[原创]修改源码实现全局(无需root)注入躲开注入检测-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]修改源码实现全局(无需root)注入躲开注入检测

发表于: 2016-12-14 11:13 25304

[原创]修改源码实现全局(无需root)注入躲开注入检测

大王叫我挖坟

2016-12-14 11:13

25304

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

修改源码实现全局(无需root)注入躲开注入检测.zip （4.60MB，709次下载）

收藏・99

免费・1

支持

最新回复 (58) 1 2 3 ▶
老男孩Ppea 雪币： 240 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	老男孩Ppea 2 楼附件无效~~ 2016-12-14 11:49 0
大王叫我挖坟雪币： 191 活跃值： (195) 能力值： ( LV8，RANK：130 ) 在线值：发帖 29 回帖 321 粉丝 23 关注私信	大王叫我挖坟 3 3 楼已经更新你看看 2016-12-14 12:02 0
老男孩Ppea 雪币： 240 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	老男孩Ppea 4 楼 2016-12-14 12:05 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 5 楼 MARK 一下不错 2016-12-14 13:02 0
liuganchao 雪币： 76 活跃值： (114) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 206 粉丝 0 关注私信	liuganchao 6 楼给大牛点赞。 2016-12-14 14:17 0
学编程雪币： 163 活跃值： (1623) 能力值： ( LV5，RANK：60 ) 在线值：发帖 30 回帖 441 粉丝 2 关注私信	学编程 1 7 楼 android.app.ActivityThread.handleBindApplication阶段是apk的权限，有可能没有权限访问/data/local/tmp吧 2016-12-14 15:23 0
大王叫我挖坟雪币： 191 活跃值： (195) 能力值： ( LV8，RANK：130 ) 在线值：发帖 29 回帖 321 粉丝 23 关注私信	大王叫我挖坟 3 8 楼你好没问题的，你可以cp过去 2016-12-14 15:34 0
学编程雪币： 163 活跃值： (1623) 能力值： ( LV5，RANK：60 ) 在线值：发帖 30 回帖 441 粉丝 2 关注私信	学编程 1 9 楼我的手机是 -rw-r--r-- root root 35947 2014-11-09 09:43 framework.jar -rw-r--r-- root root 10004976 2014-11-09 09:43 framework.odex framework.jar包里面只有 preloaded-classes,preloaded-classes0,preloaded-classes1,preloaded-classes2文件。如附件： framework.zip 这种情况如何处理上传的附件： framework.zip （3.82MB，20次下载） 2016-12-14 15:36 0
大王叫我挖坟雪币： 191 活跃值： (195) 能力值： ( LV8，RANK：130 ) 在线值：发帖 29 回帖 321 粉丝 23 关注私信	大王叫我挖坟 3 10 楼没碰到过这种情况哦，没法回答你哦，我要去安心搬我的砖去啦，抱歉啊！ 2016-12-14 15:53 0
学编程雪币： 163 活跃值： (1623) 能力值： ( LV5，RANK：60 ) 在线值：发帖 30 回帖 441 粉丝 2 关注私信	学编程 1 11 楼 Android 4.4的系统 2016-12-14 21:44 0
大王叫我挖坟雪币： 191 活跃值： (195) 能力值： ( LV8，RANK：130 ) 在线值：发帖 29 回帖 321 粉丝 23 关注私信	大王叫我挖坟 3 12 楼哈哈恭喜你，你修改那个jar文件就行啦，但是你这个很奇怪哦，我的设备也是4.4但是jar有几MB才对，而你那个怎么只有几十K呢， 2016-12-14 21:54 0
