Android Java层的anti-hooking技巧

最新推荐文章于 2022-07-11 07:35:00 发布
最新推荐文章于 2022-07-11 07:35:00 发布
阅读量136 收藏
点赞数
文章标签: 移动开发 java
原文链接:https://segmentfault.com/a/1190000007047376
版权

原文是英文,乌云上的是中文翻译,英文原文地址 Android Anti-Hooking Techniques in Java

原文链接:Android Java层的anti-hooking技巧

0x00 前言

一个最近关于检测native hook框架的方法让我开始思考一个Android应用如何在Java层检测Cydia Substrate或者Xposed框架。

声明:下文所有的anti-hooking技巧很容易就可以被有经验的逆向人员绕过,这里只是展示几个检测的方法。在最近DexGuard和GuardIT等工具中还没有这类anti-hooking检测功能,不过我相信不久就会增加这个功能。

0x01 检测安装的应用

一个最直接的想法就是检测设备上有没有安装Substrate或者Xposed框架,可以直接调用PackageManager显示所有安装的应用,然后看是否安装了Substrate或者Xposed。

PackageManager packageManager = context.getPackageManager();
List applicationInfoList  = packageManager.getInstalledApplications(PackageManager.GET_META_DATA);

for(ApplicationInfo applicationInfo : applicationInfoList) {
    if(applicationInfo.packageName.equals("de.robv.android.xposed.installer")) {
        Log.wtf("HookDetection", "Xposed found on the system.");
    }
    if(applicationInfo.packageName.equals("com.saurik.substrate")) {
        Log.wtf("HookDetection", "Substrate found on the system.");
    }
}

0x02 检查调用栈里的可疑方法

另一个想到的方法是检查Java调用栈里的可疑方法,主动抛出一个异常,然后打印方法的调用栈。代码如下:

public class DoStuff {
    public static String getSecret() {
        try {
            throw new Exception("blah");
        }
        catch(Exception e) {
            for(StackTraceElement stackTraceElement : e.getStackTrace()) {
                Log.wtf("HookDetection", stackTraceElement.getClassName() + "->" + stackTraceElement.getMethodName());
            }
        }
        return "ChangeMePls!!!";
    }
}

当应用没有被hook的时候,正常的调用栈是这样的:

com.example.hookdetection.DoStuff->getSecret
com.example.hookdetection.MainActivity->onCreate
android.app.Activity->performCreate
android.app.Instrumentation->callActivityOnCreate
android.app.ActivityThread->performLaunchActivity
android.app.ActivityThread->handleLaunchActivity
android.app.ActivityThread->access$800
android.app.ActivityThread$H->handleMessage
android.os.Handler->dispatchMessage
android.os.Looper->loop
android.app.ActivityThread->main
java.lang.reflect.Method->invokeNative
java.lang.reflect.Method->invoke
com.android.internal.os.ZygoteInit$MethodAndArgsCaller->run
com.android.internal.os.ZygoteInit->main
dalvik.system.NativeStart->main

但是假如有Xposed框架hook了com.example.hookdetection.DoStuff.getSecret方法,那么调用栈会有2个变化:

  • 在dalvik.system.NativeStart.main方法后出现de.robv.android.xposed.XposedBridge.main调用

  • 如果Xposed hook了调用栈里的一个方法,还会有de.robv.android.xposed.XposedBridge.handleHookedMethod和de.robv.android.xposed.XposedBridge.invokeOriginalMethodNative调用

所以如果hook了getSecret方法,调用栈就会如下:

com.example.hookdetection.DoStuff->getSecret

de.robv.android.xposed.XposedBridge->invokeOriginalMethodNative
de.robv.android.xposed.XposedBridge->handleHookedMethod

com.example.hookdetection.DoStuff->getSecret
com.example.hookdetection.MainActivity->onCreate
android.app.Activity->performCreate
android.app.Instrumentation->callActivityOnCreate
android.app.ActivityThread->performLaunchActivity
android.app.ActivityThread->handleLaunchActivity
android.app.ActivityThread->access$800
android.app.ActivityThread$H->handleMessage
android.os.Handler->dispatchMessage
android.os.Looper->loop
android.app.ActivityThread->main
java.lang.reflect.Method->invokeNative
java.lang.reflect.Method->invoke
com.android.internal.os.ZygoteInit$MethodAndArgsCaller->run
com.android.internal.os.ZygoteInit->main

de.robv.android.xposed.XposedBridge->main

dalvik.system.NativeStart->main

下面看下Substrate hook com.example.hookdetection.DoStuff.getSecret方法后,调用栈会有什么变化:

