APP运行环境检测机制绕过

已于 2023-08-23 20:14:15 修改
阅读量5.7k 收藏 21
点赞数 1
文章标签: 网络 安全 web app
于 2023-08-23 20:13:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46622976/article/details/132459640
版权

文章目录

概述

运行环境检测机制是常见的APP防护策略之一,一些安全防护水平较高的APP会禁止在模拟器、云手机、Hook框架、Root设备等风险环境运行,然而我们日常工作中安全测试、漏洞挖掘等往往又需要依赖这些环境。前段时间在分析某大型APP的时候发现其禁止在Root设备运行,并且采用了企业版梆梆加固,逆向破解的难度相对较高。我们想在Root设备运行该APP,就难免要进行机制的绕过,本文主要阐述在不对抗加固的前提下,绕过目标APP的运行环境检测机制。

在这里插入图片描述

绕过分析

常规思路

常规破解Root检测的思路主要有四种:

1.隐藏特征,对Root相关特征进行隐藏,比如修改su的名字和路径、魔改Magisk、MagiskHide等;

2.降维打击,通过定制操作系统or内核实现对目标APP的降维打击,比如使用KernelSU从内核空间直接赋予目标Root权限或者自己编译一个带Root后门的操作系统;

3.漏洞提权,漏洞具备极高的隐蔽性,故可利用提权类0Day或者历史已经披露的NDay漏洞获取Root权限;

4.对抗检测,反编译目标APP后逆向分析定位关键的检测函数,然后通过Hook、二次打包等手段实现对抗。

不同玩法

前面提到的四种常规破解思路其实都存在一定的技术门槛和攻击成本,对于隐藏特征和降维打击可能需要开发知识储备,漏洞提权则需要掌握相关的漏洞利用,对抗检测可能是最常规的一种思路了。

下面我们来看,不对抗加固的前提下进行绕过的思路:

破解环境:Magisk+EdXposed,Magisk用于获取Root权限,EdXposed用于破解环境检测;
在这里插入图片描述在这里插入图片描述

破解思路:根据目标APP的处置情况,配合方法调用堆栈的分析逆向推断关键函数后尝试破解。将目标APP安装至破解环境后启动运行,发现其会弹窗提示,经过一定时间延迟后自动退出,所以我们可以对弹窗和退出相关的系统API进行Hook,打印方法调用堆栈,假设一个函数targetFunc同时调用了弹窗和退出的相关API,那么targetFunc大概率就是一个突破口。另外该APP在启动后会白屏显示,所以可能需要进一步的分析界面布局,从而恢复正常的展示效果。
在这里插入图片描述

破解流程:关键函数定位—检测机制破解—界面展示恢复三步曲。

第一步,首先定位同时调用弹窗和退出API的关键函数,常用的API是Dialog.show()和System.exit(),因此可尝试Hook这两个函数并打印方法调用堆栈。
在这里插入图片描述

可以看到成功打印了弹窗,同步打印System.exit()的方法调用堆栈,如下图所示:
在这里插入图片描述

似乎并没有找到同时调用Dialog.show()和System.exit()的函数,不要慌,其实这是因为System.exit()是在子线程中被调用导致无法打印完整的方法调用堆栈,针对这种情况我们可以对Handler进一步Hook跟踪分析,打印sendMessage的时间戳及Handler的名字辅助分析,如下图所示:
在这里插入图片描述

接下来的操作非常简单,我们只需要打印Handler相关的方法调用堆栈基本就可以定位目标函数了。
在这里插入图片描述

所以我们可看到是MainActivityAdapter的子类i0中定义的a函数同时调用了Dialog.show()和System.exit(),也就是说a函数大概率就是我们要破解的关键函数。

第二步,可Hook前面定位的a函数,替换其代码逻辑,让它直接返回,不再去调用Dialog.show()和System.exit()实现环境检测机制的破解。而我们想要Hook函数,需要知道目标函数的参数及返回值信息,于是利用Java的反射机制打印,相关信息如下所示:
在这里插入图片描述

知道了a函数的参数为一个ArrayList,返回值为void,破解方法也很简单编写Hook模块直接让a函数返回null即可。
在这里插入图片描述

其实到这里已经完成了该APP环境检测机制的破解,但这个APP还有一个比较恶心的操作就是白屏,如果不能恢复正常界面展示的话,破解环境检测机制就变得毫无意义了。

第三步,从目标APP的表现来看,在检测进入到检测逻辑时会将APP首页白屏显示,检测完成环境无异常后再恢复正常的界面布局,所以我们只要定位到当前界面对应的Activity然后找到布局文件后,分析布局文件找到控制白屏显示的View组件,最后通过调用View的setVisibility函数即可恢复正常的显示。
在这里插入图片描述
ok,搞定!
在这里插入图片描述

