首页
社区
课程
招聘
[原创]利用Xposed躲过Xposed检测
发表于: 2019-3-5 11:41 25439

[原创]利用Xposed躲过Xposed检测

2019-3-5 11:41
25439

越来越多的app对xposed进行了检测

通过分析了其中部分对xposed检查的代码,希望通过xposed的方式阻止xposed检测达到通用的目的。

一般检查手段有很多,楼主也没分析完,这里列举了几个和处理方式。

1、通过 ClassLoader 的 loadClass 加载XposedHelper 来修改一些局部变量值,阻止hook.

处理方式,通过Hook 类加载修改 加载的类名

2、通过 代码抛出一个异常,在堆栈中,查找Xposed相关的内容,进行判定

处理方式,通过Hook堆栈获取类名替换的方式进行阻止

3、通过读取 shell 命令 /proc/pid(应用进程id)/maps 可以拿到当前上下文的so和jar列表,查找Xposed相关

处理方式,楼主看到大部分多试通过使用 BufferedReader进行读取命令的内容,过滤掉 XposedBridge.jar就好。


[招生]系统0day安全班,企业级设备固件漏洞挖掘,Linux平台漏洞挖掘!

最后于 2020-5-16 09:05 被supperlitt编辑 ,原因: 补充
收藏
免费 8
支持
分享
最新回复 (23)
雪    币: 163
活跃值: (1633)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
2
不错哦
2019-3-5 14:43
0
雪    币: 4687
活跃值: (328)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
mark  检测思路比较多,过检测思路也很多。不错
2019-3-5 17:28
0
雪    币: 1385
活跃值: (5609)
能力值: ( LV3,RANK:25 )
在线值:
发帖
回帖
粉丝
4
学编程 不错哦
谢谢支持,让大佬见笑了
2019-3-6 08:52
0
雪    币: 1385
活跃值: (5609)
能力值: ( LV3,RANK:25 )
在线值:
发帖
回帖
粉丝
5
bjhrwzh mark 检测思路比较多,过检测思路也很多。不错
谢谢支持
2019-3-6 08:52
0
雪    币: 403
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
支持支持
2019-3-6 15:05
0
雪    币: 144
活跃值: (335)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
mark 谢谢
2019-3-6 17:29
0
雪    币: 26
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
8
mark 支持一下,谢谢
2019-3-13 11:41
0
雪    币: 226
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
9
学习学习
2019-3-16 15:10
0
雪    币: 905
活跃值: (1082)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
用xposed过xposed是最骚的
2019-3-20 08:40
0
雪    币: 226
活跃值: (44)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
mark 学习一下
2019-5-18 15:56
0
雪    币: 191
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
12
对于在Native写的so.jar之类的检测 ,如何破
2019-8-14 17:41
0
雪    币: 574
活跃值: (405)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
感谢总结很分享
2019-8-15 14:15
0
雪    币: 25
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
14
大神,有个疑问,第四点native,是否只有XposedHelpers.findAndHookMethod 这种方法需要处理,还是XposedHelpers.callMethod 这些使用的方法,也要进行处理呢?
2019-10-23 20:49
1
雪    币: 4
活跃值: (499)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
这些都是明面的,so里面的检测用xp搞不定
2019-10-24 18:15
1
雪    币: 71
活跃值: (1414)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
好多没讲到
2019-10-26 16:47
0
雪    币: 1237
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
17
大佬,我觉得第四种情况,可以直接简化成,
 if(Arrays.asList(array).contains(method_name))
{
 param.setResult(0);
 }

这样就不用hook isNative方法了。
2020-3-27 14:35
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
18
楼主第一个方法有毒,用了后手机无限重启
2020-5-15 17:12
0
雪    币: 758
活跃值: (78)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
优秀
2020-5-15 17:54
0
雪    币: 4484
活跃值: (3990)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
不错
2020-5-15 20:24
0
雪    币: 20
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
21
有联系方式吗
2020-5-18 09:31
0
雪    币: 69
活跃值: (468)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
虽然感觉这样的方式不一定靠谱,不过我需要积分啊
2020-5-20 16:59
0
雪    币: 200
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
23
请问现在关于exposed反检测 有更加详细的手段?谢谢
2020-7-28 23:59
0
雪    币: 116
活跃值: (1012)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24
膜一下
2020-11-23 19:15
0
游客
登录 | 注册 方可回帖
返回
//