第十一章 软件保护技术(六)(运行环境检测)

最新推荐文章于 2023-08-23 20:13:39 发布
最新推荐文章于 2023-08-23 20:13:39 发布
阅读量3.9k 收藏 2
点赞数
分类专栏: 《Android 软件安全权威指南》学习笔记 文章标签: android 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zlmm741/article/details/106173593
版权

文章目录

运行环境检测

  • 动态分析技术
    • 除了静态分析和动态调试,还可用它分析软件
    • 基于自定义的沙盒环境,通过 Hook 系统中所有关键 API 来输出程序运行时的动态信息
    • 效率较高
  • 可在运行时检测软件的运行环境,判断程序是否被第三方恶意使用或跟踪分析

模拟器检测

  • 主流沙盒的运行环境都是基于 Android 源码改造的定制版本的模拟器,只要检测运行环境是否为 Android 模拟器,即可判断是否运行于沙盒

  • 模拟器和真机的差异:

    • 手机服务的差异

      • 模拟器中所有与设备运行相关的信息都是被模拟的,包括设备的 ID、手机号、IMEI、IMSI 等,其中最明显的是模拟器中的手机号以 155 开头(正常手机号不可能如此)
      • 模拟器启动后会开启 5554 端口,可通过检测该端口是否被使用,从而判断是否运行在模拟器

    • 系统属性的差异

      • 分别在真机和模拟器的 adb shell 环境中执行 getprop 命令,即可发现系统属性的差异

        • 真机

          image-20200427134442390

        • 模拟器

          image-20200427132255966

      • 模拟器中设备厂商、硬件、model 等属性值都固定为 sdk 或 generic,真机不会出现此情况

    • 系统文件的差异

      • 模拟器中有 /init.goldfish.rc/system/bin/qemud 这类真机不会有的文件

    • 系统硬件的差异

      • 模拟器中查看 /proc/cpuinfo 的信息,会显示 Goldfish 之类的字样,真机不会如此

  • 示例代码(根据上述信息判断程序是否运行于模拟器):

    private boolean checkEMU(Context context) {
     
    if ("runchu".equals(getProp(context, "ro.hardware")))
        return true;
    if ("1".equals(getProp(this, "ro.kernel.qemu")))
        return true;
    if ("generic".equals(getProp(context, "ro.product.device")))
        return true;
 
    if (Build.MANUFACTURER.contains(
最低0.47元/天 解锁文章
zlmm741
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
安卓应用hook测试
Scorpio_m7
12-29 4446
安卓应用渗透测试
Android hook检测安全方向)
weixin_41508948的博客
09-19 8756
什么是hook 所谓hook技术,就是通过一段代码(反射、代理)侵入到App启动过程中,在原本执行的代码前插入其它的功能。比如:通过hook技术,上传登陆页面的账号密码等。 干货 对于主流hook框架(Xposed、Cydia Substrate),通常有以下三种方式来检测一个App是否被hook: 安装目录中是否存在hook工具 存储中是否存在hook安装文件 运行栈中是否存在ho...
安卓黑科技之HOOK详解
世界美景的博客
04-24 2万+
此文带大家进入到安卓另一个世界 互联网攻防大战 Xposed框架 : 它能够让Android设备在没有修改源码的情况下修改系统中的API运行结果 可实现对java层任意HOOK   比如 修改 IMEI IMSI ICCID 这些全球唯一的身份标志 HOOK 三方应用 微信 QQ 实现抢红包 自动回复 换肤 改变当前位置 自动添加 附近的人界面的陌生人为好友 三方应
交管12123 检测到当前环境存在安全风险,无法使用
fjh1997的博客
06-26 2万+
主要原因是检测了xpose框架和root,root的话直接启用magisk hide就行,但是xpose框架的话就没那么容易解决,摸索了好久,发现只有太极的全局模式才能解除这个限制。
Hook技术看这篇就够了
热门推荐
shoneworn的专栏
05-28 3万+
    相信很多搞机的朋友都玩过Xposed, 它实现了很多不可思议的功能。它是怎么实现的呢?这里就得提到我们的Hook技术了。    关于 Android 中的 Hook 机制,大致有两个方式:   要 root 权限,直接 Hook 系统,可以干掉所有的 App。   免 root 权限,但是只能 Hook 自身,对系统其它 App 无能为力。    时间所限,这里不展开了。    知识点: ...
安卓逆向环境检测--hook
weixin_44348983的博客
06-26 2064
安卓、逆向、检测
第一章操作系统概述PPT文档.pptx
11-14
操作系统设置CPU上下文环境,并跳到程序开始处,程序的第一条指令执行,失败,缺页中断发生,操作系统分配一页内存,并将代码从磁盘读入,继续执行,更多的缺页中断,读入更多的页面,程序执行系统调用,在文件描述...
13第十三章船舶油水分离器控制系统共8页.pdf.zip
11-13
【标题】"13第十三章船舶油水分离器控制系统共8页.pdf.zip" 提供的是关于船舶油水分离器控制系统的技术文档,这通常涉及到船舶环境保护、海洋污染控制以及自动化技术等多个方面。船舶油水分离器是船舶上的关键设备,...
XXX年中级审计师资格考试辅导第十一章计算机审计.docx
11-12
【标题】:XXX年中级审计师资格考试辅导第十一章计算机审计 【描述】:该文档是针对XXX年中级审计师资格考试的计算机审计章节的辅导资料,涵盖了计算机审计的基础知识和实践应用。 【标签】:XXX年中级审计师资格...
数据库原理习题与答案第9章数据库系统恢复和并发控制技术[归类].pdf
10-14
这一章节主要讨论了数据保护的三个方面:安全性、完整性和并发控制,以及如何应对数据库系统中的各种故障。 1. **安全性**:数据库系统需要确保只有授权的用户才能访问和修改数据,防止未授权的访问和操作。 2. **...
Android逆向之旅---破解某支付软件防Xposed等框架Hook功能检测机制
编码美丽
05-15 8654

