主要检测hook框架，模拟点击工具，magisk，supersu等root工具

主要检测hook框架的安卓框架层包

一般通过是否存在bin、sbin目录里的su文件，kingroot权限管理apk

default.prop文件的ro.secure=1、ro.debuggable=1状态，/proc/self/status文件的TracerPid值

一般通过android.os.Build的各类参数值来判断，如Build.fingerprint

一般批量操作或者抹机操作的时候这些值更改难度和成本比较大，所以这些指标能伪造会大大降低被风控

开发时有Log.i Log.e等运行日志，大部分APP用这个来调试或者检测APP的运行情况，并且release版本一般有个boolean值来开关，如果能hook掉这个开关就容易检测APP。

大部分APP的日志会搜集Exception，如果栈里有hook框架的包路径就会把自己给杀死，让hook难以长久执行，怕APP变成一个微型服务器抓包工具。

一般阿里系的会用umeng来做统计工具，一般这些sdk都有自己的唯一编号，有些app引用这个编号来做一个指标去判断app的安装唯一性，有的会通过统计数据来判断批量作弊行为，因为这些sdk会搜集一些设备指纹并且技术和破解还原难度比较大的。

异常上报sdk一般记录运行时所有的异常情况，并且会记录设备指纹，通过这些也能检测到作弊的一些设备。

如数美易盾或者一些大的app都会内嵌搜集设备指纹的模块，通过设备指纹来确定设备的唯一性，如imei、android_id、mac、其他设备信息结合起来就能变成一个唯一的标志。

大量的搜集后跟其他搜集的信息结合并且不断地完善代理ip和黑ip、mac库，就能不断地能识别作弊源头。

地理位置和ip是否对应、基站信息是否对应、或者设备型号跟下载渠道对应、一般小米手机的软件大部分应该小米商城下载的，比如微信授权登录，QQ授权登录等、如果模拟授权登录需要破解其他给权的APP的一些协议。

一般APP会把get或者post的参数通过某种算法去签名，并且这个签名难还原。比如抖音的x-gorgon，有的把post或者get参数直接加密，一般通过aes、rsa、des等

目前比较流行protobuf协议替代json，还有一些私有TCP/Socket协议，这些协议不可直接读，需要一个解析工具或者分析还原。私有网络证书需要证书密钥配合代理抓包工具才能抓包分析，这种其实难度在于找到证书密钥和判断是否用了私有证书，一般聊天APP的IM协议常用。还有反代理抓包，比如集成OkHttp框架等的时候用Proxy.NO_Proxy来防止抓包。

其实dex代码混淆还原或者分析难度比较容易，并且各种反编译软件来分析难度不是那么大，主要难度在于rxjava等异步框架，接口实现类查找上。native层的话主要难度是还原基于ollvm的各种混淆的代码，其他还原或者理解难度其实并不大，并且大部分APP把一些加解密和签名等算法用native方式实现并用ollvm混淆，其他的native层的都是一些媒体或者网络等库。webview一般用在验证码上，并且用js的java层接口一起使用，把滑动或者图片顺序识别之类的路径日志通过贾母方式网络提交的，javascript代码一般混淆的比较厉害，不过AST反混淆等方法或者下载后nginx本地搭建并chrome自行调试归纳后通过脚本也能还原，如极验、易盾等验证码插件。

加壳其实纸老虎，安卓里dex文件总能运行内存中dump出来的，除非操作系统从底层设计上更改了，所有hook或者fart等修改的ROM都能搞定。360，腾讯，棒棒等等好多。安全sdk也可以纸老虎这么说，不过安全sdk一般跟机器学习，大数据匹配等相关，越来越有难度去应付，不过一般在社交电商类的反虚拟登录时用，这些SDK搜集指纹设备，并保存到自己的服务器，会识别代理IP，打码平台的卡号，风险设备，不过把加解密算法还原后可以伪造设备和其他数据，能绕过。还有一些大APP有自己开发的安全相关的模块，这些其实跟安全sdk类似，主要还是设备信息伪造和加解密算法破解后都能绕过。数美、易盾等。

总结的一些经验，有些没写，有些漏了，后期一个个细说。

• java：dex2jar,jadx,jeb,android-killer等等很多
• so文件：IDA,jeb,Gidra
• js：其实nodejs加谷歌或者火狐就能搞定
• 其他：unicorn,unidibug等基于qemu虚拟机的工具

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课