xposed反模拟器检测_进程名称检测

最新推荐文章于 2023-07-03 20:11:26 发布
最新推荐文章于 2023-07-03 20:11:26 发布
阅读量628 收藏
点赞数
文章标签: xposed反模拟器检测
点击蓝字默默关注1分析进程名称检测的C代码

1.来到main函数,从main函数的coursecheck()开始分析,如下图所示。

768e62cebeb2dd2a49d9d22ff0e4f781.png

2.直接查看调用的函数coursecheck(),如下图所示。

b7fc88949063de4f9c2ed652ab436d91.png

3.分析该函数,首先它定义几个char型的数组,如下图所示。

9c87034ae7b563456010c987e38004ac.png

4.获取当前的pid,然后使用sprintf函数把pid写入/proc/%d/status字符串中,再放入filename所指地址的数组中,使用fopen函数打开filename表示的文件名,也就是执行指令/proc/%d/status,如下图所示。

38e09111caef58dc2ebfe8ae2391da57.png

5.执行命令打开文件成功后,使用fgets函数获取字符串,如下图所示。

cfc5d97f006ef59d4ca6f8ecaca4bfed.png

6.如果得到的字符串是tracepid,并且把数组里面的第11个元素转化为整型放到statue变量,如下图所示。

1b5c9b188e0b9d3bdb6219ab19bb5f7d.png

7.执行proc/pid/cmdline命令,cmdline包含进程名称的完整信息,如下图所示。

78d3b2004e12349d91952555ac023efb.png

8.对进程的完整信息进行遍历,如果存在字符串android_server,直接kill当前进程,如下图所示。

9ddafe1e981636fe841d42de1e93afc5.png

2演示进程名称检测的效果

1.将文件BubbleSort push到手机目录的data/local/tmp位置,如下图所示。

f447df92a2ed02c65d6baa8fb0baeee4.png

2.给chmod 777权限后,运行,如下图所示。

ca57068e0a34e1bde3e7d056d55e61a8.png

3.程序运行后,执行命令ps | grep BubbleSort,检查文件的进程,如下图所示。

f414baf530575582b8c543caf4a33176.png

4.继续执行命令cat /proc/29518/status ,查看进程信息,发现TracePid为0,此时程序没有被调试,可以正常运行,如下图所示。

d695ad027bb2d2ecd6a82d4421f87fd9.png

5.演示程序效果,一个简单的排序,如下图所示。

c62ac661de1615819c073eac936d0f4a.png

6.运行as,开始调试(别忘记端口转发),如下图所示。

60d14229f64a312d549e407c1228132f.png

7.打开IDA,选择Debugger,选择Run,选择Remote ARMLinux/Android debugger选项,如下图所示。

f0221b51957b38835bc732b747c34a1d.png

8.选择一系列参数,只填写以下这几项,如下图所示。

Application:运行程序的路径+文件名(文件所在手机路径)

Directory:程序所在路径

Hostname和Port和之前动态调试apk程序一样,

419577bc33ed11c61904d5cde5150713.png

9.点击OK,进入界面后,勾选三项,如下图所示。

6155fbd10e7f928d9a6b546c2432d62f.png

10.点击OK,此时的程序就处于挂起状态,如下图所示。

f3f3986e75716d318ce1ce1180d2f116.png

11.运行adb命令ps | grep BubbleSort ,查看当前程序的进程名称,如下图所示。

7f107a82fbeea1d73c7d137ab319bfe1.png

12.执行adb 命令cat /proc/14942/status,查看进程信息,如下图所示。

8da55203d5e0139465b30e9172c5aac8.png

13.此时TracePid的值发生明显变化,如下图所示。

89b594ba1026d322da3ed16f5ce7691d.png

14.TracePid的值不为零,就会执行相应源代码,直接kill程序,如下图所示。

72ee15e72e489c7cc5892a90dcf660a3.png

3如何过掉反调试

动态调试的的时候,直接修改返回值R0,将其改为0即可;或者把调用反调试的函数直接nop掉;还有一种方法就是刷机,修改系统内核,永久绕过反调试,如图3.23所示。

353f67e1f2221919bfb395c4c12eda9f.png

4小结

在今天的分享当中,分析了进程名称检测的源码,演示进程名称检测的效果 ,关注其中的执行命令以及过掉反调试的方法:

1.修改返回值R0为0;

