阿里系产品Xposed Hook检测机制原理分析

最新推荐文章于 2024-05-13 07:20:04 发布
最新推荐文章于 2024-05-13 07:20:04 发布
阅读量1.4w 收藏 9
点赞数 1
分类专栏: --------逆向分析 文章标签: Xposed 逆向
原文链接:https://bbs.pediy.com/thread-218848.htm
版权

导语:

在逆向分析android App过程中,我们时常用的用的Java层hook框架就是Xposed Hook框架了。一些应用程序厂商为了保护自家android App不被Xposed Hook框架给hook。于是想尽各种方法检测自己产品是否被Xposed Hook给Hook。笔者最近逆向分析阿里系的产品,发现阿里系的产品能够检测自否给Xposed Hook了。本文就带领给位一起看看官阿里系产品是如何做的这一点的,本文就选择阿里的支付宝作为我们分析对象。

检测现象:

  1. 编写一个简单的支付宝的Xposed hook 模块, 模块代码如下:

这里写图片描述

2.安装XPosed hook mo模块,重启设备,打开支付宝,就会看到如下一个对话框:非法操作的,你的手机不安全。这说明支付宝检测自己被Hook了。

这里写图片描述

分析过程:

0.分析工具和分析对象

样本:Alipay_wap_main_10.0.18

工具:AndroidKiller, JEB2.2.7

源码:XPosed 框架源码

  1. 为了快速找到代码Xposed的检测代码位置,我们就不从对话框作为分析入口啦,我们直接使用androidKiller打开文件Alipay_wap_main_10.0.18.apk, 然后在工程中搜索xposed相关的关键字,例如:xposed

这里写图片描述

根据搜索结果,我们找到看了两个security相关的类。我们使用JEB工具对这两个类进行分析,我们暂且分析CheckInject类。

这里写图片描述

我们看到这里获得通过反射获得一个类de.robv.android.xposed.XposedHelpers 的一个对象,于是我们可以确认发现代码就这里。

  1. 由于Smali代码是经过混淆的代码,不便于读者阅读,于是笔者将代码整理如下:

这里写图片描述

通过反射获取de.robv.android.xposed.XposedHelpers类的一个对象obXposedHelper,然后调用CheckKeywordInFiled 检测obXposedHelper成员fieldCache,methodCache,constructorCache是否有支付宝包的关键字,CheckInject.CheckKeywordInFiled, 这个函数代码 。笔者也这个函数整理如下:

这里写图片描述

fieldCache, methodCache,constructorCache然是XposedHelpers的静态成员,类型是HashMap<String, Field>

这里写图片描述

通过反射遍历这些HashMap 缓存字段, 如字段项的key中包含支付宝的关键字"alipy" “taobao”,等信息, 者认为是检测有Xposed 注入

4.我们来继续分析Xposed hook框架是如何将hook信息存储到fieldCache,methodCache,constructorCache这些缓存字段当中的(我们需要下载XPosed 源码分析,github有下载)。我们最通常调用findAndHookMethod 函数hook一个函数, 所以我们分析这个函数,函数代码如下:

这里写图片描述

这个函数我们暂时还无法看到存储相关的代码,这个主要实现依赖函数findMethodExact, 于是我们继续分析

这里写图片描述

我们发现 methodCache.put(fullMethodName, e); 将方法名和方法Method 存储在方法缓存中吗。

5.CheckInject类类中除了有XPosed 检测, 还有SO注入检测机制的代码和手机检测是否Root的代码。笔者也将这些代码整理分享给各位看官:

● Root检测代码如下

这里写图片描述

检测依据是:获取default.prop 中文件ro.secure的值1 且 /system/bin/ 或者/system/xbin 有su程序可认定程序被root了

● So注入检测

由于实现比较简单,就不贴代码,直接阐述原理吧。SO注入检测原理:读取当前进程的maps文件, 遍历每一行, 是否进程中使用so名中包含关键"hack|inject|hook|call" 的信息,“hack|inject|hook|call” 字符信息使用Base64加密, 如下:

这里写图片描述

分析结论和安全建议:

结论:

1.支付宝的Xposed hook 检测原理: Xposed Hook 框架将Hook信息存储在fieldCache, methodCache,constructorCache 中, 利用java 反射机制获取这些信息,检测Hook信息中是否含有支付宝App中敏感的方法,字段,构造方法。

2.支付宝的SO检测原理: 检测进程中使用so名中包含关键"hack|inject|hook|call" 的信息。

3.支付宝的Root检测: 是否含有su程序和ro.secure是否为1

安全建议:

像这些 “de.robv.android.xposed.XposedHelpers”,“fieldCache”,“methodCache”,“constructorCache” 想这些敏感字符串信息可以进行一些简单加密。防止用户直接根据关键字搜索找到关键函数。