  • dalvik.system.NativeStart.main调用后会出现2次com.android.internal.os.ZygoteInit.main,而不是一次

  • 如果Substrate hook了调用栈里的一个方法,还会出现com.saurik.substrate.MS$2.invoked,com.saurik.substrate.MS$MethodPointer.invoke还有跟Substrate扩展相关的方法(这里是com.cigital.freak.Freak$1$1.invoked)

所以如果hook了getSecret方法,调用栈就会如下:

com.example.hookdetection.DoStuff->getSecret

com.saurik.substrate._MS$MethodPointer->invoke
com.saurik.substrate.MS$MethodPointer->invoke
com.cigital.freak.Freak$1$1->invoked
com.saurik.substrate.MS$2->invoked

com.example.hookdetection.DoStuff->getSecret
com.example.hookdetection.MainActivity->onCreate
android.app.Activity->performCreate
android.app.Instrumentation->callActivityOnCreate
android.app.ActivityThread->performLaunchActivity
android.app.ActivityThread->handleLaunchActivity
android.app.ActivityThread->access$800
android.app.ActivityThread$H->handleMessage
android.os.Handler->dispatchMessage
android.os.Looper->loop
android.app.ActivityThread->main
java.lang.reflect.Method->invokeNative
java.lang.reflect.Method->invoke
com.android.internal.os.ZygoteInit$MethodAndArgsCaller->run
com.android.internal.os.ZygoteInit->main

com.android.internal.os.ZygoteInit->main

dalvik.system.NativeStart->main

在知道了调用栈的变化之后,就可以在Java层写代码进行检测:

try {
    throw new Exception("blah");
}
catch(Exception e) {
    int zygoteInitCallCount = 0;
    for(StackTraceElement stackTraceElement : e.getStackTrace()) {
        if(stackTraceElement.getClassName().equals("com.android.internal.os.ZygoteInit")) {
            zygoteInitCallCount++;
            if(zygoteInitCallCount == 2) {
                Log.wtf("HookDetection", "Substrate is active on the device.");
            }
        }
        if(stackTraceElement.getClassName().equals("com.saurik.substrate.MS$2") && 
                stackTraceElement.getMethodName().equals("invoked")) {
            Log.wtf("HookDetection", "A method on the stack trace has been hooked using Substrate.");
        }
        if(stackTraceElement.getClassName().equals("de.robv.android.xposed.XposedBridge") && 
                stackTraceElement.getMethodName().equals("main")) {
            Log.wtf("HookDetection", "Xposed is active on the device.");
        }
        if(stackTraceElement.getClassName().equals("de.robv.android.xposed.XposedBridge") && 
                stackTraceElement.getMethodName().equals("handleHookedMethod")) {
            Log.wtf("HookDetection", "A method on the stack trace has been hooked using Xposed.");
        }

    }
}

0x03 检测并不应该native的native方法

Xposed框架会把hook的Java方法类型改为"native",然后把原来的方法替换成自己的代码(调用hookedMethodCallback)。可以查看 XposedBridge_hookMethodNative的实现,是修改后app_process里的方法。

利用Xposed改变hook方法的这个特性(Substrate也使用类似的原理),就可以用来检测是否被hook了。注意这不能用来检测ART运行时的Xposed,因为没必要把方法的类型改为native。

假设有下面这个方法:

public class DoStuff {
    public static String getSecret() {
        return "ChangeMePls!!!";
    }
}

如果getSecret方法被hook了,在运行的时候就会像下面的定义:

public class DoStuff {
        // calls hookedMethodCallback if hooked using Xposed
    public native static String getSecret(); 
}

基于上面的原理,检测的步骤如下:

