Android防作弊-2020.04.04

最新推荐文章于 2023-05-11 17:33:04 发布
最新推荐文章于 2023-05-11 17:33:04 发布
阅读量1.1k 收藏 6
点赞数
分类专栏: 面试题总结 文章标签: android 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010725842/article/details/105305283
版权

1.so 防调试总结:

第一、自己附加进程,先占坑,ptrace (PTRACE_TRACEME, 0, 0, 0)!
第二、签名校验不可或缺的一个选择,本地校验和服务端校验双管齐下!
第三、借助系统 api 判断应用调试状态和调试属性,最基础的防护!
第四、轮训检查 android_server 调试端口信息和进程信息,防护IDA的一种有效方式!
第五、轮训检查自身 status 中的 TracerPid 字段值,防止被其他进程附加调试的一种有效方式!

注意:一般反调试在 JNI_OnLoad 中执行,也有的是在 INIT_ARRAY 段和 INIT 段中早于 JNI_OnLoad 执行。可通过 readelf 工具查看 INIT_ARRAY 段和 INIT 段的信息,定位到对应代码进行分析。检测时间差来检测是否中间有被单步调试

2.Cydia Substrate 其原理:

框架注入 zygote 进程,采用 inline hook( 修改目标函数前N字节,跳转到自定义函数入口,
备份目标函数前N个字节,跳转回目标函数)

Xposed 原理:

替换 app_process,将需要 hook 的 java 函数替换成 JNI 函数,所有需要 HOOK 的函数
首先由 XposedCallHandler 处理,xposedCallHandler负责调用注册的 
beforeHookMethod 和 afterHookedMethod

adbi原理:

利用 ptrace 函数 attach 到一个进程上,然后在其调用序列中插入一个调用 dlopen 函数的步骤,
将一个实现预先备好的 .so 文件加载到要 hook 的进程中,最终由这个加载的 .so 文件在初始化化函数
中 hook 指定的函数。

3.xhook plt hook 原理:

读 maps,确认当前 hook 地址的内存访问权限。
如果权限不是可读也可写,则用 mprotect 修改访问权限为可读也可写。
如果调用方需要,就保留 hook 地址当前的值,用于返回。
将 hook 地址的值替换为新的值。(执行 hook)
如果之前用 mprotect 修改过内存访问权限,现在还原到之前的权限。
清除 hook 地址所在内存页的处理器指令缓存。

4.frida 检测:

 Java 遍历运行的进程列表从而检查 fridaserver 是否在运
 fridaserver 默认的 TCP 端口是 27047,可以检查这个端口是否开放。
 在内存中扫描 frida 的库特征 “gadgets”。我选择字符串 “LIBFRIDA”,它在所有 
 frida-gadget 和 frida-agent 的版本中都有出现。
(注意有些函数是自定义实现的,但是功能和 libc 中的一样,设置了系统调用的参数,执行了软中断。)

5.xposed 检测:

(1).通过 ClassLoader 的 loadClass 加载XposedHelper 来修改一些局部变量值,阻止hook.
   处理方式,通过Hook 类加载修改 加载的类名

(2).通过 代码抛出一个异常,在堆栈中,查找Xposed相关的内容,

(3).通过读取 shell 命令 /proc/pid(应用进程id)/maps 可以拿到当前上下文的 so 和 jar 列表,
     查找Xposed相关

(4). 由于Xposed的hook,是通过so修改被hook的方法为native来实现的,所以检测方也
     可以通过检测方法是否变成了native来达到检测的目的

6.Root检测:

是否含有su程序和ro.secure是否为1
ro.secure = 0,表示adb shell将以root用户身份运行,而不是shell用户。
ro.debuggable = 1或service.adb.root = 1,然后adb也将以root身份运行。

检查目录权限:
Root使某些根文件夹可读,如/ data或可写,如/ etc,/ system / xbin,/ system,
/ proc,/ vendor / bin等。运行mount命令并检查是否有任何设备使用“rw”挂载标记,
或尝试在“/ system”或“/ data”文件夹下创建文件。
尝试使用命令“ mount -o remount,rw / system ” 挂载“/ system”分区,并检查返回码。

7.双开检测:

