安卓逆向环境检测--xposed

已于 2023-09-20 14:56:56 修改
阅读量1.2k 收藏 7
点赞数 1
分类专栏: 安卓逆向 文章标签: android
于 2023-06-27 13:56:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44348983/article/details/131400346
版权

一、检查内存中是否加载了xposed的相关类


UNEXPORT void AntiXposed::check_load_xposed_class(JNIEnv *env) {
    jstring jsXposedHelpers = env->NewStringUTF("de.robv.android.xposed.XposedHelpers");
    jstring jsXposedBridge = env->NewStringUTF("de.robv.android.xposed.XposedBridge");
    jstring jsRatelBridge = env->NewStringUTF("com.virjar.ratel.api.rposed.RposedBridge");
    jstring jsRatelHelper = env->NewStringUTF("com.virjar.ratel.api.rposed.RposedHelpers");

    jobject jClassLoader = Method::callStaticMethodObject(env, "java/lang/ClassLoader",
                        "getSystemClassLoader", "()Ljava/lang/ClassLoader;");
    jobject clsXposedHelpers = Method::callMethodObject(env, jClassLoader, "java/lang/ClassLoader",
                        "loadClass", "(Ljava/lang/String;)Ljava/lang/Class;", jsXposedHelpers);
    jobject clsXposedBridge = Method::callMethodObject(env, jClassLoader, "java/lang/ClassLoader",
                        "loadClass", "(Ljava/lang/String;)Ljava/lang/Class;", jsXposedBridge);
    jobject clsRatelBridge = Method::callMethodObject(env, jClassLoader, "java/lang/ClassLoader",
                        "loadClass", "(Ljava/lang/String;)Ljava/lang/Class;", jsRatelBridge);
    jobject clsRatelHelpers = Method::callMethodObject(env, jClassLoader, "java/lang/ClassLoader",
                        "loadClass", "(Ljava/lang/String;)Ljava/lang/Class;", jsRatelHelper);

    LOGI("in load_xposed_class find XposedHelpers -> %p", clsXposedHelpers);
    LOGI("in load_xposed_class find XposedBridge -> %p", clsXposedBridge);
    LOGI("in load_xposed_class find RposedBridge -> %p", clsRatelBridge);
    LOGI("in load_xposed_class find RposedHelpers -> %p", clsRatelHelpers);
    if (clsXposedHelpers != NULL || clsXposedBridge != NULL || clsRatelBridge != NULL || clsRatelHelpers != NULL){
        LOGI("in load_xposed_class find xposed");
    }
    env->DeleteLocalRef(jsXposedHelpers);
    env->DeleteLocalRef(jsXposedBridge);
    env->DeleteLocalRef(jsRatelBridge);
    env->DeleteLocalRef(jsRatelHelper);
}

二、maps检测


UNEXPORT bool AntiXposed::scan_line(char *map) {
    return Str::strstr(map, "XposedBridge") != NULL ||
            Str::strstr(map, "xposed") != NULL ||
            Str::strstr(map, "com.saurik.substrate") != NULL;
}


UNEXPORT void AntiXposed::read_line_scan(string str){
    char* split = (char*)"\n";
    string strs = str + split; // 在字符串末尾也加入分隔符,方便截取最后一段
    size_t pos = strs.find(split);
    while (pos != strs.npos)
    {
        string temp = strs.substr(0, pos);
        LOGI("read_line_scan maps -> %s", temp.c_str());
        if (scan_line(const_cast<char *>(temp.c_str()))){
            //TODO
            LOGI("---------------------------read_line_scan find xposed -> %s", temp.c_str());
            return;
        }
        //去掉已分割的字符串,在剩下的字符串中进行分割
        strs = strs.substr(pos + 1, strs.size());
        pos = strs.find(split);
    }
}


