删帖-Android安全-看雪-安全社区|安全招聘|kanxue.com

最新回复 (17)
猫盾科技雪币： 593 活跃值： (4562) 能力值： ( LV3，RANK：20 ) 在线值：发帖 16 回帖 99 粉丝 218 关注私信	猫盾科技 2 楼我特么直接内核级 2021-4-5 21:26 0
virjar 雪币： 1867 活跃值： (3958) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 242 粉丝 151 关注私信	virjar 1 3 楼 3不太理解 2021-4-6 09:22 0
fjqisba 雪币： 2253 活跃值： (6628) 能力值： ( LV7，RANK：102 ) 在线值：发帖 17 回帖 260 粉丝 58 关注私信	fjqisba 4 楼顶个啊 2021-4-6 09:35 0
TUGOhost 雪币： 154 活跃值： (3786) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 148 粉丝 14 关注私信	TUGOhost 5 楼果然是会检测文件创建的 2021-4-6 10:53 0
莫灰灰雪币： 2291 活跃值： (2185) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 6 楼 chroot的话，很多手机版虚拟机用的类似的技术实现的。 2021-4-6 11:26 0
StriveMario 雪币： 4046 活跃值： (3432) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 109 粉丝 59 关注私信	StriveMario 7 楼第三种我刚试了下很旧版本的virtualxposed, 路径指向就是app_process 2021-4-6 11:52 0
不吃早饭雪币： 29 活跃值： (5647) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 183 粉丝 21 关注私信	不吃早饭 8 楼你这检测手段也太简陋了 2021-4-6 17:36 0
virjar 雪币： 1867 活跃值： (3958) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 242 粉丝 151 关注私信	virjar 1 9 楼 StriveMario 第三种我刚试了下很旧版本的virtualxposed, 路径指向就是app_process[em_40] 所以解释下，3到底啥意思呢 2021-4-6 23:37 0
不吃早饭雪币： 29 活跃值： (5647) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 183 粉丝 21 关注私信	不吃早饭 10 楼所有的android非native进程都是由zygote fork出来的，不管是不是va拉起来的。va本质上只是用了一招欺上瞒下，实际启动的还是普通的android进程，因此同样是zygote fork出来的，所以方法三是没用的，什么都检测不出来。实际上检测va的手段由很多，例如利用va在io重定向方面的遗漏，通过应该处理（但未处理）的io类syscall来进行检测；扫描VMHook时替换的jni指针；扫描libc或linker等opcode，看一下是否被inline hook了等，随便想想都能想到六七种。最后于 2021-4-7 01:49 被不吃早饭编辑，原因： 2021-4-7 01:47 0
不吃早饭雪币： 29 活跃值： (5647) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 183 粉丝 21 关注私信	不吃早饭 11 楼除了native层的检测手段外，还有很多java层的检测手段，例如看一下ClassLoader加载了的Class的类名，看看是否包含“lody”之类的特征字段；看一下ServiceManager的cache是否被进行了非法替换；看一下函数的调用堆栈等 2021-4-7 01:53 0
不吃早饭雪币： 29 活跃值： (5647) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 183 粉丝 21 关注私信	不吃早饭 12 楼更高级一些的手段，可以手动解析一下linker内的SoInfo Map，遍历一下加载了的模块等最后于 2021-4-7 01:55 被不吃早饭编辑，原因： 2021-4-7 01:54 0
mb_evaqjarh 雪币： 2991 活跃值： (237) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	mb_evaqjarh 13 楼而普通用户根本不会有多开的需求的App 2021-4-7 09:02 0
珍惜Any 雪币： 3354 活跃值： (14003) 能力值： ( LV9，RANK：230 ) 在线值：发帖 30 回帖 391 粉丝 1236 关注私信	珍惜Any 3 14 楼 svc去读文件目录就行了 2021-4-7 14:40 0
恋空雪币： 450 活跃值： (3210) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 78 粉丝 157 关注私信	恋空 15 楼不吃早饭所有的android非native进程都是由zygote fork出来的，不管是不是va拉起来的。va本质上只是用了一招欺上瞒下，实际启动的还是普通的android进程，因此同样是z ... va我没试过这个方法，我写这个的时候是因为第一第二个方法在国内某多开里检测不了，所以写了这个 2021-4-8 08:43 0
Amun 雪币： 1110 活跃值： (3244) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 92 粉丝 43 关注私信	Amun 16 楼 https://bbs.pediy.com/thread-255212.htm `从网上抄的` 没毛病。 2021-4-8 10:34 0
梨树生果雪币： 3581 活跃值： (719) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 53 粉丝 1 关注私信	梨树生果 17 楼 Amun https://bbs.pediy.com/thread-255212.htm `从网上抄的` 没毛病。[em_1] 我看着也眼熟 2021-4-8 18:43 0
GitRoy 雪币： 5330 活跃值： (5464) 能力值： ( LV9，RANK：170 ) 在线值：发帖 23 回帖 145 粉丝 170 关注私信	GitRoy 3 18 楼哥，能不能多来点黑灰产对抗相关的东西 2021-4-8 21:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (17)
