚本 hook 快速定位:
      直达链接
    • 自己手动去跟踪~
  •  
    将证书和密码导入代理工具,例如 burp~
     
 

SELinux 检测对抗#
 

 
 
一般的 rom 是默认开启 selinux 的,有的定制的 rom 可能会关闭 selinux。
 
 
检测 selinux,目前就遇到一个天翼支付会检测这个东西。
 

 

加壳对抗#
 

 
 
永远不要把你解决加壳问题的办法告诉客户,不然你会陷入无休止的 加壳-> 脱壳-> 加壳 中来~
 

 

  • 一代壳二代壳用 BlackDex 脱壳效果不错:
    链接直达
  • Dex-dump 也是不错的选择,针对爱加密有奇效:
    链接直达
  • 手动编译一个安卓脱壳机来脱壳:
    链接直达
 

常见问题定位技巧#
 

 
 
以下只是方便快速定位 app 可能做了哪些防护措施
 

 

打开 app 直接闪退#
 

  • 检测 root、检测 Magisk 环境等...
  • 检测进程、检测 xposed、检测 frida 等....
  • 检测虚拟机...
  • app 所使用的 api 不支持(比如安卓 10 使用安卓 12 的 api)
  • app 中使用 C++/C 编写的拓展没有编译对应平台(比如你在模拟器运行 apk 闪退,真机运行正常,这个情况就是 apk 没有编译 x86 的 so 文件导致的)
 

弹出环境异常并存在退出按钮#
 

 
 
一个不一定可以用,但是测试过的方法可以绕过:
 
 
使用**进程 Trace 对抗、VPN 检测对抗**中的对话框取消功能,开启作用之后,点弹窗的其他位置,理想情况下是直接关闭弹窗并进入 app,不理想的情况下就是直接退出 app。
 

 

  • 检测 root、检测 Magisk 环境等...
  • 检测进程、检测 xposed、检测 frida 等....
  • 检测虚拟机...
 

弹出网络异常#
 

  • 检测代理或者 VPN 了
  • 证书存在问题
  • 网络真的挂了
 

 
 
定位网络问题我比较推荐使用 HttpCanary,他会告诉你是什么原因导致的抓包失败,并告诉你解决方案。
 

 

原文地址:Android环境检测与绕过对抗原创 | CN-SEC 中文网

                

        

        

    




    

      

        

            

              
                
                  Redmaple925
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    3
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    29
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
android手机root检测

				
			

			

				

					07-15
				

			

		

		

			
				
android手机root检测,不弹窗
参考http://www.cnblogs.com/waylife/p/3846440.html

			
		

	



                

              
                



	

		

			

				
					
适用于IoT系统的Android恶意软件检测系统上的对抗性示例

				
			

			

				

					03-08
				

			

		

		

			
				
适用于IoT系统的Android恶意软件检测系统上的对抗性示例

			
		

	



                


  
              

                


	

		

			

				
					
安装狐狸面具

					
最新发布

				
			

			

				

					yuliana的博客
				

				

					07-12
					
					422
					
				

			

		

		

			
				
最近遇到个检测root比较难顶的apk,加固厂商是ajm。使用shamiko没有过掉检测,百度了一下,发现了一个好玩的东西——德尔塔面具。要注意的是,如果手机上安装有shamiko模块,先将该模块移除,二者有冲突。然后打开目标apk,再也不会卡在app启动界面了,也不会闪退了。点击直接安装,然后点击开始,如果看不到直接安装,退出重启即可。进入兰德尔面具,选择"安装"最后卸载magisk。

			
		

	





	

		

			

				
					
Android逆向之旅---破解某支付软件防Xposed等框架Hook功能检测机制

				
			

			

				

					编码美丽
				

				

					05-15
					
					8728
					
				

			

		

		

			
				

  
    
                    

                    

                    
                    
                    一、情景介绍最近想写几个某支付软件的插件,大家现在都知道现在插件大部分都是基于Xposed的hook...

			
		

	



		

			
		



	

		

			

				
					
Android安全检查之Root环境检测

				
			

			

				

					小马总的博客
				

				

					04-26
					
					4304
					
				

			

		

		

			
				
当进入APP的时候检测提示用户





    /**
     * Is rooted boolean.
     *
     * @return the boolean
     */
    public static boolean isRooted() {
        // nexus 5x "/su/bin/"
        String[] paths = {"/syste...

			
		

	





	

		

			

				
					
Android应用安全之运行环境检查

				
			

			

				

					7huaping的专栏
				

				

					07-20
					
					2266
					
				

			

		

		

			
				
上文是关于运行时签名检查,这一节我们讨论运行时环境检查,一般我们应用被破解都是在调试模式下进行的,所以对于调试模式下的判断可以断了此路
首先Release版本debuggable的检查必须的,不能有debuggable存在于发布的产品中,这也是CTS的一部分。
其次,应用程序需要实时判断环境变化,使用模拟器或者已经破解了的手机(这个还没有好的办法,因为其可能改变系统属性)进行调试运行的判断,方

			
		

	





	

		

			

				
					
基于Android的城市环境监测系统

				
			

			

				

					a1060916181的博客
				

				

					09-01
					
					1615
					
				

			

		

		

			
				
添加要跳转的页面java名。建一个要跳转的页面的java文件写一个与之对应的layout主文件中先写入触发绑定的事件,如按到什么键。此程序是按到相应的菜单后跳转,随后输入代码Intent进行绑定,Baojing换成你要跳转的页面。跳转页面的java文件写入该代码。

			
		

	





	

		

			