满足同一uid下的两个进程对应的包名,在"/data/data"下有两个私有目录,则该应用被多开了
检测files目录路径
maps检测

8.模拟器检测:

模拟器的IMSI、IDS、默认文件等几个方面进行检测。
      如:  //310260000000000, /system/bin/qemu-props
基于模拟器cpu信息的检测。cpu信息看看是否包含intel、amd等字段 x86,vbox86p
可以从电池的温度和电量等信息入手,检测温度在使用过程中是否一直保持不变、
或者是电量一直是固定值并且不是百分之百等等。
仰望星空_lmh
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android检查adb作弊,使用Shodan扫描暴露的Adb(Android Debug Bridge)从而控制全球在线的Andriod设备...
weixin_35861708的博客
05-28 1869
你是否想过要远程控制别人的手机,曾几何时你是否想过这种问题?今天我就给大家分享一个在GitHub上的项目,通过Adb端口远程连接暴露在网络上的设备。这个项目确实是个好东西,但是在GitHub上的fork有点惨淡,但是这个完全不影响它的能力,这个项目名称为PhoneSploit。他分别支持Windows和Linux,对于喜欢Linux的我,所以,今天我就在Linux(kali)系统上进行演示。准备工...
APP风控SDK之Android APP作弊SDK解决方案
哆啦安全
08-11 2165
APP风控SDK
Android检查adb作弊,Android adb命令暴力测试你的Activity
weixin_39653405的博客
05-28 457
使用adb命令反复打开/退出你的activity,同时使用Profiler查看app各个情况。前提条件:1.你的电脑配置好adb环境变量。2.新建Test.java。我的电脑环境不允许我直接在android studio或终端编译java文件,所以我选择把Java类放进Intelij中命令格式:public class Test {public static void main(String[] ...
如何止欺骗点击作弊的分析
在梦想的天空下
04-17 1129
随着在线广告的流行,pay by per click(每次点击付钱)的模式逐渐被大家接受。可是 随之而来的问题就是fraud clicking的预迫在眉捷,因为这将直接关系到这种广告模式能否长 久生存和能否成为一种真正的网站拥有者的收入来源。 下面介绍Google Adsense系统如何从系统角度出发止点击欺骗,希望对其它的在线广告 系统止虚假点击能有很好的指导作用: 1、点击率 =
Android虚拟机多开检测
Zaratustra
09-14 7585
0. 背景目前市面上越来越多通过虚拟化多开的应用或者开源项目,包括 平行空间 VirtualApp 双开助手 DualSpace Go双开 双开精灵 其中VirtualApp是一个个人开源的,直接点击可以跳转到GitHub页面。这些虚拟化方案都已经非常成熟并且许多经过了市场的检验。但是很多敏感的应用,比如支付,社交,金融并不想让自己运行在虚拟环境中,因为在虚拟环境中很容易进行伪造设备,进行注入,进行
Tutorial-i386.exe
08-12
本资源为Cheat Engine 训练教程,本教程将尝试讲解在游戏中作弊的一些基本知识,并帮助你熟悉 Cheat Engine 的使用方法。通过本应用,可以帮助新人快速入门CE的基本操作方法。如查找数据,修改数据等等
基于Forge的Minecraft作弊ModCat-Cheats.zip
07-19
一个基于 Forge 的 Minecraft 作弊Mod。 目前提供方块透视、夜视、创造模拟Give、本地观察者模式四个功能。 且有中英双语言。 标签:CatCheats
永安在线-真人作弊黑灰产业研究报告-2020.7-23页精品报告2020.pdf
04-24
永安在线-真人作弊黑灰产业研究报告-2020.7-23页精品报告2020.pdf
Android-from-java-to-kotlin.zip
09-17
Android-from-java-to-kotlin.zip,从Java到KOTLIN——Java到Kotlin的作弊表,安卓系统是谷歌在2008年设计和制造的。操作系统主要写在爪哇,C和C 的核心组件。它是在linux内核之上构建的,具有安全性优势。
圣安地列斯作弊代码-大全.doc
09-29
圣安地列斯作弊代码-大全.doc
手游反外挂方案解析
最新发布
FairGuard手游加固(企业官方博客)
05-11 1376
