多种Native Hook检测机制分析

最新推荐文章于 2023-07-15 11:47:39 发布
最新推荐文章于 2023-07-15 11:47:39 发布
阅读量3.9k 收藏
点赞数 3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ljphhj/article/details/93593899
版权

阿里系产品Xposed Hook检测机制原理分析

https://www.cnblogs.com/jiaoxiake/p/6243d5344b71a1f9dcf71ae2dabc9687.html

1.反射Xposed的类:通过反射获取de.robv.android.xposed.XposedHelpers类的成员变量,检测obXposedHelper成员fieldCache,methodCache,constructorCache是否有支付宝包的关键字

2.注入SO库检测:/proc/pid/maps ,检测进程中使用so名中包含关键"hack|inject|hook|call" 的信息

3.检测Root:是否含有su程序文件和属性ro.secure是否为1

Native hook 技术文章 2018/07
http://ele7enxxh.com/Android-Arm-Inline-Hook.html
http://gslab.qq.com/portal.php?mod=view&aid=168

大学生改善的ele7enxxh Inline-hook代码(ARM32,ARM64)
https://paper.seebug.org/650/
https://gtoad.github.io/2018/07/06/Android-Native-Hook-Practice/
https://gtoad.github.io/2018/07/05/Android-Native-Hook/
https://github.com/GToad/Android_Inline_Hook_ARM64

ele7enxxh Inline-hook
缺陷:.a库编出来后只有armeabi和armeabi-v7a不支持其他的了
别人的一个Android Native Hook Demo

