对Android Hook检测技术的一些浅谈

最新推荐文章于 2024-03-20 17:21:07 发布
最新推荐文章于 2024-03-20 17:21:07 发布
阅读量1k 收藏 2
点赞数
文章标签: android java 开发语言 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42673574/article/details/128554709
版权

大部分对hook的检测还是比较依赖系统 api 或者改动hook框架很容易就失效。

比如检测libxxx.so,命名空间,指定类等等。

我在这里提出一种检测思路:

对比内存中的.text段和文件中的.text的crc是否相等。

大致流程:

1.解析/proc/self/maps。

2.匹配到你需要检测的so文件,获取其的加载基地址和文件路径。

3.通过mmap将文件映射到内存,然后把内容传给ELF解析工具,获取其.text段的偏移和大小 。

4.通过偏移+加载基地址 和 偏移+mmap返回值 以及.text段大小来计算crc,并比对。

这种方式最好放到线程里面去做,缺陷是app自身不能使用inline hook,否则也会被检测到。

针对xposed hook、frida hook的检测话,还有一种方法,就是被xposed hook的Java方法修饰符都会变成native,

以getPackageInfo的检测代码示例:

void check_native_modifier_task(__int64 addr){
    int check_time = 10;
    while (1) {
        if((~*(_DWORD *)(addr + 4) & 0x80000) !=0){
            // find xposed, frida hook.
            break;
        }else if(check_time < 0){
            break;
        }
        std::this_thread::sleep_for(std::chrono::seconds(1));
        check_time = check_time - 1;

    }

}

JNICALL void check_native_modifier(JNIEnv *env){
    jclass packageManagerClass = env->FindClass("android/content/pm/PackageManager");
    jmethodID getPackageInfoMethodID = env->GetMethodID(packageManagerClass,"getPackageInfo", "(Ljava/lang/String;I)Landroid/content/pm/PackageInfo;");
    thread checkThread = std::thread(check_native_modifier_task, getPackageInfoMethodID);
    checkThread.detach();
    env->DeleteLocalRef(packageManagerClass);