UNEXPORT void AntiXposed::check_maps() {
    Thread::lock_mutex();
    Env::thread_share_switch_maps = true;
    Thread::unLock_mutex();
    string str = Syscall::readFile((char*)"/proc/self/maps");
    Thread::lock_mutex();
    Env::thread_share_switch_maps = false;
    Thread::unLock_mutex();
    if (str != "null"){
        read_line_scan(str);
    }
}

三、堆栈检测(主动抛出异常,并检测堆栈中是否有xposed路径)

四、环境变量检测

UNEXPORT void AntiXposed::check_env(JNIEnv *env) {
    jstring jsCLASSPATH = env->NewStringUTF("CLASSPATH");

    jstring jsEnv = static_cast<jstring>(Method::callStaticMethodObject(env,
                                                                     "java/lang/System",
                                                                     "getenv",
                                                                     "(Ljava/lang/String;)Ljava/lang/String;",
                                                                     jsCLASSPATH));
    LOGI("check_env jsEnv = %p", jsEnv);

    if (jsEnv != nullptr){
        jstring jsXposed = env->NewStringUTF("XposedBridge");
        jboolean jb = Method::callMethodBoolean(env, jsEnv,
                                                "java/lang/String",
                                                "contains",
                                                "(Ljava/lang/CharSequence;)Z",
                                                jsXposed);
        if (jb){
            LOGI("check_env find xposed");
        }else{
            LOGI("check_env con not find xposed");
        }
        env->DeleteLocalRef(jsXposed);
    }
    env->DeleteLocalRef(jsCLASSPATH);
}

五、Property检测


UNEXPORT void AntiXposed::check_vxp(JNIEnv *env) {
    jstring jsvxp = env->NewStringUTF("vxp");

    jstring jsproperty = static_cast<jstring>(Method::callStaticMethodObject(env,
                                                                        "java/lang/System",
                                                                        "getProperty",
                                                                        "(Ljava/lang/String;)Ljava/lang/String;",
                                                                        jsvxp));
    LOGI("check_vxp jsproperty = %p", jsproperty);

    if (jsproperty != nullptr){
        LOGI("check_vxp find xposed");
    }else{
        LOGI("check_vxp con not find xposed");
    }
    env->DeleteLocalRef(jsvxp);
}

六、加载函数检测

UNEXPORT void AntiXposed::check_symbols() {
    char *(path[]) = {
            "ZN3art6mirror9Artmethod16EnabIeXposedHookEP7_JNIEnvP8_jObject",
            "ZN3art9Artmethod16EnabIeXposedHookERNS_18ScopedObjectAccessEP8_jObject",
            "ZN3art6mirror9Artmethod16EnabIeXposedHookERNS_18ScopedObjectAccessEP8_jObject"
    };
    for (int i = 0; i < sizeof(path) / sizeof(char*); i++){
        if (dlsym(RTLD_DEFAULT, path[i]) != nullptr){
            LOGI("check_symbols find xposed");
            // TODO 找到xposed相关的函数

