阿里系产品Xposed Hook检测机制原理分析

最新推荐文章于 2024-05-09 18:18:32 发布
最新推荐文章于 2024-05-09 18:18:32 发布
阅读量1k 收藏 6
点赞数 1
文章标签: 移动开发 java
原文链接:https://segmentfault.com/a/1190000009976827
版权

导语:

在逆向分析android App过程中,我们时常用的用的Java层hook框架就是Xposed Hook框架了。一些应用程序厂商为了保护自家android App不被Xposed Hook框架给hook。于是想尽各种方法检测自己产品是否被Xposed Hook给Hook。笔者最近逆向分析阿里系的产品,发现阿里系的产品能够检测自否给Xposed Hook了。本文就带领给位一起看看官阿里系产品是如何做的这一点的,本文就选择阿里的支付宝作为我们分析对象。

检测现象:

  1. 编写一个简单的支付宝的Xposed hook 模块, 模块代码如下:
    图片描述

2.安装XPosed hook mo模块,重启设备,打开支付宝,就会看到如下一个对话框:非法操作的,你的手机不安全。这说明支付宝检测自己被Hook了。

图片描述

分析过程:

0.分析工具和分析对象

样本:Alipay_wap_main_10.0.18

工具:AndroidKiller, JEB2.2.7

源码:XPosed 框架源码

  1. 为了快速找到代码Xposed的检测代码位置,我们就不从对话框作为分析入口啦,我们直接使用androidKiller打开文件Alipay_wap_main_10.0.18.apk, 然后在工程中搜索xposed相关的关键字,例如:xposed
    图片描述

根据搜索结果,我们找到看了两个security相关的类。我们使用JEB工具对这两个类进行分析,我们暂且分析CheckInject类。
图片描述

我们看到这里获得通过反射获得一个类de.robv.android.xposed.XposedHelpers 的一个对象,于是我们可以确认发现代码就这里。

  1. 由于Smali代码是经过混淆的代码,不便于读者阅读,于是笔者将代码整理如下:

图片描述

通过反射获取de.robv.android.xposed.XposedHelpers类的一个对象obXposedHelper,然后调用CheckKeywordInFiled 检测obXposedHelper成员fieldCache,methodCache,constructorCache是否有支付宝包的关键字,CheckInject.CheckKeywordInFiled, 这个函数代码 。笔者也这个函数整理如下:

图片描述

fieldCache, methodCache,constructorCache然是XposedHelpers的静态成员,类型是HashMap<String, Field>

图片描述

通过反射遍历这些HashMap 缓存字段, 如字段项的key中包含支付宝的关键字"alipy" "taobao",等信息, 者认为是检测有Xposed 注入

4.我们来继续分析Xposed hook框架是如何将hook信息存储到fieldCache,methodCache,constructorCache这些缓存字段当中的(我们需要下载XPosed 源码分析,github有下载)。我们最通常调用findAndHookMethod 函数hook一个函数, 所以我们分析这个函数,函数代码如下:
图片描述

这个函数我们暂时还无法看到存储相关的代码,这个主要实现依赖函数findMethodExact, 于是我们继续分析

图片描述

我们发现 methodCache.put(fullMethodName, e); 将方法名和方法Method 存储在方法缓存中吗。

5.CheckInject类类中除了有XPosed 检测, 还有SO注入检测机制的代码和手机检测是否Root的代码。笔者也将这些代码整理分享给各位看官:

● Root检测代码如下

图片描述

检测依据是:获取default.prop 中文件ro.secure的值1 且 /system/bin/ 或者/system/xbin 有su程序可认定程序被root了

● So注入检测

由于实现比较简单,就不贴代码,直接阐述原理吧。SO注入检测原理:读取当前进程的maps文件, 遍历每一行, 是否进程中使用so名中包含关键"hack|inject|hook|call" 的信息, “hack|inject|hook|call” 字符信息使用Base64加密, 如下:

图片描述
分析结论和安全建议:

结论:

1.支付宝的Xposed hook 检测原理: Xposed Hook 框架将Hook信息存储在fieldCache, methodCache,constructorCache 中, 利用java 反射机制获取这些信息,检测Hook信息中是否含有支付宝App中敏感的方法,字段,构造方法。

2.支付宝的SO检测原理: 检测进程中使用so名中包含关键"hack|inject|hook|call" 的信息。

3.支付宝的Root检测: 是否含有su程序和ro.secure是否为1

安全建议:

像这些 "de.robv.android.xposed.XposedHelpers","fieldCache","methodCache","constructorCache" 想这些敏感字符串信息可以进行一些简单加密。防止用户直接根据关键字搜索找到关键函数。

同时对dex相关内容进行加密,DEX加密之后反编译的难度大大增加,这里支持下朋友公司几维安全的APK加密产品,欢迎大家体验他们的移动加密产品 http://www.kiwisec.com/produc...