总结

根据目标APP的处置(弹窗、自动退出)配合方法调用堆栈逆向推断同时调用了ialog.show()和System.exit()的关键函数成功突破目标APP的环境检测机制,然后定位布局文件恢复界面的正常显示。因为整个破解过程无需对抗加固,也不需要去反编译后静态分析代码,效率提高了很多,可能常规仅仅脱壳修复可能都超过半小时。

当然本文只是分享一种思路,毕竟适合自己的才是最优解,也希望大家能够明白对于APP而言并没有绝对的安全,百密终有一疏,不要过度依赖客户端自身的防护,应该将重心放在业务自身的安全性提升。随着攻防对抗的持续演进,未来绝不是单点作战而是全面对抗,建议采用动态的对抗手段替代环境检测等静态防护手段。感谢!

APP爬虫-抓包篇】巧妙使用工具与技巧绕过安卓APP抓包防护
吴秋霖的博客
01-05 1万+
最新且最全APP抓包汇总!使用各种工具与技巧绕过APP抓包防护!
某新闻应用Root检测绕过的三种方案
nuaaye的博客
01-26 1472
Root检测是移动应用安全中的一个重要方面,特别是在安卓平台上。当一个设备被“Root”时,用户可以获得对设备操作系统最高级别的访问权限,这通常用于破解、修改系统设置或者安装未经授权的应用。在逆向工程研究中,需要将应用运行在Root环境中,因此如何绕过Root检测也是逆向工程师必须掌握的一种分析手段。
APP绕过模拟器》配套资源
09-02
配套资源
App防抓包的四种绕过方法(详细)
希望我的博客,能帮上你解决学习中工作中所遇到的问题
03-02 1万+
平时做app渗透的适合,是不是经常会遇到burp抓不到包的问题,本文梳理了一些APP抓不到包的解决思路
模拟器检测教程:Nox、雷电、Mumu、逍遥模拟器 Magisk、LSposed 框架安装与隐藏应用配置》
专注技术分享
02-25 5778
2/2 ChatGPT 说: 本教程详细介绍了如何在四款主流安卓模拟器(Nox、雷电、Mumu、逍遥)中通过安装 Magisk、LSposed 框架实现过检测功能。文章首先介绍了模拟器的基本设置和必备工具的安装步骤,包括如何安装面具鸭(Magisk)和激活 Zygisk 框架,确保模拟器具备隐藏应用和绕过检测的能力。接着,重点讲解了如何配置前端应用、隐藏应用设置及修改设备信息,以避免被检测工具发现。文章还提供了常见问题的解决方案,如应用无法正常运行和检测未通过的情况。此外,本教程还包含了每款模拟器的具体操
避免检测:安卓模拟器/安卓虚拟机/root环境
热门推荐
qq_37639139的博客
07-03 3万+
使用隐藏 Root 的应用:有一些应用,如 “Hide My Root” 或 “Root Hide (SU Hide)”,可以帮助你隐藏 Root 状态。使用 Magisk:Magisk 是一个流行的 Android Root 解决方案,它具有一个名为 “Magisk Hide” 的功能,可以隐藏 Root 状态,使应用无法检测到 Root 权限。请注意,随着应用安全技术的发展,它们可能会采用更先进的方法来检测 Root。然而,需要注意的是,随着安全技术的发展,应用可能会采用更先进的方法来检测虚拟机。
APP攻防--反模拟器&反代理&反证书&真机逃逸&XP框架&Frida技术
weixin_74985952的博客
10-20 1737
关于APP抓包,使用burpsuite抓模拟器中的数据包,需要将模拟器中的网络设置代理,代理地址为burpsuite监听的地址与端口,要想成功获取https数据包,需要将burpsuite证书导入模拟器中,在Android7.0之后的系统需要将证书导入系统认证,具体操作参考。Hook 技术又叫做钩子函数,在系统没有调用该函数之前,钩子程序就先捕获该消息,钩子函数先得到控制权,这时钩子函数既可以加工处理(改变)该函数的执行行为,还可以强制结束消息的传递。设置模拟器网络代理,转发至burpsuite。
APP绕过模拟器-小白版
cutjgh的博客
09-02 2万+
原文连接 工具:AndroidKiller mumu模拟器 背景: app有防模拟器机制,在模拟器上打开APP会闪退,我刚好看见了一篇简单的绕过方法,很适合小白,就试着复现了一下 1.在模拟器上安装并打开 打开之后会出现这个页面并且很快会退出去 2.现在来破解 (1)它在还没闪退前有一行中文提示 (2)把提示转换成unicode码,用androidkiller打开,然后搜索 (3)可以看到有两个地方(这两个都要改),点击它,进入程序,修改它的逻辑(一般来说是就在附近的,往上找找) (4)这两处.
关于模拟器App无法抓包情况及绕过手段
qq_46081990的博客
03-25 3616
App无法抓包总的来说分为App有没有做限制,当App没有做限制抓不到包时,可能是工具(BurpSuite、Charles等)证书没有配置好,或者有的数据包走的不是http/https协议,这时可以选用Wireshark、科来等能抓其他协议数据包的工具,这是比较好解决的一种情况。1、反模拟器调试2、反证书检验3、反代理或VPN。