转载来源:https://bbs.pediy.com/thread-218848.htm

YSoul.
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
阿里-淘宝接口抓取及相关问题
weixin_44353800的博客
01-15 1780
阿里-淘宝接口抓取一、安装charlse抓包工具官方下载地址安装证书二、安装xposed hook框架Xponsed简介具体安装步骤三、安装模块关闭阿里ssl验证开启http模式支持支付宝、淘宝、淘宝直播各个接口抓取四、效果如下接下去一段时间更新阿里相关接口文章目录一、安装charlse抓包工具官方下载地址安装证书二、安装xposed hook框架Xponsed简介具体安装步骤三、安装模块关闭阿里ssl验证。
论文研究-一种基于Xposed框架的Android应用恶意行为检测方法 .pdf
08-18
一种基于Xposed框架的Android应用恶意行为检测方法,王赛,郭燕慧,针对Android终端日益猖獗的恶意攻击,本文从恶意行为的触发和捕获两个方面对现有方法进行改进,提出一种基于Xposed框架的Android应用恶�
最全iOS 手机淘宝 自动创建一个人的群聊 实现源码 hook 代码源码,Java开发笔试题总结
最新发布
2401_84102840的博客
05-13 293
/ [0] @“mtopResponse” : @“{“api”:“mtop.taobao.wireless.amp2.im.group.creategroup”,“data”:{},“ret”:[“3::服务器竟然出错了!”],“v”:“1.0”}”如果你以这份学习路线来学习,你会有一个比较统化的知识网络,也不至于把知识学习得很零散。// [2] @“actionInfo” : @“入群失败,请重新尝试”
Xposed 框架检测机制
Codeoooo 博客
06-17 2111
Zygote是Android的核心,每运行一个app,Zygote就会fork一个虚拟机实例来运行app,Xposed Framework深入到了Android核心机制中,通过改造Zygote来实现一些很牛逼的功能。Zygote的启动配置在init.rc 脚 本 中,由统启动的时候开启此进程,对应的执行文件是/system/bin/app_process,这个文件完成类库加载及一些函数调用的工作。
Xposed检测
weixin_42793441的博客
07-14 4102
前段时候微信封禁了一大批使用 xposed 的微信账号,对一些运营微信的企业造成的巨大损失。下面我们聊聊 xposed检测机制。 市面上 xposed检测手段一般包含如下几种方法 XposedInstaller 检测; Java 层检测是否安装 xposed 组件; 堆栈信息检测 xposed 相关信息; 检测关键方法是否是 native 方法;(只能检测出是否 hook, 但是...
Xposed Hook专题
09-24
Xposed Hook模块开发教程,从Xposed框架安装,到Xposed模块开发,详细讲解Xposed中使用到的类与方法,以及实战案例分析
Xposed的一个Hook模块,用于java加密算法破解.zip
01-14
Java是一种高性能、跨平台的面向...自动内存管理(垃圾回收): Java具有自动内存管理机制,通过垃圾回收器自动回收不再使用的对象,使得开发者不需要手动管理内存,减轻了程序员的负担,同时也减少了内存泄漏的风险。
android XPosed Hook登陆劫持源代码
11-21
简单实例 代码亲测有用 实现 IXposedHookLoadPackage接口 指定要 hook 的包名 判断当前加载的包是否是指定的包 指定要 hook 的方法名 实现beforeHookedMethod方法和afterHookedMethod方法(hook的具体功能)
Xposed Hook技术
05-25
Xposed思维导图,便捷整理思路,新建Android项目、导入jar包、java代码、assets文件夹下xposed_init、配置AndroidManifest.xml文件
Xposed检测与自定义Xposed
qq_33604739的博客
07-04 4007
Xposed检测与自定义Xposed前言:Xposed检测1、遍历App安装列表检测2、自造异常检测堆栈信息。3、检查关键Java方法是否变为native方法4、反射XposedHelper类和XposedBridge类5、检测Xposed相关文件6、Root检测7、安全建议自定义Xposed一、修改XposedBridge.jar包名二、修改Xposed相关文件名三、修改installer包名 ...
Xposed HOOK
yuanhuiling的博客
01-05 813
在老师以学分的要挟下,第一次接触Xposed。没办法,为了学分,只能苦逼的找度娘。经过一大堆新名词,名种不懂带来的煎熬后,终于有了些眉目。这篇文章是有以下内容:   1.说说对于Xpoesd和HOOK的理解;   2.Xposed框架的搭建;   3.结合攻击登录实例实现对Xposed工具的使用及Hook的作用。 一、Xpoesd和HOOK的理解   【什么是Hook】:
xposed反模拟器检测_进程名称检测
weixin_39947961的博客
12-08 652
点击蓝字默默关注1分析进程名称检测的C代码1.来到main函数,从main函数的coursecheck()开始分析,如下图所示。2.直接查看调用的函数coursecheck(),如下图所示。3.分析该函数,首先它定义几个char型的数组,如下图所示。4.获取当前的pid,然后使用sprintf函数把pid写入/proc/%d/status字符串中,再放入filename所指地址的数组中,...