            break;
        }
    }
}

YoooHaaa
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
android 检查xposed,[原创]利用Xposed躲过Xposed检测
weixin_36221149的博客
05-27 1866
越来越多的app对xposed进行了检测通过分析了其中部分对xposed检查的代码,希望通过xposed的方式阻止xposed检测达到通用的目的。一般检查手段有很多,楼主也没分析完,这里列举了几个和处理方式。1、通过ClassLoader的loadClass加载XposedHelper 来修改一些局部变量值,阻止hook.处理方式,通过Hook 类加载修改 加载的类名//过防止调用loa...
android 检查xposed,Xposed那些事儿 -- xposed框架的检测和反制
weixin_28931449的博客
05-27 811
[Java] 纯文本查看 复制代码public void b(){try{Object localObject = ClassLoader.getSystemClassLoader().loadClass("de.robv.android.xposed.XposedHelpers").newInstance();// 如果加载类失败 则表示当前环境没有xposedif (localObject !...
Xposed 框架检测机制
Codeoooo 博客
06-17 2112
Zygote是Android的核心,每运行一个app,Zygote就会fork一个虚拟机实例来运行app,Xposed Framework深入到了Android核心机制中,通过改造Zygote来实现一些很牛逼的功能。Zygote的启动配置在init.rc 脚 本 中,由系统启动的时候开启此进程,对应的执行文件是/system/bin/app_process,这个文件完成类库加载及一些函数调用的工作。
(2020.7.6)Android Xposed防护总结
Jaydenx的博客
07-15 1164
(转载公司内部论坛本人文章2020.7.6) xposed原理 Android系统中,Zygote进程在启动的过程中,会创建一个Dalvik虚拟机实例,同时将Java运行时库加载到进程中来,以及注册一些Android核心类的JNI方法到Dalvik虚拟机实例中去。 而我们知道,系统其它所有进程都是由Zygote进程孵化的。Zygote在启动新的app进程时,都会将自身的Dalvik虚拟机实例复制到该App进程里,形成该App独立的Dalvik虚拟机实例,同时还会与Zygote进程一起共享Java运行时库。所
APP抓包-代理转发绕过反代理+Xposed绕过证书校验
最新发布
xiaoheizi的博客
07-23 3903
而这里的牛牛不止设置了反代理还设置了证书校验,一闪而过的三个数据包就是在校验证书。而proxifier工具的转发机制获取的是网络接口出口数据,相当于是在网络接口设代理。这个时候就可以在夜神打开牛牛开始抓包了,打开牛牛可以看到proxifier有夜神流量通过。关闭代理之后牛牛就正常了,可恶的牛牛啊,这样我没办法抓包啊,怎么办啊。模拟器开启代理,burp开启监听。打开牛牛app,牛牛不在报错。牛牛app检测的是系统代理,也就是在模拟器或手机上设置的代理。再在浏览器下载两个模块,在夜神安装,用来屏蔽证书校验。
调试与反调试--关键文件检测
YJJYXM的博客
11-27 338
往期推荐 模拟器检测 文件检测 签名验证 资源文件混淆、 一:运行文件检测程序 1.使用adb命令,将filecheck课件push到手机目录下的data/local位置,如下图所示。 2.运行filecheck后,提示killed,如下图所示。 3.删除android server,再运行程序,程序可正常运行,如下图所示。 结论:如果有android server存在,程序就无法运行,如果删除android server,程序就可以正常运行,这就是关键文件的检测。 二: 进行IDA分析 1.将fil
Android逆向助手-v2.2.zip
07-14
在移动应用开发领域,Android逆向工程是一种重要的技术手段,用于分析应用程序的工作原理、检测安全漏洞或优化性能。Android逆向助手v2.2作为一款专为Android逆向分析设计的工具,它的出现极大地便利了开发者和安全...
零基础入门Android(安卓)逆向-rar
11-26
01.Android环境配置与常用工具介绍 02.Android smali 与 java 代码介绍1 : d% y( z) X- o& ~, e0 _; c1 I 03.Android smali 与 java 代码介绍2 c+ K& I/ q( b 04.Android smali 与 java 代码介绍3 % ]7 Z+ f! I! [5 ...
Android 逆向开发Xposed
05-19
Xposed框架则是Android逆向开发中的明星工具,它允许开发者通过编写模块来影响系统的运行行为,无需重新编译系统或者修改APK。下面我们将深入探讨Xposed及其在Android逆向开发中的应用。 首先,理解Android逆向工程...
Android-完全屏蔽微信被屏蔽的群.使用xposed实现
08-13