寻找allblue 雪币： 44 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 65 粉丝 0 关注私信	寻找allblue 13 楼好东西啊谢谢分享，赞赞赞！ 2016-12-14 22:35 0
gdbsap 雪币： 25 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 26 粉丝 0 关注私信	gdbsap 14 楼不错，MARK！ 2016-12-14 22:50 0
Loopher 雪币： 210 活跃值： (641) 能力值： ( LV2，RANK：15 ) 在线值：发帖 3 回帖 204 粉丝 0 关注私信	Loopher 15 楼围观 2016-12-15 09:40 0
frozenrain 雪币： 107 活跃值： (1693) 能力值： ( LV6，RANK：80 ) 在线值：发帖 26 回帖 509 粉丝 1 关注私信	frozenrain 16 楼没做到躲开注入检测吧？ 2016-12-15 10:18 0
LonerQy 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 23 粉丝 0 关注私信	LonerQy 17 楼顶一个 Mark 2016-12-15 10:23 0
lstllt 雪币： 6 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	lstllt 18 楼赞赞赞，思路好~ 2016-12-15 10:58 0
malokch 雪币： 43 活跃值： (388) 能力值： ( LV9，RANK：140 ) 在线值：发帖 30 回帖 385 粉丝 27 关注私信	malokch 2 19 楼这个太麻烦了，直接把so插入zygote，在zygote fork的时候把so带过去就行了，还可过ant-ant-debug。防止检测可以hook dladdr，hook open fopen重定向对/proc/x/maps的读取。妥妥的，兼容性还很好。 2016-12-15 11:04 0
uestcdzy 雪币： 506 活跃值： (185) 能力值： ( LV8，RANK：120 ) 在线值：发帖 5 回帖 25 粉丝 3 关注私信	uestcdzy 2 20 楼 6666 2016-12-15 11:45 0
uestcdzy 雪币： 506 活跃值： (185) 能力值： ( LV8，RANK：120 ) 在线值：发帖 5 回帖 25 粉丝 3 关注私信	uestcdzy 2 21 楼嗯，这个得看程序对.so注入到底检测到了哪一步了那，如果是检测的注入框架就可以，如果通过进程加载的.so来判断，那就不得行。还需要额外工作。 2016-12-15 11:55 0
寂寞深海雪币： 21 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 19 粉丝 0 关注私信	寂寞深海 22 楼 mark 2016-12-15 12:05 0
大王叫我挖坟雪币： 191 活跃值： (195) 能力值： ( LV8，RANK：130 ) 在线值：发帖 29 回帖 321 粉丝 23 关注私信	大王叫我挖坟 3 23 楼嗯谢谢分享啦，我只是提供三个方面的思路，zygote，so的载入过程和apk启动的java层,可以修改的地方是很多的，根据个人爱好吧 2016-12-15 12:33 0
大王叫我挖坟雪币： 191 活跃值： (195) 能力值： ( LV8，RANK：130 ) 在线值：发帖 29 回帖 321 粉丝 23 关注私信	大王叫我挖坟 3 24 楼哈哈，谢谢提意见啦，我觉得这样修改已经足够对付市面上那些加固了，这个函数是在程序的so启动之前做的事情，加固产品要检测也只能检测maps文件里面有哪些so，或者检测framework.jar文件是否改变，或者蜜罐函数，或者libc或者linker里面的一些关键api等，但是加固产品不可能做这些事情。设备和系统和被加固产品的多样性，还有崩溃率的存在，他们不可能去做检测那些东西。如果硬要去检测，那也没办法，没有无敌的矛，你怎么改都会被检测到，但是那不是产品，加固公司平时也纠结各种兼容的问题 2016-12-15 12:38 0
大王叫我挖坟雪币： 191 活跃值： (195) 能力值： ( LV8，RANK：130 ) 在线值：发帖 29 回帖 321 粉丝 23 关注私信	大王叫我挖坟 3 25 楼做加固的同学们心中都有一个痛吧，围墙修的再好再漂亮，各方面都想到了，但是为了兼容让一些地方薄弱存在，然后被人打个小洞全部都毁了。个人认为做加固的比破解的要难，不容易啊，给加固的同学点个赞。 2016-12-15 12:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