绕过身份检测,破解Android SU
lwpping的专栏
06-08 1611
http://www.61ic.com/Mobile/Android/201207/43661.html 由于Android底层是Linux内核,故了解了Linux的权限管理后就可以知道ROOT的原理,具体可以访问《Android系统权限和root权限》一文,而一般的Androd下的su命令只支持在ROOT用户和SHELL用户下才有权限让程序以root用户身份运行,其实看完Android
修改app绕过模拟器检测_通过手机模拟器爬腾讯新闻APP数据
weixin_39970064的博客
11-02 2768
最近接到公司派的1个任务,让我爬取腾讯新闻app的热点榜此热点新闻每10分钟更新1次,所以需要每隔10分钟爬取一次,然后保存下来。最简单的办法就是找电脑网页版,但是翻遍所有网站也没有找到这个接口,所以只好乖乖地从手机端爬了。手机端数据接口参数分析是一件很难的事,我们可以绕过此过程,在APP数据交换的过程通过mitmproxy工具将返回的数据拦截下来。这种方法的优点就是简便,分析接口参数,缺点是需要...
Android环境检测绕过对抗
songbai220
06-03 6584
近几年,各个厂商安全意识提高了~这本来是件好事....可是吧...总感觉方向错了....一直孜孜不倦的加强客户端的代码保护、环境检测....PC 端各种客户端加壳、虚拟机检测等保护早就证明了一个道理:客户端安全永远比不上服务端安全。提示此处的环境以 Lsposed(Zygisk 版)+Magisk(Zygisk 模式)为例。
Anti-BlueStacks:绕过BlueStacks内核的反模拟器检测
02-05
Anti BlueStacks Android模拟器演示 这是一个绕过bst模拟器内核屏蔽模拟器特征路径和特征文件的一个绕过方式,主要展示的是一个绕过手段,具体技术完善和规则完善需要自己去补充 反模拟器检测目前主要有两种手段,一种是定制libc,对open,stat,访问函数入口进行判断,常用C函数将无法进行判断,可使用svc进行绕过,第二种更直接的可以定制内核,通常情况下,应用层完全无法直接进行检测,此Demo主要针对他规则方面的缺陷进行的绕过手段 bst模拟器在内核层对常用的io函数针对的路径和特征文件绝对路径进行了强匹配,并且删除了/../绕过,通常的这种方式无法检测到特征文件, 如下代
app逆向抓包技巧:ROOT检测绕过
九月镇灵将的博客
08-02 3856
app逆向抓包技巧:ROOT检测绕过
绕过某书frida反调试检测 获取某宝支付参数
一个自学不成材的程序员
03-05 1659
在移动应用安全测试和研究过程中,我们经常需要使用Frida等工具对应用进行动态分析。然而,很多应用都实现了反调试和反注入机制,用来检测并阻止此类分析工具的使用。本文将分享如何使用Frida绕过某流行阅读应用(以下简称"某书",本次任务目的原本是需要找出该书订单跳转某宝支付进行frida hook 参数)的反调试检测机制。简单优于复杂:最初我们尝试通过Interceptor.replace复杂地替换目标函数,但这种方法容易导致应用崩溃。最后发现,直接阻止库加载是最简单有效的方法。分层防御。
App测试环境搭建
我管它叫“知勤者笔记”,主要用来记录和分享我的日常生活与学习经历
11-10 1700
App测试环境搭建
一例APP绕过root检测解密
dzqxwzoe的博客
09-08 814
还是一个简单的例子,现在常规的app大体思路都是这样,只能碰到问题花时间研究去解决,不能迷信通杀方案。print(ret)​[外链图片转存中…(img-8Hqovuij-1694135611476)]还是一个简单的例子,现在常规的app大体思路都是这样,只能碰到问题花时间研究去解决,不能迷信通杀方案。
毕业一年,从事运维感觉没有出路,如何转型更有前景?
Python_0011的博客
07-08 1431
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
如何绕过APK的签名校验机制
最新发布
03-12