FairGuard以技术为驱动,研发了多项业界独家技术,搭建了针对不同场景及游戏类型的功能矩阵。
Frida通过APK的签名校验
Xzike的博客
03-08 4071
APP简单启动顺序 点击APP启动 执行Application(attach, onCreate方法) 执行开屏界面Activity 执行Main Activity(onCreate方法) 启动成功 简单签名校验 签名校验一般在APP启动阶段 几个安卓中常见的类: Context类:android.content.Context保存应用环境信息 PackageManager类: 获取安卓系统信息和APP的信息 Signature类:https://developer.android.google.cn/
python的frida实现app抓包_Android 逆向 | Frida 是万能的吗? 检测 Frida 的几种办法...
weixin_39545102的博客
12-17 1432
Frida 在逆向工程狮中很受欢迎,你基本可以在运行时访问到你能想到的任何东西,内存地址、native 函数、Java 实例对象等。在 OWASP 的移动测试指南里就提到了 Frida。但是啊,每出来个好用的注入工具,都会有反注入、反反注入、反反反注入、反...注入。这篇文章要介绍的是 Android APP 检测 Frida 的方法。检查 Frida 的痕迹一种简易方法是检测 Frida 的运行...
Android开发中通过关键路径初步检测虚拟机环境,作弊
热门推荐
Rprop
11-18 3万+
实际开发过程中, 碰到用户使用虚拟机进行违反规则的活动(作弊,逆向等等)时着实令开发人员头疼, 于是应运而生的便是各种检测方法, 其不外乎基于虚拟环境的特征进行检测, 而可执行文件的路径也是其中之一. 以下是收集的关键路径,欢迎补充:  "/data/app/com.bluestacks.appmart-1.apk" "/data/app/com.bluestacks.BstCo
移动广告作弊作弊原理及解决方案解读
liweiminlining的专栏
07-24 2554
https://www.csdn.net/article/a/2019-04-24/15939515 摘要:根据热云数据对虚假流量的深入研究,目前移动广告虚假流量主要通过技术手段不断变更设备信息与内存数据,实现模拟行为,批量生成想要的流量。另外还有设备信息伪装,通过篡改设备ID号或者使用模拟器等进行,并伪造不同的网络环境,实现设备MAC、IMEI、Android ID、系统版本号不重复、机型变换...
一行代码帮你检测Android多开软件
weixin_34233618的博客
07-13 2601
声明:本篇文章已授权微信公众号 guolin_blog (郭霖)独家发布 目录 简介 借鉴方案&测试结果 端口法检测思路 实现方案 测试结果 Demo地址 简介 最近有业务上的要求,要求app在本地进行诸如软件多开、hook框架、模拟器等安全检测,作弊行为。 作弊一直是老生常谈的问题,而软件多开检测往往是作弊中的重要一环,在查找资料的过程中发现多开软件公司对多开手段进行了针对...
Android笔记:多开/分身检测
程龙的博客
07-09 4547
多开/分身原本用于方便有多个微信/QQ解决同时登录的问题,但近来年被各种黑产所利用,多见于薅羊毛,部分多开App甚至提供了篡改功能。对于普通用户根本不会有多开的需求的App,一旦检测到当前运行在多开环境下,有理由限制该用户的后续行为。 在尝试了目前市面上多款多开App后,总结了几种检测方案。 多开原理 目前市面上的多开App的原理类似,都是以新进程运行被多开的App,并hook各类系统函数,使被多...
anti-fraud-admin  反欺诈后台
wange6906的博客
04-26 2859
172.30.15.21 项目运行路径:/usr/local/apache-tomcat-anti-fraud-web-8082/webapps/anti-fraud-admin-web* 测试页面:http://172.30.15.20:8080/anti-fraud/services/bairong.jsp 1.备份包:Codebackup # cd /app/Codebackup/ #mkdir 2020-03-18 #cd 2020-03-18 ...
作弊系统主流框架有哪些
03-31
1. 外挂系统:通过检测外挂程序进程或者修改游戏内存数据的方式来止外挂作弊。 2. 封号系统:通过记录玩家的行为数据,分析出异常行为,自动判定是否封禁该玩家账号。 3. 作弊引擎:利用人工智能技术和大...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值