				
					
Android 环境检测

				
			

			

				

					mds0517的博客
				

				

					06-15
					
					940
					
				

			

		

		

			
				
用于检测手机的环境

			
		

	





	

		

			

				
					
七、安卓手机环境检测软件分享

				
			

			

				

					天雨流芳的专栏
				

				

					09-16
					
					1923
					
				

			

		

		

			
				
都2023年了,还有人拿着幻影、威霸、某某大师、HUC、K8魔盒割别人,拜托 玩玩可以,别当生产力工具赚钱,要是那么简单,别人还花钱搞设备牧场做什么,甭管别人怎么吹的天花乱坠,自己用下面的这些APP挨个过一遍,就原形毕露了,免得被割,如果这些APP都过不了,大厂的检测只会更强,是骡子是马拉出来溜溜。3: Ruru1.16: Android开发工具箱7: 安兔兔8: 微信,建行,中国电信,中国移动,支付宝。

			
		

	





	

		

			

				
					
安卓逆向环境检测

				
			

			

				

					weixin_44348983的博客
				

				

					06-26
					
					894
					
				

			

		

		

			
				
安卓、逆向、环境检测检测、逆向分析、对抗、安卓对抗

			
		

	





	

		

			

				
					
安卓 反调试 环境检测点汇总 hook( 面具 xp ida frida )检测点 和 绕过策略

				
			

			

				

					arr的博客
				

				

					01-06
					
					8836
					
				

			

		

		

			
				
属于到处收集的资料和工作中碰到的,在此感谢文末出处链接的作者

我把他们分为三大部分,由浅至深,实际上检测点实在太多了,肯定不全的,如果有漏掉的麻烦大佬在评论区指出
Java
在java层检测的实际很容易就能找到,因为app反调试的反映只有几种

闪退
弹窗
卡启动页

实际上甚至可以无视上面几种,无脑hook所有函数,再过滤掉启动必须的函数就能找到
1.应用主动申请root权限
来源: https://www.cnblogs.com/android-er/p/5478298.html
主要是这一条命令
.

			
		

	





	

		

			

				
					
面向安卓恶意软件检测对抗攻击技术综述.pdf

				
			

			

				

					09-21
				

			

		

		

			
				
4. 对抗攻击技术的发展:对抗攻击技术将继续在 Android 恶意软件检测领域中发展和完善,特别是在绕过基于人工智能算法的检测方面。   Android 恶意软件检测模型的安全性 Enhancement   Android 恶意软件检测模型的...

			
		

	





	

		

			

				
					
一种基于深度学习的强对抗Android恶意代码检测方法.pdf

				
			

			

				

					08-18
				

			

		

		

			
				
概述:本文提出了基于深度学习的强对抗Android恶意代码检测方法,旨在解决现有检测方法易被绕过的问题。该方法首先设计了移动应用行为分析方法,结合静态和动态分析,破除反分析技术的干扰,稳定可靠地提取移动...

			
		

	





	

		

			

				
					
玩转Android10源码开发定制(六)修改内核源码绕过反调试检测

				
			

			

				

					xiaomaNo01的专栏
				

				

					12-30
					
					1262
					
				

			

		

		

			
				
一、Android反调试

反调试在代码保护中扮演着非常重要的角色,虽然不能完全阻止攻击者,但是能加大攻击者的分析时间成本。目前绝大多数Android app都加固了,为了防止App被调试分析,加固功能中添加了各种反调试功能,比如:自己ptrace自己、检查函数执行时间、读取/proc/$pid/wchan或者/proc/$pid/task/$pid/wchan文件信息判断调试状态、读取/proc/$pid/stat或者/proc/$pid/task/$pid/stat文件信息判断调试状态、读取/...

			
		

	





	

		

			

				
					
android模拟器检测对抗方法 android

				
			

			

				

					06-21
				

			

		

		

			
				
在模拟器中检查与真实设备硬件参数相同的数据,以绕过检测,提高识别难度。此外还可以使用XPOSED框架,来使硬件参数信息看上去更加真实。  (2)操作系统绕过  使用修改后的ROM来绕过对模拟器的检测。例如,...

			
		

	





	

		

			

				
					
Android 运行环境(模拟器)检测记录

				
			

			

				

					ALakers的博客
				

				

					07-28
					
					658
					
				

			

		

		

			
				
public boolean readSysProperty(Context context) {
        int i;
        int i2;
        if (context == null) {
            throw new IllegalArgumentException("context must not be null");
        }
        String property = getProperty("gsm.version.baseba.

			
		

	





	

		

			

				
					
安卓逆向环境检测--xposed

				
			

			

				

					weixin_44348983的博客
				

				

					06-27
					
					1417
					
				

			

		

		

			
				
安卓、逆向、检测

			
		

	





	

		

			

				
					
从搭建环境到一个简单Android App测试实例

					
热门推荐

				
			

			

				

					范斐斐
				

				

					09-28
					
					2万+
					
				

			

		

		

			
				
本文简单记录了我的Appium入门学习历程。系统环境为Win7 x64,Appium client选择Python,Python版本为2.7。那就开始吧。

环境的搭建

1. JDK

到Oracle官网下载,我安装的是8u121 x64版本。

安装完,添加环境变量:JAVA_HOME,值:JDK安装的路径,如C:\Program Files\Java\jdk1.8.0_121

			
		

	





	

		

			

				
					
安卓APP环境检测

				
			

			

				

					weixin_48076656的博客
				

				

					12-08
					
					162
					
				

			

		

		

			
				
Android某app的环境检测分析

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值