<think>嗯,用户想知道如何绕过APK的签名校验机制。首先,我得回忆一下APK签名的作用。APK签名主要是为了验证应用在发布后没有被篡改,确保应用的完整性。如果用户想绕过这个机制,可能有几种方法,比如修改APK后重新签名,但系统会检测到签名不一致,导致安装失败或者运行时校验失败。 根据提供的引用内容,引用[1]提到verifiedEntries找不到新添加的文件,导致返回null。这可能涉及到在签名后添加文件,从而绕过签名检查。另外,引用[2]和[3]提到了替换public_key的方法,可能是在反编译后的代码中找到签名相关的部分,替换正确的公钥,或者通过抓包修改网络请求中的验证信息。引用[4]和[5]则涉及重打包和修改返回值,比如hook方法返回特定的路径,欺骗签名检查。 首先,我需要整理这些方法。可能的方法包括:重打包时处理签名校验逻辑、修改验证相关的代码或资源、网络验证的中间人攻击、动态Hook技术,以及通过注入文件来绕过校验。每种方法的具体步骤需要详细说明,比如反编译APK、定位签名校验代码、修改smali代码或资源文件,然后重新打包签名。同时,需要注意这些方法的实现细节,比如如何找到关键代码位置,如何处理签名后的文件添加,或者如何Hook系统方法返回伪造的信息。 另外,用户可能需要了解这些方法的原理和潜在风险,比如可能违反法律法规,或导致应用不稳定。因此,在回答中需要强调这些注意事项,并建议仅用于合法授权的研究。同时,要确保步骤清晰,比如分步骤说明如何反编译、修改、重打包,以及可能用到的工具如apktool、Frida等。 还需要考虑用户的实际操作中可能遇到的问题,比如如何定位签名校验的代码位置,如何正确替换公钥,或者如何配置抓包工具来拦截和修改网络请求。引用中的例子提供了具体的代码修改点,比如修改getPackageCodePath的返回值,这需要用户具备一定的逆向工程和编程能力。 总结起来,回答需要分步骤介绍不同方法,结合引用中的具体案例,说明每种方法的操作流程,并提醒用户注意法律和安全问题。同时,生成的相关问题要围绕这些方法的应用、检测和防御展开,帮助用户进一步理解相关技术。</think>### 绕过APK签名校验的常见方法 #### 1. **修改签名校验逻辑(代码层绕过)** - **原理**:APK签名校验通常通过对比当前APK的签名与预置的合法签名是否一致来实现。若直接修改校验逻辑(例如强制返回`true`),可绕过检测。 - **步骤**: 1. 使用反编译工具(如`apktool`)解包APK,定位签名校验代码。通常搜索关键词如`signatures`、`getPackageInfo`、`verify`等[^2]。 2. 修改`smali`代码或`Java`逻辑,使校验函数直接返回合法值。例如: ```smali # 原代码:if-eqz v0, :cond_0 (检查签名是否为空) # 修改为:if-nez v0, :cond_0 (反向条件) ``` - **风险**:部分应用会在多个位置校验签名,需全面覆盖。 #### 2. **注入合法公钥(资源替换)** - **原理**:若应用使用预埋的公钥验证签名,可通过反编译替换合法公钥。 - **步骤**: 1. 反编译APK后,搜索`public_key`或`signature`相关资源文件。 2. 将合法APK的公钥替换到目标APK中,确保验证逻辑匹配[^3]。 - **案例**:通过抓包对比正常APK与篡改APK的`public_key`差异,替换后绕过网络验证[^3]。 #### 3. **动态Hook绕过(运行时拦截)** - **原理**:使用`Frida`或`Xposed`等工具,在运行时修改关键函数返回值。 - **步骤**: 1. Hook签名校验函数(如`getPackageCodePath`),强制返回合法APK路径: ```javascript // Frida脚本示例[^5] Java.perform(function () { Java.use("android.content.ContextWrapper").getPackageCodePath.implementation = function () { return "/data/app/合法APK路径/base.apk"; }; }); ``` 2. 绕过校验后加载篡改后的APK。 #### 4. **签名后注入文件(Jar漏洞利用)** - **原理**:Android的`JarVerifier`在校验时依赖`verifiedEntries`列表。若在签名后添加新文件,该校验会失败但可能被忽略[^1]。 - **步骤**: 1. 对已签名APK追加新文件(如`assets/`目录下的资源)。 2. 修改代码逻辑,使应用加载新增文件时不触发校验。 #### 5. **网络验证中间人攻击** - **原理**:若签名校验依赖服务端验证,可通过抓包篡改响应。 - **步骤**: 1. 使用抓包工具(如`Charles`)拦截验证请求。 2. 替换响应中的签名验证结果字段(如`"valid": true`)[^3]。 --- ### 注意事项 1. **法律风险**:绕过签名校验可能违反《计算机软件保护条例》,仅限合法授权场景使用。 2. **兼容性问题**:修改后的APK可能因签名失效导致部分功能异常(如支付、地图SDK)。 3. **对抗加固**:若APK被混淆或加固(如360加固),需先脱壳再修改。 ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

306Safe

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值