2.刷机,修改系统内核,永久绕过反调试。

文章推荐 调试端口检测 关键文件检测 文件验证 模拟器检测 Apk 签名验证 资源文件混淆

dc793830ec8e403397b786fda0b2e428.png

weixin_39947961
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
xposed绕过模拟器检测_移动安全防护策略之——Xposed 调试
weixin_31089065的博客
01-05 4996
点击上方“蓝字”,发现更多精彩当下是个一个数据价值的时代,是一个万物互联的时代,数据是“21世纪的生产材料”这句话现在看一点都不夸张,不过随着时代的发展,催生了很多灰色产业,比如数据贩子、爬虫等,互联网各个行业也都有着激烈的竞争,安全技术的比拼也越发的重要,因此安全防范技术对于各个企业来讲都是未来发展的重中之重,安全防范技术成了不可或缺的重要一环。追溯移动安全的历史,在移动互联兴起的时候...
夜神模拟器+Xposed框架+JustTrustMe(用来禁用、绕过 SSL 证书检查)来突破SSL Pinning
kai402458953的博客
08-13 1万+
参考地址:https://bbs.pediy.com/thread-226435.htm 本文所有资料包下载地址: 链接:https://pan.baidu.com/s/1x8KTdu8ncwEgTuKVjjmqFw 提取码:nqz0 1.夜神模拟器官网下载安装 模拟器 2.创建一个安卓5.1版本的模拟器 3.把xposed.apk 拖入夜神模拟器 (Android 5...
XposedChecker:检查您的xposed是否已启用
02-18
XposedChecker 检查您的xposed ... [英文和中文支持]
聊聊Xposed检测
zhangmiaoping23的专栏
03-19 1154
转:http://www.360doc.com/content/19/0601/18/29401987_839659591.shtml 这两天看到有部分人称微信大规模封号,主要被封的是Xposed和各类微信插件的使用者,部分人说自己只是安装了Xposed,但并未使用微信相关的任何插件也被封了。由此有人开始说微信侵犯用户隐私,随意扫描用户的手机等等。 本人一直是Xposed的...
避免检测:安卓模拟器/安卓虚拟机/root环境
最新发布
qq_37639139的博客
07-03 1万+
使用隐藏 Root 的应用:有一些应用,如 “Hide My Root” 或 “Root Hide (SU Hide)”,可以帮助你隐藏 Root 状态。使用 Magisk:Magisk 是一个流行的 Android Root 解决方案,它具有一个名为 “Magisk Hide” 的功能,可以隐藏 Root 状态,使应用无法检测到 Root 权限。请注意,随着应用安全技术的发展,它们可能会采用更先进的方法来检测 Root。然而,需要注意的是,随着安全技术的发展,应用可能会采用更先进的方法来检测虚拟机。
android 模拟器检测,安卓模拟器检测的初步方法
热门推荐
weixin_42360285的博客
05-28 3万+
前言在使用安卓模拟器的时候,我们可能会遇到软件检测模拟器从而闪退或者限制正常运行的情况,其实可以通过一些操作来使软件检测不到模拟器。这里我们以逍遥安卓模拟器为例,讲解一下具体的设置所需材料逍遥安卓模拟器、多开分身、xposedinstaller、应用变量另外的材料百度就能找到,如果找不到可以在此贴留言评论,我再整理发出来步骤本方法测试的软件有限,不保证所有的软件都能这样过检测,所以请务必谨慎使用首...
xposed绕过模拟器检测_xposed检测下载|国外xposed检测工具(project cerberus)下载v1.4.3 安卓版_ 2265安卓网...
weixin_35251837的博客
01-14 1万+
国外xposed检测工具是一款能隐藏xposed框架的辅助工具,它能绕过apk的签名验证,绕过手机系统的某些限制,成功修改apk的框架服务,也可以多模拟位置,root系统进行隐藏,提供伪造信息,对你的手机进行很多个性化设置,感兴趣的朋友赶快来2265安卓网下载吧!防止app检测xposed框架介绍xposed框架可以在不修改apk的情况下影响程序运行(修改系统)的框架服务,基于它可以制作出许多功...
模拟器VirtualXposed_for_GameGuardian_0.20.3.apk Android最新版apk文件
04-28
模拟器VirtualXposed_for_GameGuardian_0.20.3.apk Android最新版apk文件
安卓7.1模拟器_x86_Xposed框架安装
03-22
本文件适用于x86平台安卓模拟器安装xposed框架。
模拟器VirtualXposed_for_GameGuardian_0.18.2 Android最新版apk文件
03-19
VirtualXposed for GameGuardian是一款专为针对GG修改器打造的VirtualXposed版本,VirtualXposed支持手机无root环境下运行Xposed,GG修改器是游戏辅助必备的工具,但是VirtualXposed要支持GG修改器的话就要使用这款...