  • 定位到应用的DEX文件

  • 枚举所有的class

  • 通过反射机制判断运行时不应该是native的方法

下面的Java展示了这个技巧。这里假设了应用本身没有通过JNI调用本地代码,大多数应用都不需要调用本地方法。不过如果有JNI调用的话,只需要把这些native方法添加到一个白名单中即可。理论上这个方法也可以用于检测Java库或者第三方库,不过需要把第三方库的native方法添加到一个白名单。检测代码如下:

for (ApplicationInfo applicationInfo : applicationInfoList) {
    if (applicationInfo.processName.equals("com.example.hookdetection")) {      
        Set classes = new HashSet();
        DexFile dex;
        try {
            dex = new DexFile(applicationInfo.sourceDir);
            Enumeration entries = dex.entries();
            while(entries.hasMoreElements()) {
                String entry = entries.nextElement();
                classes.add(entry);
            }
            dex.close();
        } 
        catch (IOException e) {
            Log.e("HookDetection", e.toString());
        }
        for(String className : classes) {
            if(className.startsWith("com.example.hookdetection")) {
                try {
                    Class clazz = HookDetection.class.forName(className);
                    for(Method method : clazz.getDeclaredMethods()) {
                        if(Modifier.isNative(method.getModifiers())){
                            Log.wtf("HookDetection", "Native function found (could be hooked by Substrate or Xposed): " + clazz.getCanonicalName() + "->" + method.getName());
                        }
                    }
                }
                catch(ClassNotFoundException e) {
                    Log.wtf("HookDetection", e.toString());
                }
            }
        }
    }
}

0x04 通过/proc/[pid]/maps检测可疑的共享对象或者JAR

/proc/[pid]/maps记录了内存映射的区域和访问权限,首先查看Android应用的映像,第一列是起始地址和结束地址,第六列是映射文件的路径。

#cat /proc/5584/maps

40027000-4002c000 r-xp 00000000 103:06 2114      /system/bin/app_process
4002c000-4002d000 r--p 00004000 103:06 2114      /system/bin/app_process
4002d000-4002e000 rw-p 00005000 103:06 2114      /system/bin/app_process
4002e000-4003d000 r-xp 00000000 103:06 246       /system/bin/linker
4003d000-4003e000 r--p 0000e000 103:06 246       /system/bin/linker
4003e000-4003f000 rw-p 0000f000 103:06 246       /system/bin/linker
4003f000-40042000 rw-p 00000000 00:00 0 
40042000-40043000 r--p 00000000 00:00 0 
40043000-40044000 rw-p 00000000 00:00 0 
40044000-40047000 r-xp 00000000 103:06 1176      /system/lib/libNimsWrap.so
40047000-40048000 r--p 00002000 103:06 1176      /system/lib/libNimsWrap.so
40048000-40049000 rw-p 00003000 103:06 1176      /system/lib/libNimsWrap.so
40049000-40091000 r-xp 00000000 103:06 1237      /system/lib/libc.so
... Lots of other memory regions here ...

因此可以写代码检测加载到当前内存区域中的可疑文件:

try {
    Set libraries = new HashSet();
    String mapsFilename = "/proc/" + android.os.Process.myPid() + "/maps";
    BufferedReader reader = new BufferedReader(new FileReader(mapsFilename));
    String line;
    while((line = reader.readLine()) != null) {
        if (line.endsWith(".so") || line.endsWith(".jar")) {
            int n = line.lastIndexOf(" ");
            libraries.add(line.substring(n + 1));
        }
    }
    for (String library : libraries) {
        if(library.contains("com.saurik.substrate")) {
            Log.wtf("HookDetection", "Substrate shared object found: " + library);
        }
        if(library.contains("XposedBridge.jar")) {
            Log.wtf("HookDetection", "Xposed JAR found: " + library);
        }
    }
    reader.close();
}
catch (Exception e) {
    Log.wtf("HookDetection", e.toString());
}

Substrate会用到几个so:

Substrate shared object found: /data/app-lib/com.saurik.substrate-1/libAndroidBootstrap0.so
Substrate shared object found: /data/app-lib/com.saurik.substrate-1/libAndroidCydia.cy.so
Substrate shared object found: /data/app-lib/com.saurik.substrate-1/libDalvikLoader.cy.so
Substrate shared object found: /data/app-lib/com.saurik.substrate-1/libsubstrate.so
Substrate shared object found: /data/app-lib/com.saurik.substrate-1/libsubstrate-dvm.so
Substrate shared object found: /data/app-lib/com.saurik.substrate-1/libAndroidLoader.so

Xposed会用到一个Jar:

Xposed JAR found: /data/data/de.robv.android.xposed.installer/bin/XposedBridge.jar

0x05 绕过检测的方法

上面讨论了几个anti-hooking的方法,不过相信也会有人提出绕过的方法,这里对应每个检测方法如下:

