看雪论坛作者ID:世界美景
由于很多App开始针对XP做对应的检测如微信、支付宝、钉钉等,所以使用定制化的方式隐藏框架。 常见检测方法 1、由于Xposed的hook,是通过so修改被hook的方法为native来实现的,所以检测方也可以通过检测方法是否变成了native来达到检测的目的 Throwable.class.getDeclaredMethod(“getStackTrace” 是否Nativ方法。 2、StackTraceElement getClassName 检测是否存在 de.robv.android.xposed. com.android.internal.os.ZygoteInit com.saurik.substrate. getMethodName检测 handleHookedMethod main invoked。 3、检查XposedHelper的成员fieldCache,methodCache,constructorCache。 4、检查xposed的文件。 5、检查安装包。 6、检查/system/lib是否有xposed文件 /system/lib/libxposed_art.so /system/lib64/libxposed_art.so。 7、检查/system/framework/XposedBridge.jar。 8、通过代码抛出一个异常,在堆栈中检查是否含有 de.robv.android.xposed.XposedBridge之类的 检查com.android.internal.os.ZygoteInit是否出现了两次。 9、检查环境变量CLSAAPATH=/system/framework/XposdedBridge.jar。 10、检查/proc/self/maps 通过读取shell命令/proc/pid(应用进程id)/maps 可以拿到当前上下文的so和jar列表,查找Xposed相关。 11、通过loadClass 检测 de.robv.android.xposed.XposedHelpers de.robv.android.xposed.XposedBridge。 几种隐藏方案 1、java层检测XP特征值 可以根据应用获取XP特质值的方法定制HOOK修改隐藏或者通用性HOOK代码解决 但只限于Java层so中读取Xp文件就无效了。 2、so层检测如果能逆向代码在java层中找到上传的方法,也可以HOOK形式隐藏,缺点每个APP都得找而且检测代码一变就得改,极其不灵活。 3、定制化XP框架,修改所有特征值也可以达到隐藏的目的。 定制Xp是最好的解决办法。网络有一些相关资料,但都没有干货或者不全,网上暴露出来的基本上只教了XposedInstall,XposedBridge的修改,在往下native层Xposdtools的修改资料几乎没有或者说跟没有差不多,所以有了这篇文章。 在开始之前你必须去按照这篇博客 点这里: https://www.jianshu.com/p/6471bab49cb1 这个也行: https://juejin.im/post/5be8dff2f265da61417118ed 先去编译Android源码之后编译下官方的Xp(坑很多。要配的环境非常多,要有足够的耐心。) 完成上一步后就可以开始进行对应的修改。>>>>
1、XposedInstaller.apk
负责安装Xp环境,其实就是下载与手机cpu架构SDK对应的zip,然后刷入手机和管理模块。 环境:androidstudio,网络对应的资料都有我就随便写写。 包名:随便改一个 AS直接改就行。 名称:随便改一个。![24d9f7ef0c7d83a64fd51c5196851cb9.png](https://img-blog.csdnimg.cn/img_convert/24d9f7ef0c7d83a64fd51c5196851cb9.png)
>>>>
2、XposedBridge-art.jar
给开发者提供对应的API支持,底层实现jni调用libxposed-art.so的native方法。 环境androidstudio网络也有资料,随便写写。 原始包名:de.robv.android.xposed,随便改一个。 原始名称:XposedBridge.jar,随便改一个。![99cef2c5f8fd7f6856ea64e3ba42a26c.png](https://img-blog.csdnimg.cn/img_convert/99cef2c5f8fd7f6856ea64e3ba42a26c.png)
>>>>
3、Xposed
给Xpbridge提供API支持和调用了很多android-art的方法以及最重要的替换android zygote(app_process)。![1868dc57a546506067c415a6ff501f7d.png](https://img-blog.csdnimg.cn/img_convert/1868dc57a546506067c415a6ff501f7d.png)
![489693c3ad94b3f24195828282c793ef.png](https://img-blog.csdnimg.cn/img_convert/489693c3ad94b3f24195828282c793ef.png)