xposed.installer_v33_36570c_xposed框架_
10-03
Xposed框架(Xposed Framework)是一套开源的、在Android高权限模式下运行的框架服务,可以在不修改APK文件的情况下影响程序运行(修改系统)的框架服务,基于它可以制作出许多功能强大的模块,且在功能不冲突的情况下...
xposed inject_xposed_xposedso_
10-03
xposed注入so文件
模拟器调试测试工具
08-16
进行移动应用软件安全评估时需要的一款测试工具。Genymotion 是一款优秀专业高性能的安卓 Android 模拟器!它支持 Windows、Mac、Linux,由于其模拟运行速度很快画面流畅、且支持 OpenGL 3D 加速、多开、全屏等特性,并提供 Eclipse、IntelliJ IDEA 的开发插件,不仅是开发者们也是普通玩家们测试和运行 Android 软件/游戏的利器。转自:https://www.iplaysoft.com/genymotion.html
App 安全测试用例--分享
jsd2root的博客
09-08 1019
程序代码安全测试 运行环境 root 环境检测 模拟器环境检测 挂钩框架环境检测编译 编译工具检测 代码混淆检测 代码混淆强度检测 关键代码保护检测 防篡改 程序文件防篡改检测 内存数据防篡改检测 防调试 调试工具防护检测 调试行为防护检测 内存防护检测 防注入 进程保护检测 服务交互安全测试 进程间交互 进程间通信数据安全检测 屏幕交互 界面劫持检测 防截屏检测 防录屏检测 webview 交互 克隆攻击检测 webview安全检测 add Java script i
xposed hook之360加固的APP过模拟器检测
闷骚小贱男
06-03 6685
0x0 故事的由来 前段时间把17年某东双十一抽到的X20换了,换了某200万图标的k40(安卓11,手机稳定版刷了面具+lsposed) 但是有几款以前的APP需要用指定的imei或者oaid来伪造原设备继续使用,所以才有了这个帖子… 0x1 用到的工具和用途 1、VMOS Pro(安卓虚拟机,自带xposed和root,类似多开) 2、MT/NP管理器(文件管理) 3、射大师3.5.3+XP框架(不支持安卓11的脱壳,所以我用VMOS pro,论坛内的BlackDex试过脱不了壳) 4、JADX(
安卓教程:Xposed 框架安装及使用
DerWeltraum
07-21 6017
转自:https://sspai.com/post/24538Xposed 框架是个神器,在其基础上增加一些模块可实现各种强大的功能,比如绿色守护、XPrivacy等,本教程从基础开始,详细说下Xposed 框架的安装及使用。前言Xposed框架是一款可以在不修改APK的情况下影响程序运行(修改系统)的框架服务,基于它可以制作出许多功能强大的模块,且在功能不冲突的情况下同时运作。 当前,Per AP
调试与调试--关键文件检测
YJJYXM的博客
11-27 323
往期推荐 模拟器检测 文件检测 签名验证 资源文件混淆、 一:运行文件检测程序 1.使用adb命令,将filecheck课件push到手机目录下的data/local位置,如下图所示。 2.运行filecheck后,提示killed,如下图所示。 3.删除android server,再运行程序,程序可正常运行,如下图所示。 结论:如果有android server存在,程序就无法运行,如果删除android server,程序就可以正常运行,这就是关键文件的检测。 二: 进行IDA分析 1.将fil
Xposed 检测
weixin_42793441的博客
07-14 4044
前段时候微信封禁了一大批使用 xposed 的微信账号,对一些运营微信的企业造成的巨大损失。下面我们聊聊 xposed检测机制。 市面上 xposed检测手段一般包含如下几种方法 XposedInstaller 检测; Java 层检测是否安装 xposed 组件; 堆栈信息检测 xposed 相关信息; 检测关键方法是否是 native 方法;(只能检测出是否 hook, 但是...
阿里系产品Xposed Hook检测机制原理分析
weixin_33894640的博客
06-29 1087
导语: 在逆向分析android App过程中,我们时常用的用的Java层hook框架就是Xposed Hook框架了。一些应用程序厂商为了保护自家android App不被Xposed Hook框架给hook。于是想尽各种方法检测自己产品是否被Xposed Hook给Hook。笔者最近逆向分析阿里系的产品,发现阿里系的产品能够检测自否...
xposed框架绕过模拟器检测
05-23
如果您需要在模拟器中使用Xposed框架,可以尝试以下方法进行绕过模拟器检测: 1. 修改设备属性 在模拟器中修改设备属性,使其看起来像是真实设备,从而欺骗应用程序的检测机制。具体来说,可以修改设备的品牌、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值