  • hook PackageManager的getInstalledApplications,把Xposed或者Substrate的包名去掉

  • hook Exception的getStackTrace,把自己的方法去掉

  • hook getModifiers,把flag改成看起来不是native

  • hook 打开的文件的操作,返回/dev/null或者修改的map文件

0x06 总结

第三个方法中通过分析java方法的属性是否为 native 来判断是否被hook, 这中方式可以用来保护一些自定义的接口,或者SDK API 接口。

后来同事通过分析Xposed源码,发现通过ClassLoader可以识别出具体的Xposed module hook了某个具体的函数,下次说下分析思路。

weixin_34234721
关注
Frida Hook 常用函数、java hook、so hook、RPC、群控
墨鱼菜鸡
07-11 4198
From:Frida hook 常用函数分享:https://www.52pojie.cn/thread-1196917-1-1.html From:Frida Hook Android 常用方法:https://blog.csdn.net/zhy025907/article/details/89512096 Frida 使用:https://z...
恶意用户识别?——Java 反模拟器、反Hook、反多开技巧
振之的博客
06-03 2687
近两年,Android端的虚拟化技术和群控技术发展急速,带来很多好玩产品和便利工具。但是作为App开发者就头疼了,恶意用户(比如不文明用户、比如刷单)利用这些技术,作恶门槛低得不知道哪里去。我们需要思考怎么识别和防御了。 下文介绍一些简单但是有效的恶意用户识别(方便后续封号)方案。 Anti 模拟器 这个很容易理解,模拟出来的机器,每次模拟的时候生成的设备ID,只存在模拟器使用的生命周期...
AndroidAntiHook:反调试,反so注入demo
05-18
library目录下有反调试,防so注入等代码,修改jni代码后,运行rebuild project即可重新生成so inject目录下有so注入例子 Inject说明 真机先进行root android6.0/7.0禁掉Selinux adb shell setenforce 0 local.properties配置好NDK目录 cd 进入 inject目录,执行 ndk-build 命令 将so和可执行文件inject导入真机,执行 inject adb root adb remount adb push libs/armeabi-v7a/libqever.so /data/local/tmp adb push libs/armeabi-v7a/inject /data/local/tmp adb shell cd /data/local/tmp ./inject ..
Android anti-hook技术
fzs4idiot的博客
08-08 1105
原文出处:http://d3adend.org/blog/?p=589 Stab 1: 检查是否安装hook框架,例如xposed或Substrate PackageManager packageManager = context.getPackageManager(); List applicationInfoList = packageManager.getInstalled
java android_Android Javaanti-hooking技巧
weixin_33101399的博客
02-21 216
0x00 前言一个最近关于检测native hook框架的方法让我开始思考一个Android应用如何在Java检测Cydia Substrate或者Xposed框架。声明:下文所有的anti-hooking技巧很容易就可以被有经验的逆向人员绕过,这里只是展示几个检测的方法。在最近DexGuard和GuardIT等工具中还没有这类anti-hooking检测功能,不过我相信不久就会增加这个功能。...
java sourceguard_Android Javaanti-hooking技巧
weixin_31040629的博客
02-16 137
0x00 前言一个最近关于检测native hook框架的方法让我开始思考一个Android应用如何在Java检测Cydia Substrate或者Xposed框架。声明:下文所有的anti-hooking技巧很容易就可以被有经验的逆向人员绕过,这里只是展示几个检测的方法。在最近DexGuard和GuardIT等工具中还没有这类anti-hooking检测功能,不过我相信不久就会增加这个功能。0...
Android_Anti_Debug,android反调试的一个例子。.zip
09-25
android反调试的一个例子。
Android代码-anti-counterfeit-android
08-05
anti-counterfeit-android 模拟器检测,多开检测,Hook检测,Root检测。 4个Java类,直接拷贝使用即可。...参考:https://tech.meituan.com/android_anti_hooking.html 恶意用户识别?——Java 反模拟器、反H
Frida Android hook
墨鱼菜鸡
07-11 3763
From:https://eternalsakura13.com/2020/07/04/frida/ 目录 1、r0ysue 大佬 2、Frida 环境 2.1 pyenv 2.2 frida 安装 2.3 安装 objection 2.4 frida 使用 frida 帮助 和 frida-server 帮助 2.5 frida 开发...
