阿里系产品Xposed Hook检测机制原理分析
https://www.cnblogs.com/jiaoxiake/p/6243d5344b71a1f9dcf71ae2dabc9687.html
1.反射Xposed的类:通过反射获取de.robv.android.xposed.XposedHelpers类的成员变量,检测obXposedHelper成员fieldCache,methodCache,constructorCache是否有支付宝包的关键字
2.注入SO库检测:/proc/pid/maps ,检测进程中使用so名中包含关键"hack|inject|hook|call" 的信息
3.检测Root:是否含有su程序文件和属性ro.secure是否为1
Native hook 技术文章 2018/07
http://ele7enxxh.com/Android-Arm-Inline-Hook.html
http://gslab.qq.com/portal.php?mod=view&aid=168
大学生改善的ele7enxxh Inline-hook代码(ARM32,ARM64)
https://paper.seebug.org/650/
https://gtoad.github.io/2018/07/06/Android-Native-Hook-Practice/
https://gtoad.github.io/2018/07/05/Android-Native-Hook/
https://github.com/GToad/Android_Inline_Hook_ARM64
ele7enxxh Inline-hook
缺陷:.a库编出来后只有armeabi和armeabi-v7a不支持其他的了
别人的一个Android Native Hook Demo
大致思路就是cpp的jni onload中