在Android平台上,有时候我们可能需要对特定应用进行定制化操作,比如针对微信的群屏蔽功能。这个场景中,我们将探讨如何使用Xposed框架来...同时,这也涉及到了Android编程、逆向工程、用户体验设计等多个方面的知识。
论文研究-一种基于Xposed框架的Android应用恶意行为检测方法 .pdf
08-18
一种基于Xposed框架的Android应用恶意行为检测方法,王赛,郭燕慧,针对Android终端日益猖獗的恶意攻击,本文从恶意行为的触发和捕获两个方面对现有方法进行改进,提出一种基于Xposed框架的Android应用恶�
微信HOOK-微信逆向易语言实例源码
02-09
在Android系统中,常见的HOOK技术包括Xposed框架、 Frida等,而在iOS系统中,可能需要利用Cydia Substrate或者LLDB等工具。 在微信逆向工程中,开发者或安全研究员会通过反编译、动态调试、静态分析等手段,理解...
检测xposed框架实现
深耕安全技术研究
01-13 1956
更多安全技术文章,请关注“游戏安全攻防”公众号,一起学习,一起进步。 直接上源码,直接看吧。 private static int l(Context context) { int i = 0; PackageManager packageManager = context.getPackageManager(); try { packageManager.getInstallerPackageName(“de.robv.android.xposed.installer”); i = 1; } catch
Android xposed权限检测
weixin_42345592的博客
09-14 1993
前言 由于开发的公司的APP上线华为市场被拒绝,APP以隐私政策弹窗前,非法收集用户信息,mac地址。 排查过程 通过抓包我们确认没用在弹出隐私条款前,发送类似的接口上报敏感信息,后和工信部电话沟通确认是只要你有调用getMacAddress此方法,就认定为非法的,即使你没有上报。所以就想怎么抓取那些sdk调用了getMacAddress 确定方案 使用VirtualXposed在手机上装了一下虚拟系统。 :https://github.com/android-hacker/VirtualXposed Ho
抖音及其他app对xp框架的检测原理刨析和反制方法
a379447714的博客
08-05 2351
环境: win10 x64 使用的工具:apkdb & jeb 2.2.7 1.尝试加载xposed的类,如果能加载则表示已经安装了。XposedHelpers类中存在fieldCache methodCache constructorCache 这三个静态成员,都是hashmap类型,凡是需要被hook的且已经被找到的对象都会被缓存到这三个map里面。我们通过便利这三个map来找到相关hook信息。备注:方法a是检测xposed到底改了什么东西存放到a中。抖音似乎会收集相关信息并上报。 ...
防作弊检测:2020 TM 双十一自动获取喵币脚本
热门推荐
Kaeson
10-21 1万+
下载安装 auto.js。导入auto1111.js脚本。 代码如下: auto.waitFor(); var height = device.height; var width = device.width; toast("开启1111") setScreenMetrics(width, height); start1111(); function start1111() { gotoMiaoBi(); miaoBiCenter(); toast("finished")
xposed绕过模拟器检测_移动安全防护策略之——Xposed 反调试
weixin_31089065的博客
01-05 5045
点击上方“蓝字”,发现更多精彩当下是个一个数据价值的时代,是一个万物互联的时代,数据是“21世纪的生产材料”这句话现在看一点都不夸张,不过随着时代的发展,催生了很多灰色产业,比如数据贩子、爬虫等,互联网各个行业也都有着激烈的竞争,安全技术的比拼也越发的重要,因此安全防范技术对于各个企业来讲都是未来发展的重中之重,安全防范技术成了不可或缺的重要一环。追溯移动安全的历史,在移动互联兴起的时候...
xposed绕过模拟器检测_利用Xposed躲过Xposed检测
weixin_39628405的博客
01-14 7262
越来越多的app对xposed进行了检测通过分析了其中部分对xposed检查的代码,希望通过xposed的方式阻止xposed检测达到通用的目的。一般检查手段有很多,楼主也没分析完,这里列举了几个和处理方式。1、通过 ClassLoader 的 loadClass 加载XposedHelper 来修改一些局部变量值,阻止hook.处理方式,通过Hook 类加载修改 加载的类名// 过防止调用loa...
xposed-v89-sdk25-x86
06-15
xposed-v89-sdk25-x86是一种Android系统框架,它可以通过修改系统代码和应用程序来改变系统行为和扩展应用程序的功能。它可以让开发者和用户轻松地完成系统级别的定制和增强功能。x86指的是基于Intel架构的设备,而...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值