大致思路就是cpp的jni onload中

最低0.47元/天 解锁文章
胖虎
关注
专栏目录
第十章 Hook 与注入(一)(Hook 的类型)
zlmm741的博客
04-17 1611
文章目录Hook 与注入Hook 的类型Dalvik HookART HookLD_PRELOAD HOOKGOT HookInline Hook Hook 与注入 软件加密技术不断更新迭代,攻防双方水平不断提升,单纯的静态级别的安全对抗已很少出现,分析人员面对得更多的是高强度的代码加密技术和程序防篡改技术,在此背景下,新的软件分析技术 —— Hook 与注入应运而生 反编译 APK、修改或添加...
:实用 FRIDA 进阶 --- objection :内存漫游、hook anywhere、抓包
墨鱼菜鸡
07-11 4396
转载:实用FRIDA进阶:内存漫游、hook anywhere、抓包:https://www.anquanke.com/post/id/197657 frida github 地址:https://github.com/frida/frida objection github:https://github.com/sensepost/objection...
Native Hook
01-30
用于对API下钩子的演示程序,非常不错.可以快速学习如何制作钩子程序
Android Native Hook工具实践
11-06 668
本文章所对应项目长期维护与更新,因为在我自己的几台测试机上用得还挺顺手的。本项目作为作者本人的一个学习项目将会长期更新以修复当前可能存在的Bug以及跟进以后Android NDK可能出现的主流汇编模式。 本...
android native hook
03-31
android hook 源码 自己都没有c币去下载了,所以就要1分吧
Android native Hook工具
12-24
Android进程so注入Hook java方法的原理和使用(一)中介绍的Android native Hook工具文件,已经在android模拟器上进行Hook测试,能够成功,提供给需要的朋友,也为自己备份一下。
Android Native Hook工具
Android系统攻城狮
03-07 754
前言 在目前的安卓APP测试中对于Native Hook的需求越来越大,越来越多的APP开始逐渐使用NDK来开发核心或者敏感代码逻辑。个人认为原因如下: 安全的考虑。各大APP越来越注重安全性,NDK所编译出来的so库逆向难度明显高于java代码产生的dex文件。越是敏感的加密算法与数据就越是需要用NDK进行开发。 性能的追求。NDK对于一些高性能的功能需求是java层无法比拟的。 手游的...
Android_Inline_Hook_ARM64,建立一个.so文件,自动执行android本地钩子的工作。支持ARM64!有了这个,像xposed这样的工具就可以实现android原生hook。.zip
09-25
开发者需要确保插入的钩子代码不会破坏原有函数的执行流程,同时防止被其他安全机制检测到。 6. **兼容性**:由于不同的Android版本和设备可能存在差异,项目的兼容性是另一个挑战。开发者需要测试在多种设备和...
Android Native层透明加密关键技术的研究.pdf
09-21
在Android Native层的透明加密方案中,通常会结合多种加密算法,例如RSA非对称加密算法用于密钥交换和身份验证,SM3和SM4密码算法则用于文件数据的对称加密。RSA提供了安全的密钥分发机制,而SM3和SM4作为国密标准,...
(frida小记)nativeHook
akswyh的博客
04-09 3960
nativeHook 写到这里需要说明一下关于so文件当中的函数,分为导出函数和未导出函数两种,导出函数打开IDA后能够在导出表中找到的函数就是导出函数,未导出函数则在导出表中寻找不到,一般来说静态编写的native函数都能在导出表中寻找到,而动态加载的则无法在导出表中发现!!! Hook的目标依然是01里面编译出的APK python frida native: # coding:utf-8 import frida import sys jscode = """ Java.perform(func
Native层的Hook神器Cydia Substrate
09-18
Hook底层方法非常方便,对so中的方法hook操作非常便捷
使用Xposed对native进行hook
头铁逆向的旅程
01-07 6775
使用Xposed对native进行hook,Dobby框架的使用
Native Hook 快速上手
chuyouyinghe的专栏
06-05 845
Hook 原意是指钩子,它表示的就是在某个函数的上下文做自定义的处理来实现我们想要的黑科技大家可能比较熟悉 Java 层的一些 Hook 技术,比如反射,动态代理,或者 ASM 字节码插桩在 Java 层之外,Android 系统还有很大一部分属于 Native 层,有时不可避免的需要用到 Native Hook 技术本文主要介绍 Native Hook 是什么,以及如何通过一个例子快速上手。
Android安全 Hook技术,Android安全-Native Hook
weixin_39737636的博客
05-31 249
接上一篇继续。0x1 原理在完成对目标进程的动态库注入后,我们通常还需要改变目标进程的执行流程、替换原函数从而达到自己的目的。而所谓的Hook是指改变待Hook函数的入口地址,转而指向我们的函数,变更原函数功能。0x2 流程NativeHook过程如下:0x01 注入SO(libhook.so)成功后,调用dlsym函数,获取SO中函数handle_hook的地址;0x02 调用函数handle_...
Native Hook详细讲解
最新发布
feather(猎羽)
07-15 490
本文链接:https://blog.csdn.net/feather_wch/article/details/131737387。
android 的hook技术,Android Native Hook技术(一)
weixin_39929138的博客
05-30 959
原理分析ADBI是一个著名的安卓平台hook框架,基于动态库注入与inline hook技术实现。该框架主要由2个模块构成:1)hijack负责将so注入到目标进程空间,2)libbase是注入的so本身,提供了inline hook能力。源码目录中的example则是一个使用ADBI进行hook epoll_wait的示例。hijackhijack实现动态库注入功能,通过在目标进程插入d...
Android Native Hook技术(二)
weixin_30696427的博客
10-28 264
Hook技术应用 已经介绍了安卓 Native hook 原理,这里介绍 hook 技术的应用,及Cyida Substrate框架。 分析某APP,发现其POST请求数据经过加密,我们希望还原其明文。经分析,加密是在so中的Java_com_imohoo_jni_Main_abc()函数内完成的。 该函数通过getkey()和getIV()分别生成加密密钥与IV,然后使用A...
Android Java层的hook检测(Cydia Substrate或者Xposed框架)
u012131859的博客
06-08 6869
参考原文 http://d3adend.org/blog/?p=589 参考翻译 http://drops.wooyun.org/tips/16356 注意:原文中第3个方法“检测并不应该nativenative方法”没用实现。 检测代码如下: import java.io.BufferedReader; import java.io.FileReader; import
安卓应用hook测试
Scorpio_m7
12-29 5122
安卓应用渗透测试
揭秘Native+Hook技术:GOT/PLT、Trap与Inline Hook的原理与对比
- 与GOT/PLT Hook相比,Trap Hook可能更底层,对硬件和操作系统底层机制要求更高,但它提供了更细粒度的控制,适用于对特定行为进行精确干预的场景。 3. **Inline Hook** - Inline Hook技术,也称为内联Hook,是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值