 
 
 
 
 
 
 一、情景介绍最近想写几个某支付软件的插件,大家现在都知道现在插件大部分都是基于Xposed的hook...
如何防止自己的APP被Hook
weixin_30505485的博客
07-05 5369
  许多app在推广期间可能会有免费或者赠送之类的活动(类似美团一分钱),但是有很多的刷子们会利用一些漏洞无限刷,而一般的app会用到的技术无非就是UUId, Idfa, idfv,macAddress,keyChain,openuuid等,这些参数既要收到苹果的上线限制,有的还获取不到,即使能用的也会在卸载app之后改变,所以难以确定手机的唯一性,更有专门的刷子团队,利用一些软件(例如igv8,...
安卓刷量技术揭秘(二) 高级攻防技巧
assicen的专栏
10-01 1801
估计厂商也认识到了APP在JAVA环境运行收集到的信息被篡改的几率很大,所以很多厂商把目光标准了JNI层。 JNI层的运算是独立于JAVA层以外的、更底层的运算,也就是说,你用XPOSED安装了一个JAVA层的钩子修改了机器的重要信息A,但从JNI层读取信息A的时候,并不会触发你的钩子,所以返回值是系统真实值。 那么JNI层的数据如何修改呢?如何进入JNI层?进入JNI层后如何使用钩子?这里我
各种HOOK方式和检测对抗方法
任鸟飞2217777779的博客
09-26 1万+
hook翻译过来是拦截的意思, 我们很多时候也叫钩子,其实是很形象的.hook有什么作用呢?1.当代码执行到某行时,获取寄存器值和内存里的值,进行调试分析,例如hook明文包.2.当代码执行到某行时,插入想执行的代码.例如迅雷拦截发包函数.3.当代码执行到某行时,修改寄存器,达到某些篡改目的.
安卓 反调试 环境检测点汇总 hook( 面具 xp ida frida )检测点 和 绕过策略
arr的博客
01-06 7741
属于到处收集的资料和工作中碰到的,在此感谢文末出处链接的作者 我把他们分为三大部分,由浅至深,实际上检测点实在太多了,肯定不全的,如果有漏掉的麻烦大佬在评论区指出 Java 在java层检测的实际很容易就能找到,因为app反调试的反映只有几种 闪退 弹窗 卡启动页 实际上甚至可以无视上面几种,无脑hook所有函数,再过滤掉启动必须的函数就能找到 1.应用主动申请root权限 来源: https://www.cnblogs.com/android-er/p/5478298.html 主要是这一条命令 .
APP运行环境检测机制绕过
最新发布
weixin_46622976的博客
08-23 2812
移动安全--app渗透--检测机制绕过
第四章 常见 Android 文件格式(二)(classes.dex)
zlmm741的博客
03-06 5554
文章目录classes.dexDEX 文件结构DEX 文件的验证与优化过程DEX 文件的修改MultiDex classes.dex 其中包含 APK 的可执行代码,是分析 Android 软件时最常见的目标 DEX 文件结构 在 Android 源码文件 dalvik/libdex/DexFile.h 中,有 DEX 文件可能用到的所有数据结构和常量定义 先了解 DEX 文件使用的数据类型...
C#桌面程序设计第十一章应用程序在线升级ppt课件.ppt
11-13
第十一章C#桌面程序设计深入探讨了应用程序在线升级的重要性和实现方法,本章的核心内容主要围绕系统升级任务展开,旨在帮助开发者理解和应用组网、多线程及委托等相关知识。在实际开发中,通过Windows Form...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值