IAT随便HOOK+反检测方法
kingswb的博客
06-15 4004
防IAT检测方法:IAT在指定目标文件的PE结构里面指定了的,我们把自己内存里面做了修改,没有修改目标文件,只要不让目标文件被其他文件映射,读取PE结构和我们内存中修改过的比较,保证能反一切IAT检测。 用法: Code:     HookImage("ZwSetInformationFile",(DWORD)MyZwSetInformationFile);     HookImage(
Hooking-Template-With-Mod-Menu:一个用于Android Hooking with Substrate的小模板。 (包括用Java编写的mod菜单)
02-06
带有模板的挂钩模板 这是一个使用Cydia Substrate和And64InlineHook以及Java编写的Mod菜单的简单模板。 实现方式: 仔细阅读本教程 教程: 布局: 这就是您简单地构建和运行菜单时的样子 学分: 由于此仓库,该模板现在应该支持x64挂钩: :
Android Javahook检测(Cydia Substrate或者Xposed框架)
u012131859的博客
06-08 6893
参考原文 http://d3adend.org/blog/?p=589 参考翻译 http://drops.wooyun.org/tips/16356 注意:原文中第3个方法“检测并不应该native的native方法”没用实现。 检测代码如下: import java.io.BufferedReader; import java.io.FileReader; import
android 内存泄漏分析过程详解
热门推荐
fulinwsuafcie的专栏
08-15 2万+
1 运行自动化测试工具; 跑用例,譬如执行100遍 2 在运行之初观察内存分配情况 2.1 查看进程号 C:\Users\Administrator>adb shell ps | find "camera" camera    292   1     114960 14452 ffffffff b6f178bc S /system/bin/mm-qcamera-daemon syste
android开发中积累的小知识
zhou123shao的专栏
04-04 1万+
android手机开发中积累的小知识。
如何使用gdbclient gdbserver调试C/C++ native文件
Cosmos专栏
07-14 2526
如何使用gdbclient gdbserver调试C/C++ native文件 例如调试systemui Native文件 1.配置adb转发,手机端运行gdbserver命令 user@aclgcl-ubnt:/data1/AJ9_3$ adb forward tcp:5039 tcp:5039 user@aclgcl-ubnt:/data1/AJ9_3$ adb shell
Android Hook原理分析--Xposed hook 原理分析
HURUWO的技术博客
10-22 688
hook寓意为钩子,在编程中寓意拦截替换。 整体逻辑就是将执行的方法拦截执行替换之后再执行回去,各大框架原理不同但是过程类似。 Xposed Xposed框架核心思想在于将Java普通函数注册成本地JNI方法,以此来变相实现hook机制 Xposed在对java方法进行hook时,先将虚拟机里面这个方法的Method改为nativeMethod(其实就是一个标识字段),然后将该方法的nativeFunc指向自己实现的一个native方法,这样方法在调用时,就会调用到这个native方法,接管了控制权。在这
越狱手机如何让APP绕过越狱检测
qq_36241539的博客
08-25 1万+
当你越狱之后,某些APP检测到你越狱后,一些功能就会被禁用,比如微信、支付宝的指纹支付,下面这款插件就会帮你绕过越狱检测,正常使用APP里面的所有功能。 文章目录1. 环境2. Cydia简介3. 过程2.1. 添加添加Cydia源下载并安装Liberty设置Liberty 1. 环境 所需软件:Cydia 、Liberty 环境:越狱ios设备 2. Cydia简介 iPhone、iPod touch、iPad等设备上的一种破解软件,类似苹果在线软件商店iTunes Store 的软件平台的客户端,在越狱
Android开发实战讲解!五年Android开发者小米、阿里面经,醍醐灌顶!
m0_56144365的博客
03-27 295
近两年“程序员职业发展”话题,受到越来越多关注,做技术还是转管理?如何保持竞争力?是否要转换新的技术栈? 每个工作三五年的程序员,都正面临着类似的焦虑。 工作三五年,不能像刚入职场凭着一股子冲劲和能吃苦耐劳的精神赢得升职加薪,而转型管理,是很多技术人员的梦想。 那么,技术骨干朝着管理人才前进的过程中,应该如何培养其管理能力呢? 面经 我面试的是腾讯Android开发岗位,面试官问了很多Java知识,甚至一个Android的相关问题也没问(我不知道这算不算是正常情况啊……),很是苦恼,下面是记下的一些面试相.
Anti SSDT Hooking技术解析
"AntiSSDTHooking - SSDT Hooking技术及反Hook策略研究" 本文档探讨了在Windows 2000/XP/2003操作系统环境中防止SSDT (System Service Dispatch Table) Hooking的方法。SSDT是Windows API实际函数地址存储的表,当...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值