weixin_33894640
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
论文研究-一种基于Xposed框架的Android应用恶意行为检测方法 .pdf
08-18
一种基于Xposed框架的Android应用恶意行为检测方法,王赛,郭燕慧,针对Android终端日益猖獗的恶意攻击,本文从恶意行为的触发和捕获两个方面对现有方法进行改进,提出一种基于Xposed框架的Android应用恶�
Xposed检测
weixin_42793441的博客
07-14 4058
前段时候微信封禁了一大批使用 xposed 的微信账号,对一些运营微信的企业造成的巨大损失。下面我们聊聊 xposed检测机制。 市面上 xposed检测手段一般包含如下几种方法 XposedInstaller 检测Java检测是否安装 xposed 组件; 堆栈信息检测 xposed 相关信息; 检测关键方法是否是 native 方法;(只能检测出是否 hook, 但是...
Xposed 框架检测机制
Codeoooo 博客
06-17 2079
Zygote是Android的核心,每运行一个app,Zygote就会fork一个虚拟机实例来运行app,Xposed Framework深入到了Android核心机制中,通过改造Zygote来实现一些很牛逼的功能。Zygote的启动配置在init.rc 脚 本 中,由统启动的时候开启此进程,对应的执行文件是/system/bin/app_process,这个文件完成类库加载及一些函数调用的工作。
Xposed检测与自定义Xposed
qq_33604739的博客
07-04 3909
Xposed检测与自定义Xposed前言:Xposed检测1、遍历App安装列表检测2、自造异常检测堆栈信息。3、检查关键Java方法是否变为native方法4、反射XposedHelper类和XposedBridge类5、检测Xposed相关文件6、Root检测7、安全建议自定义Xposed一、修改XposedBridge.jar包名二、修改Xposed相关文件名三、修改installer包名 ...
面试:Hook框架Xposed、Dexposed、Epic原理
王温暖的博客
12-23 3794
Xposed原理Xposed原理简介及其精简化 - 简书 Xposed 实现原理分析_l0neman 的博客-CSDN博客_xposed原理 Dexposed原理 Android中免Root实现Hook的Dexposed框架实现原理解析以及如何实现应用的热修复_尼古拉斯.赵四的博客-CSDN博客_dexposed Epic原理 我为Dexposed续一秒——论ART上运行时 Method AOP实现 | Weishu's Notes ...
多种Native Hook检测机制分析
快乐de胖虎
06-25 3848
阿里产品Xposed Hook检测机制原理分析 https://www.cnblogs.com/jiaoxiake/p/6243d5344b71a1f9dcf71ae2dabc9687.html 1.反射Xposed的类:通过反射获取de.robv.android.xposed.XposedHelpers类的成员变量,检测obXposedHelper成员fieldCache,methodCach...
安卓逆向_22( 一 ) --- Xposed【 Android Studio + Xposed 实现简单的 hook
墨鱼菜鸡
07-11 2043
From:使用渗透测试框架 Xposed 框架 hook 调试 Android APP:https://www.freebuf.com/articles/terminal/56453.html Xposed框架分析:https://blog.csdn.net/zjx839524906/article/details/81046844 xposted框...
Xposed Hook专题
09-24
Xposed Hook模块开发教程,从Xposed框架安装,到Xposed模块开发,详细讲解Xposed中使用到的类与方法,以及实战案例分析
android XPosed Hook登陆劫持源代码
11-21
简单实例 代码亲测有用 实现 IXposedHookLoadPackage接口 指定要 hook 的包名 判断当前加载的包是否是指定的包 指定要 hook 的方法名 实现beforeHookedMethod方法和afterHookedMethod方法(hook的具体功能)
基于Xposed hook 实时监测微信消息
04-19
本文以微信版本6.7.3为例进行分析hook, 大部分做微信机器人的话,首先要实时抓取微信的消息,在这里展示三种方式对微信的消息进行hook: 1.基于UI层拉取加载进行监听 2.基于微信dao层调用的保存进行监听 3.基于...
Xposed Hook技术
05-25
Xposed思维导图,便捷整理思路,新建Android项目、导入jar包、java代码、assets文件夹下xposed_init、配置AndroidManifest.xml文件
构建跨平台应用的利器——UniApp
2301_79698214的博客
05-09 221
性能优秀:UniApp 使用了基于 Native 渲染的方式,在不同平台上实现了原生级别的性能体验。UniApp 是一款基于 Vue.js 的跨平台应用框架,它允许开发者使用相同的代码构建同时运行在多个平台(如Web、iOS和Android)的应用程序。同时,UniApp 还提供了丰富的内置组件和插件,简化了常见功能的开发过程,使开发更加便捷。生态统:UniApp 拥有庞大且活跃的生态统,内置了丰富的组件和插件,同时也支持与第三方组件库和插件进行集成。这大大提高了开发效率,减少了重复开发的工作量。
使用flutter开发一个U盘文件管理APP,只解析图片文件
Homjay的博客
05-09 241
本文讲述的是如何使用Flutter实现对U盘文件目录进行读取,操作,然后对图片文件进行解析并且展示的具体实现思路和代码逻辑供大家参考。
[Android]国内流行的应用市场
Gamin
05-07 952
由于Google Play商店服务国内不可用,有许多其它的应用商店充当Android应用的分发渠道。这些商店通常由中国的主要科技公司运营,每个商店都有自己的运营策略和用户基础。全球移动供应商市场份额中国的Android应用市场环境与全球其他地区有显著的不同,主要是由于缺乏一个统一的市场平台,如Google Play在其他许多国家所扮演的角色。
【android systrace学习】
最新发布
q_2474932226的博客
05-09 151
这里面基本涵盖了systrace的基础知识。
展开说说:Android Fragment完全解析-卷三
Hidanchaofan的博客
05-03 933
本文章分析了Fragment的管理器FragmentManager、事务以及完整的声明周期和动态加载Fragment的原理解析。
安卓 app icon大小 安卓app界面尺寸大小
s_sos0的博客
05-04 928
android app icon大小 android app界面尺寸大小
xposed hook
06-28
Xposed Hook 是一种 Android 应用程序开发技术,它允许开发人员在不修改应用程序源代码的情况下,在运行时修改应用程序的行为。这是通过在统运行时加载一个模块来实现的,该模块可以修改应用程序的 Java 方法。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值