猫盾科技雪币： 593 活跃值： (4562) 能力值： ( LV3，RANK：20 ) 在线值：发帖 16 回帖 99 粉丝 218 关注私信	猫盾科技 2 楼我特么直接内核级 2021-4-5 21:26 0
virjar 雪币： 1867 活跃值： (3958) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 242 粉丝 151 关注私信	virjar 1 3 楼 3不太理解 2021-4-6 09:22 0
fjqisba 雪币： 2253 活跃值： (6628) 能力值： ( LV7，RANK：102 ) 在线值：发帖 17 回帖 260 粉丝 58 关注私信	fjqisba 4 楼顶个啊 2021-4-6 09:35 0
TUGOhost 雪币： 154 活跃值： (3786) 能力值： ( LV3，RANK：30 ) 在线值：发帖 9 回帖 148 粉丝 14 关注私信	TUGOhost 5 楼果然是会检测文件创建的 2021-4-6 10:53 0
莫灰灰雪币： 2291 活跃值： (2185) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 6 楼 chroot的话，很多手机版虚拟机用的类似的技术实现的。 2021-4-6 11:26 0
StriveMario 雪币： 4046 活跃值： (3432) 能力值： ( LV3，RANK：30 ) 在线值：发帖 3 回帖 109 粉丝 59 关注私信	StriveMario 7 楼第三种我刚试了下很旧版本的virtualxposed, 路径指向就是app_process 2021-4-6 11:52 0
不吃早饭雪币： 29 活跃值： (5647) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 183 粉丝 21 关注私信	不吃早饭 8 楼你这检测手段也太简陋了 2021-4-6 17:36 0
virjar 雪币： 1867 活跃值： (3958) 能力值： ( LV6，RANK：90 ) 在线值：发帖 17 回帖 242 粉丝 151 关注私信	virjar 1 9 楼 StriveMario 第三种我刚试了下很旧版本的virtualxposed, 路径指向就是app_process[em_40] 所以解释下，3到底啥意思呢 2021-4-6 23:37 0
不吃早饭雪币： 29 活跃值： (5647) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 183 粉丝 21 关注私信	不吃早饭 10 楼所有的android非native进程都是由zygote fork出来的，不管是不是va拉起来的。va本质上只是用了一招欺上瞒下，实际启动的还是普通的android进程，因此同样是zygote fork出来的，所以方法三是没用的，什么都检测不出来。实际上检测va的手段由很多，例如利用va在io重定向方面的遗漏，通过应该处理（但未处理）的io类syscall来进行检测；扫描VMHook时替换的jni指针；扫描libc或linker等opcode，看一下是否被inline hook了等，随便想想都能想到六七种。最后于 2021-4-7 01:49 被不吃早饭编辑，原因： 2021-4-7 01:47 0
不吃早饭雪币： 29 活跃值： (5647) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 183 粉丝 21 关注私信	不吃早饭 11 楼除了native层的检测手段外，还有很多java层的检测手段，例如看一下ClassLoader加载了的Class的类名，看看是否包含“lody”之类的特征字段；看一下ServiceManager的cache是否被进行了非法替换；看一下函数的调用堆栈等 2021-4-7 01:53 0
不吃早饭雪币： 29 活跃值： (5647) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 183 粉丝 21 关注私信	不吃早饭 12 楼更高级一些的手段，可以手动解析一下linker内的SoInfo Map，遍历一下加载了的模块等最后于 2021-4-7 01:55 被不吃早饭编辑，原因： 2021-4-7 01:54 0
mb_evaqjarh 雪币： 2991 活跃值： (237) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	mb_evaqjarh 13 楼而普通用户根本不会有多开的需求的App 2021-4-7 09:02 0
珍惜Any 雪币： 3354 活跃值： (14003) 能力值： ( LV9，RANK：230 ) 在线值：发帖 30 回帖 391 粉丝 1236 关注私信	珍惜Any 3 14 楼 svc去读文件目录就行了 2021-4-7 14:40 0
恋空雪币： 450 活跃值： (3210) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 78 粉丝 157 关注私信	恋空 15 楼不吃早饭所有的android非native进程都是由zygote fork出来的，不管是不是va拉起来的。va本质上只是用了一招欺上瞒下，实际启动的还是普通的android进程，因此同样是z ... va我没试过这个方法，我写这个的时候是因为第一第二个方法在国内某多开里检测不了，所以写了这个 2021-4-8 08:43 0
Amun 雪币： 1110 活跃值： (3244) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 92 粉丝 43 关注私信	Amun 16 楼 https://bbs.pediy.com/thread-255212.htm `从网上抄的` 没毛病。 2021-4-8 10:34 0
梨树生果雪币： 3581 活跃值： (719) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 53 粉丝 1 关注私信	梨树生果 17 楼 Amun https://bbs.pediy.com/thread-255212.htm `从网上抄的` 没毛病。[em_1] 我看着也眼熟 2021-4-8 18:43 0
GitRoy 雪币： 5330 活跃值： (5464) 能力值： ( LV9，RANK：170 ) 在线值：发帖 23 回帖 145 粉丝 170 关注私信	GitRoy 3 18 楼哥，能不能多来点黑灰产对抗相关的东西 2021-4-8 21:08 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

​删帖

删帖