![4131941ac8e4240d58337d74ffe2e2b4.png](https://img-blog.csdnimg.cn/img_convert/4131941ac8e4240d58337d74ffe2e2b4.png)
>>>>
4、Xposed-Tools
Xp框架的编译器,打包出可以刷机的zip。以下两个是打包脚本和刷机包脚本文件内容改成你对应的就好了,这点网上根本没有资料,全靠自己一个文件一个文件看巨坑。 如果有源码不准备刷机安装Xp单独改buid.pl就好了。 flash-script.sh不改刷机就会报错,缺少xpsoed.prop。![dd8df426dfafb49bac2603b0059955ca.png](https://img-blog.csdnimg.cn/img_convert/dd8df426dfafb49bac2603b0059955ca.png)
![e4f08a50f75166b6600e4746a79a2671.png](https://img-blog.csdnimg.cn/img_convert/e4f08a50f75166b6600e4746a79a2671.png)
![b232e25ad8c9bb256ee46f3bc4488809.png](https://img-blog.csdnimg.cn/img_convert/b232e25ad8c9bb256ee46f3bc4488809.png)
![3162f6c4936c3f818a423ae87d37b271.png](https://img-blog.csdnimg.cn/img_convert/3162f6c4936c3f818a423ae87d37b271.png)
>>>>
5、编译与运行
把Xposed项目复制到Android源码/frameworks/base/cmds下。 在去下载与你编译的Android源码对应的xpsoed版ART进行替换。 xposedtools开始编译,静静等待就好了,我这里编译了Android5.1 Android 6.1 arm arm64 x86手机可用的刷机包。![f04d8c7f29dbc798e680d1da63a9103f.png](https://img-blog.csdnimg.cn/img_convert/f04d8c7f29dbc798e680d1da63a9103f.png)
![1e6907db8b236d123ebd081c52975ca7.png](https://img-blog.csdnimg.cn/img_convert/1e6907db8b236d123ebd081c52975ca7.png)
![1665953818d79e8754cfd6f2941347a0.png](https://img-blog.csdnimg.cn/img_convert/1665953818d79e8754cfd6f2941347a0.png)
![e932a02cda3ce1731a5128fe637f35b1.gif](https://img-blog.csdnimg.cn/img_convert/e932a02cda3ce1731a5128fe637f35b1.gif)
![c61b848834b87ea1c3bb0b9b4eca8518.gif](https://img-blog.csdnimg.cn/img_convert/c61b848834b87ea1c3bb0b9b4eca8518.gif)
![5e5bb5588071b4feb6b19d3f81811c0b.png](https://img-blog.csdnimg.cn/img_convert/5e5bb5588071b4feb6b19d3f81811c0b.png)
看雪ID:世界美景
https://bbs.pediy.com/user-735880.htm
*本文由看雪论坛 世界美景 原创,转载请注明来自看雪社区推荐文章++++
![bd680eff8b47cd693e9733277f6970f5.png](https://img-blog.csdnimg.cn/img_convert/bd680eff8b47cd693e9733277f6970f5.png)
* 通过捕获段错误实现的自定义linker
* Xposed高级用法 实现Tinker热修复
* 连连看逆向
* 从“短信劫持马”的制作来谈App安全
* 入门级加固——3种加固方式学习记录
进阶安全圈,不得不读的一本书![9c05e83b1d2b576c564cac9e875a574e.png](https://img-blog.csdnimg.cn/img_convert/9c05e83b1d2b576c564cac9e875a574e.png)
![13277c88d698260a0d9288c9fde3a4b5.png](https://img-blog.csdnimg.cn/img_convert/13277c88d698260a0d9288c9fde3a4b5.png)
![3d80cb277e8007032f25c3844e1067d8.gif](https://img-blog.csdnimg.cn/img_convert/3d80cb277e8007032f25c3844e1067d8.gif)