大王叫我挖坟

发帖

321

回帖

130

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (58) 1 2 3 ▶
老男孩Ppea 雪币： 240 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	老男孩Ppea 2 楼附件无效~~ 2016-12-14 11:49 0
大王叫我挖坟雪币： 191 活跃值： (195) 能力值： ( LV8，RANK：130 ) 在线值：发帖 29 回帖 321 粉丝 23 关注私信	大王叫我挖坟 3 3 楼已经更新你看看 2016-12-14 12:02 0
老男孩Ppea 雪币： 240 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	老男孩Ppea 4 楼 2016-12-14 12:05 0
elianmeng 雪币： 967 活跃值： (1138) 能力值： ( LV6，RANK：90 ) 在线值：发帖 68 回帖 707 粉丝 4 关注私信	elianmeng 1 5 楼 MARK 一下不错 2016-12-14 13:02 0
liuganchao 雪币： 76 活跃值： (114) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 206 粉丝 0 关注私信	liuganchao 6 楼给大牛点赞。 2016-12-14 14:17 0
学编程雪币： 163 活跃值： (1623) 能力值： ( LV5，RANK：60 ) 在线值：发帖 30 回帖 441 粉丝 2 关注私信	学编程 1 7 楼 android.app.ActivityThread.handleBindApplication阶段是apk的权限，有可能没有权限访问/data/local/tmp吧 2016-12-14 15:23 0
大王叫我挖坟雪币： 191 活跃值： (195) 能力值： ( LV8，RANK：130 ) 在线值：发帖 29 回帖 321 粉丝 23 关注私信	大王叫我挖坟 3 8 楼你好没问题的，你可以cp过去 2016-12-14 15:34 0
学编程雪币： 163 活跃值： (1623) 能力值： ( LV5，RANK：60 ) 在线值：发帖 30 回帖 441 粉丝 2 关注私信	学编程 1 9 楼我的手机是 -rw-r--r-- root root 35947 2014-11-09 09:43 framework.jar -rw-r--r-- root root 10004976 2014-11-09 09:43 framework.odex framework.jar包里面只有 preloaded-classes,preloaded-classes0,preloaded-classes1,preloaded-classes2文件。如附件： framework.zip 这种情况如何处理上传的附件： framework.zip （3.82MB，20次下载） 2016-12-14 15:36 0
大王叫我挖坟雪币： 191 活跃值： (195) 能力值： ( LV8，RANK：130 ) 在线值：发帖 29 回帖 321 粉丝 23 关注私信	大王叫我挖坟 3 10 楼没碰到过这种情况哦，没法回答你哦，我要去安心搬我的砖去啦，抱歉啊！ 2016-12-14 15:53 0
学编程雪币： 163 活跃值： (1623) 能力值： ( LV5，RANK：60 ) 在线值：发帖 30 回帖 441 粉丝 2 关注私信	学编程 1 11 楼 Android 4.4的系统 2016-12-14 21:44 0
大王叫我挖坟雪币： 191 活跃值： (195) 能力值： ( LV8，RANK：130 ) 在线值：发帖 29 回帖 321 粉丝 23 关注私信	大王叫我挖坟 3 12 楼哈哈恭喜你，你修改那个jar文件就行啦，但是你这个很奇怪哦，我的设备也是4.4但是jar有几MB才对，而你那个怎么只有几十K呢， 2016-12-14 21:54 0
寻找allblue 雪币： 44 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 65 粉丝 0 关注私信	寻找allblue 13 楼好东西啊谢谢分享，赞赞赞！ 2016-12-14 22:35 0
gdbsap 雪币： 25 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 26 粉丝 0 关注私信	gdbsap 14 楼不错，MARK！ 2016-12-14 22:50 0
Loopher 雪币： 210 活跃值： (641) 能力值： ( LV2，RANK：15 ) 在线值：发帖 3 回帖 204 粉丝 0 关注私信	Loopher 15 楼围观 2016-12-15 09:40 0
frozenrain 雪币： 107 活跃值： (1693) 能力值： ( LV6，RANK：80 ) 在线值：发帖 26 回帖 509 粉丝 1 关注私信	frozenrain 16 楼没做到躲开注入检测吧？ 2016-12-15 10:18 0
LonerQy 雪币： 35 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 23 粉丝 0 关注私信	LonerQy 17 楼顶一个 Mark 2016-12-15 10:23 0
lstllt 雪币： 6 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	lstllt 18 楼赞赞赞，思路好~ 2016-12-15 10:58 0
malokch 雪币： 43 活跃值： (388) 能力值： ( LV9，RANK：140 ) 在线值：发帖 30 回帖 385 粉丝 27 关注私信	malokch 2 19 楼这个太麻烦了，直接把so插入zygote，在zygote fork的时候把so带过去就行了，还可过ant-ant-debug。防止检测可以hook dladdr，hook open fopen重定向对/proc/x/maps的读取。妥妥的，兼容性还很好。 2016-12-15 11:04 0
uestcdzy 雪币： 506 活跃值： (185) 能力值： ( LV8，RANK：120 ) 在线值：发帖 5 回帖 25 粉丝 3 关注私信	uestcdzy 2 20 楼 6666 2016-12-15 11:45 0
uestcdzy 雪币： 506 活跃值： (185) 能力值： ( LV8，RANK：120 ) 在线值：发帖 5 回帖 25 粉丝 3 关注私信	uestcdzy 2 21 楼嗯，这个得看程序对.so注入到底检测到了哪一步了那，如果是检测的注入框架就可以，如果通过进程加载的.so来判断，那就不得行。还需要额外工作。 2016-12-15 11:55 0
寂寞深海雪币： 21 活跃值： (10) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 19 粉丝 0 关注私信	寂寞深海 22 楼 mark 2016-12-15 12:05 0
大王叫我挖坟雪币： 191 活跃值： (195) 能力值： ( LV8，RANK：130 ) 在线值：发帖 29 回帖 321 粉丝 23 关注私信	大王叫我挖坟 3 23 楼嗯谢谢分享啦，我只是提供三个方面的思路，zygote，so的载入过程和apk启动的java层,可以修改的地方是很多的，根据个人爱好吧 2016-12-15 12:33 0
大王叫我挖坟雪币： 191 活跃值： (195) 能力值： ( LV8，RANK：130 ) 在线值：发帖 29 回帖 321 粉丝 23 关注私信	大王叫我挖坟 3 24 楼哈哈，谢谢提意见啦，我觉得这样修改已经足够对付市面上那些加固了，这个函数是在程序的so启动之前做的事情，加固产品要检测也只能检测maps文件里面有哪些so，或者检测framework.jar文件是否改变，或者蜜罐函数，或者libc或者linker里面的一些关键api等，但是加固产品不可能做这些事情。设备和系统和被加固产品的多样性，还有崩溃率的存在，他们不可能去做检测那些东西。如果硬要去检测，那也没办法，没有无敌的矛，你怎么改都会被检测到，但是那不是产品，加固公司平时也纠结各种兼容的问题 2016-12-15 12:38 0
大王叫我挖坟雪币： 191 活跃值： (195) 能力值： ( LV8，RANK：130 ) 在线值：发帖 29 回帖 321 粉丝 23 关注私信	大王叫我挖坟 3 25 楼做加固的同学们心中都有一个痛吧，围墙修的再好再漂亮，各方面都想到了，但是为了兼容让一些地方薄弱存在，然后被人打个小洞全部都毁了。个人认为做加固的比破解的要难，不容易啊，给加固的同学点个赞。 2016-12-15 12:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复