Lsposed 技术原理探讨与安装使用
u013083465的专栏
03-07 2189
Lsposed 技术原理探讨与安装使用
xposed检测原理分析 -案例某付宝、某音
麦小洛
08-22 6289
一、 1.支付宝的Xposed hook 检测原理Xposed Hook 框架将Hook信息存储在fieldCache, methodCache,constructorCache 中, 利用java 反射机制获取这些信息,检测Hook信息中是否含有支付宝App中敏感的方法,字段,构造方法。 2.支付宝的SO检测原理: 检测进程中使用so名中包含关键"hack|inject|hook|call...
盘点Android常用Hook技术
音视频开发进阶
06-14 2360
Android平台开发测试过程中,Hook技术是每个开发人员都常用的技术。可以用于绕过统限制、修改别人发布的代码、动态化、调用隐藏API、插件化、组件化、自动化测试、沙箱等等。Hook...
检测xposed框架实现
深耕安全技术研究
01-13 1956
更多安全技术文章,请关注“游戏安全攻防”公众号,一起学习,一起进步。 直接上源码,直接看吧。 private static int l(Context context) { int i = 0; PackageManager packageManager = context.getPackageManager(); try { packageManager.getInstallerPackageName(“de.robv.android.xposed.installer”); i = 1; } catch
tomcat使用、部署方式、目录结构、将tomcat集成到idea中创建web项目详细步骤
qq_45698833的博客
10-18 430
tomcat启动方式 进入tomcat目录下的bin目录,找到startup.bat ,双击运行该文件即可 关闭 正常关闭: * bin/shutdown.bat * ctrl+c 2. 强制关闭: * 点击启动窗口的× 部署项目的方式 直接将项目放到webapps目录下即可 简化部署:将项目压缩成一个war包,再将war包放置到webapps目录下。 war包会自动解压缩 配置conf/server.xml文件 在<Host>标签体中配置 <Context d
xposed hook
06-28
### 回答1: Xposed Hook 是一种 Android 应用程序开发技术,它允许开发人员在不修改应用程序源代码的情况下,在运行时修改应用程序的行为。这是通过在统运行时加载一个模块来实现的,该模块可以修改应用程序的 Java 方法。Xposed Hook 是一种高级技术,适用于高级 Android 开发人员。 ### 回答2: Xposed Hook是针对Android操作统的一种插件框架,可以通过它来实现对统和应用程序的修改和增强。这种框架可以修改应用程序的行为、功能和外观,也可以增加一些新功能,使得应用程序更加强大、灵活和个性化,更能满足用户的需求。 Xposed Hook使用的是Java语言,需要在Android设备上安装特定的模块,然后通过Xposed框架来实现对Android统和应用程序的Hook。通过Hook技术,可以拦截Android统和应用程序中的方法调用,从而实现对它们的修改和增强。 Xposed Hook可以实现的功能包括但不限于:界面美化,垃圾清理,定制化ROM,增强应用程序的功能,添加新功能,反禁止操作等等。通过这些功能,用户可以轻松地定制自己的Android设备,使它更加适合自己的使用习惯。 Xposed Hook需要注意的是,由于其操作会修改统和应用程序的行为,存在风险,需要谨慎操作。此外,在某些设备上安装Xposed Hook可能会导致统不稳定或无法正常启动,因此使用前需要对其风险有充分的了解和准备,以避免出现意外情况。 总之,Xposed Hook是一种非常有用的技术,对于那些想要个性化定制自己的Android设备的用户来说,是一个非常好的选择。但是,在使用Xposed Hook的过程中要格外谨慎,避免出现不必要的问题。 ### 回答3: Xposed hook是一种基于Xposed框架进行开发的模块,它通过劫持Android统的核心模块,在不需修改统源码的情况下实现对统的修改和扩展。 Xposed框架是一个在安卓统上的插件框架,它可以通过在统加载应用前,加载修改器模块的方式来实现对统的修改。而Xposed hook就是在这个框架的基础上,将底层统API的使用权转换给修改器模块,从而实现对统行为的定制化。 Xposed hook的实现方式是通过钩子(Hook)技术实现的,即通过在API调用点上添加Hook代码,以监听并修改统行为。这种方式不仅可以在不修改统源码的情况下扩展和修改统行为,而且可以在运行时实时修改,不需要重新编译代码。 使用Xposed hook可以实现很多有趣有用的功能,比如修改应用行为、禁止广告、增加新功能等等。Xposed hook也可以帮助开发者更方便地进行调试和代码编写,减少工作量和提高效率。 然而,Xposed hook并非完美无缺,它也存在着一些安全问题,比如恶意软件可以借助这个技术实现对用户的监控、篡改、盗取等行为。因此,用户需要谨慎选择和使用Xposed hook模块,并且需要注意安全风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值