}
哆啦哆啦S梦
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Android Hook 技术之 绕过系统对Activity验证
07-18
【SDK热更系列】Android Hook 技术之 绕过系统对Activity验证 , 原理详见个人博客https://blog.csdn.net/u012573920/
各种HOOK方式和检测对抗方法
任鸟飞2217777779的博客
09-26 1万+
hook翻译过来是拦截的意思, 我们很多时候也叫钩子,其实是很形象的.hook有什么作用呢?1.当代码执行到某行时,获取寄存器值和内存里的值,进行调试分析,例如hook明文包.2.当代码执行到某行时,插入想执行的代码.例如迅雷拦截发包函数.3.当代码执行到某行时,修改寄存器,达到某些篡改目的.
anti-frida检测-某壳
最新发布
weixin_43985113的博客
03-20 521
anti frida检测案例
Android-AndroidARTHook实现-SandHook
08-13
Android ART Hook - 支持 5.0 - 9.0 32/64 bit - Xposed API Compat
APP安全测试——HOOK技术
热门推荐
LiBai'S BLOG
03-21 1万+
最近学习app的测试学会了客户端的测试方法。只知道怎么实现将其中存在的漏洞和不合规项找出来但是不知道其中的原理。一直再说HOOK技术,也就是所谓的钩子今天了解一下他到底是个啥东西。 HOOK Hook 英文翻译过来就是「钩子」的意思,那我们在什么时候使用这个「钩子」呢?在 Android 操作系统中系统维护着自己的一套事件分发机制。应用程序,包括应用触发事件和后台逻辑处理,也是根据事件流程一步步地向下执行。而「钩子」的意思,就是在事件传送到终点前截获并监控事件的传输,像个钩子钩上事件一样,并且能够在钩上事件
面试题丨android面试问题合集
m0_64973256的博客
06-08 1405
加固技术:加固技术是指在应用程序中采取一系列措施,以防止恶意仿冒、非法修改和拆分程序,从而保护应用程序的安全性和完整性。常见的加固技术有代码混淆、签名验证、数据加密和、Root权限控制等。脱壳技术:脱壳技术是一种反编译技术,用于将已经加固过的安卓应用程序反编译为可读的源代码,以便分析和研究应用程序的内部结构和原理。通常,脱壳技术可以分为两大类:静态脱壳技术和动态脱壳技术。静态脱壳技术是指在不执行应用程序的情况下,通过反汇编和反编译来分析应用程序的原始代码;
安卓逆向环境检测--hook
weixin_44348983的博客
06-26 1849
安卓、逆向、检测
Android hook检测及对抗相关
jinganggiao的博客
09-19 3117
frida——hook 内存访问断点
hook技术的应用-过某平台作弊检测
weixin_34272308的博客
12-08 1190
上回书说完检测方法就戛然而止了,这篇文章就来谈谈如何过检测。 首先回顾一下平台对作弊的检测方法,检测开始前平台准备一个单位列表,在列表中,有玩家可见的单位和玩家视野外的单位。 地图脚本会强迫玩家点击每个在列表里的单位。 如果玩家选中了不可见的单位(视野外或者隐身单位)或者玩家没有选中可见单位 都会提高作弊的置信程度 1 for _,__0x0150__ in ipairs(__0x7...
frida进行hook的常用定位招数大全
云霄IT的博客
07-13 879
【代码】frida进行hook的常用定位招数大全。
Android Hook技术实践
12-27
不需要在manifest中注册activity,都可以打开activity页面,根据动脑学院Danny老师讲的hook技术实现的
浅谈macOS系统调用hook技术.png
11-05
浅谈macOS系统调用hook技术.png
浅谈HOOK技术在VC编程中的应用
07-26
本文针对HOOK技术在VC编程中的应用进行讨论,并着重对应用比较广泛的全局HOOK做了阐述。
基于Hook技术Android平台隐私保护系统
01-20
针对Android中恶意应用窃取用户隐私的问题,设计并实现了一个基于Hook技术的隐私保护系统。该系统包括应用分类模块、隐私信息管理模块和共谋攻击管理模块。应用分类模块利用权限特征向量集构建分类模型,对手机上的...
IAT随便HOOK+反检测方法
kingswb的博客
06-15 3958
防IAT检测方法:IAT在指定目标文件的PE结构里面指定了的,我们把自己内存里面做了修改,没有修改目标文件,只要不让目标文件被其他文件映射,读取PE结构和我们内存中修改过的比较,保证能反一切IAT检测。 用法: Code:     HookImage("ZwSetInformationFile",(DWORD)MyZwSetInformationFile);     HookImage(
C/C++ 使用 CRC32 检测内存映像完整性
CSDN
09-12 6263
前面的那一篇文章中所使用的技术只能有效抵抗解密者直接修改硬盘文件,当我们使用动态补丁的时候,那么内存中同样不存在校验效果,也就无法抵御对方动态修改机器码了,为了防止解密者直接对内存打补丁,我们需要在硬盘校验的基础上,增加内存校验,防止动态补丁的运用。
android hook之 xposed检测
qq_24137739的博客
07-15 1264
注意:原文中第3个方法“检测并不应该native的native方法”没有实现。 检测代码如下: import java.io.BufferedReader; import java.io.FileReader; import java.util.HashSet; import java.util.List; import java.util.Set; import android.content.Context; import android.content.pm.ApplicationInfo; .
Android逆向猿人学2022年app比赛第五题双向验证SSLpinning(步步验证)
qq_41866988的博客
05-31 1328
这题在抓包方面会有点小问题,但是最后结果是正确出来了,如果有了解后面这个问题的读者,请多指教,十分感谢。先打开APP,打开第五题,可以发现是一个双向认证的题目。 打开代理工具抓包设置一下于Charles的端口,我这里使用的代理工具是Brook。 代理打开后,访问第五题,会发现一直转不出来结果。 并且Charles会显示访问失败的信息 从错误信息可以看到这个是跟SSL相关的请求,首先就排除了VPN检测这个问题。接下来就可以启动一下Client校验Server的frida脚本看看是否能够继续访问。(这句话其
Android hook
06-03
Android hook 是指在 Android 应用程序中修改和拦截方法调用的技术。它可以用来实现很多功能,比如实现动态调试、修改应用程序行为、破解应用程序等。 一般情况下,Android hook 的实现方式有两种,一种是基于 Java...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

哆啦哆啦S梦

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值