Xposed检测绕过-Android安全-看雪-安全社区|安全招聘|kanxue.com

Xposed检测绕过

发表于: 2022-1-30 12:58 18010

Xposed检测绕过

那年没下雪

2022-1-30 12:58

18010

分享一些Xposed检测绕过的总结，很多加壳软件检测到xposed就会杀死当前软件进程。。。

1.绕过jar Class检测

2.绕过堆栈检测

3.绕过包名检测

4.绕过jar文件检测：

5.绕过maps检测

6.绕过vxp检测

7.绕过SO检测

8.绕过ClassPath检测

9.检测缓存

// 过防止调用loadClass加载 de.robv.android.xposed.

        XposedHelpers.findAndHookMethod(ClassLoader.class, "loadClass", String.class, new XC_MethodHook() {

            @Override

            protected void beforeHookedMethod(MethodHookParam param) throws Throwable {

                if(param.args != null && param.args[0] != null && param.args[0].toString().startsWith("de.robv.android.xposed.")){
 
                    // 改成一个不存在的类

                    param.args[0] = "de.robv.android.xposed.ThTest";

                }
 
                super.beforeHookedMethod(param);

            }

        });

// 过防止调用loadClass加载 de.robv.android.xposed.

XposedHelpers.findAndHookMethod(ClassLoader.class, "loadClass", String.class, new XC_MethodHook() {

@Override

protected void beforeHookedMethod(MethodHookParam param) throws Throwable {

if(param.args != null && param.args[0] != null && param.args[0].toString().startsWith("de.robv.android.xposed.")){

// 改成一个不存在的类

param.args[0] = "de.robv.android.xposed.ThTest";

}

super.beforeHookedMethod(param);

}

});

XposedHelpers.findAndHookMethod(StackTraceElement.class, "getClassName", new XC_MethodHook() {

            @Override

            protected void afterHookedMethod(MethodHookParam param) throws Throwable {

                String result = (String) param.getResult();

                if (result != null){

                    if (result.contains("de.robv.android.xposed.")) {

                        param.setResult("");

                        // Log.i(tag, "替换了，字符串名称 " + result);

                    }else if(result.contains("com.android.internal.os.ZygoteInit")){

                        param.setResult("");

                    }

                }
 
                super.afterHookedMethod(param);

            }

        });

XposedHelpers.findAndHookMethod(StackTraceElement.class, "getClassName", new XC_MethodHook() {

@Override

protected void afterHookedMethod(MethodHookParam param) throws Throwable {

String result = (String) param.getResult();

if (result != null){

if (result.contains("de.robv.android.xposed.")) {

param.setResult("");

// Log.i(tag, "替换了，字符串名称 " + result);

}else if(result.contains("com.android.internal.os.ZygoteInit")){

param.setResult("");

}

super.afterHookedMethod(param);

}

});

findAndHookMethod("android.app.ApplicationPackageManager", lpparam.classLoader, "getInstalledApplications", int.class, new XC_MethodHook() {

            @SuppressWarnings("unchecked")

            @Override

            protected void afterHookedMethod(MethodHookParam param) throws Throwable { // Hook after getIntalledApplications is called

                if (debugPref) {

                    XposedBridge.log("Hooked getInstalledApplications");

                }
 
                List<ApplicationInfo> packages = (List<ApplicationInfo>) param.getResult(); // Get the results from the method call

                Iterator<ApplicationInfo> iter = packages.iterator();

                ApplicationInfo tempAppInfo;

                String tempPackageName;
 
                // Iterate through the list of ApplicationInfo and remove any mentions that match a keyword in the keywordSet

                while (iter.hasNext()) {

                    tempAppInfo = iter.next();

                    tempPackageName = tempAppInfo.packageName;

                    if (tempPackageName != null && tempPackageName.equals("de.robv.android.xposed.installer")) {

                        iter.remove();

                        if (debugPref) {

                            XposedBridge.log("Found and hid package: " + tempPackageName);

                        }

                    }

                }
 
                param.setResult(packages); // Set the return value to the clean list

            }

        });

findAndHookMethod("android.app.ApplicationPackageManager", lpparam.classLoader, "getInstalledApplications", int.class, new XC_MethodHook() {

@SuppressWarnings("unchecked")

@Override

protected void afterHookedMethod(MethodHookParam param) throws Throwable { // Hook after getIntalledApplications is called

if (debugPref) {

XposedBridge.log("Hooked getInstalledApplications");

}

List<ApplicationInfo> packages = (List<ApplicationInfo>) param.getResult(); // Get the results from the method call

Iterator<ApplicationInfo> iter = packages.iterator();

ApplicationInfo tempAppInfo;

String tempPackageName;

// Iterate through the list of ApplicationInfo and remove any mentions that match a keyword in the keywordSet

while (iter.hasNext()) {

tempAppInfo = iter.next();

tempPackageName = tempAppInfo.packageName;

if (tempPackageName != null && tempPackageName.equals("de.robv.android.xposed.installer")) {

iter.remove();

if (debugPref) {

XposedBridge.log("Found and hid package: " + tempPackageName);

}

param.setResult(packages); // Set the return value to the clean list

}

});

Constructor<?> constructLayoutParams = findConstructorExact(java.io.File.class, String.class);

        XposedBridge.hookMethod(constructLayoutParams, new XC_MethodHook(XCallback.PRIORITY_HIGHEST) {

            @Override

            protected void beforeHookedMethod(MethodHookParam param) throws Throwable {

                if (param.args[0] != null) {

                    if (debugPref) {

                        XposedBridge.log("File: Found a File constructor: " + ((String) param.args[0]));

                    }

                }
 
                if (isRootCloakLoadingPref) {

                    // RootCloak is trying to load it's preferences, we shouldn't block this.

                    return;

                }

                if (((String) param.args[0]).contains("XposedBridge")) {

                    if (debugPref) {

                        XposedBridge.log("File: Found a File constructor with word super, noshufou, or chainfire");

                    }

                    param.args[0] = "/system/app/" + FAKE_FILE;

                }

            }

        });

Constructor<?> constructLayoutParams = findConstructorExact(java.io.File.class, String.class);

XposedBridge.hookMethod(constructLayoutParams, new XC_MethodHook(XCallback.PRIORITY_HIGHEST) {

@Override

protected void beforeHookedMethod(MethodHookParam param) throws Throwable {

if (param.args[0] != null) {

if (debugPref) {

XposedBridge.log("File: Found a File constructor: " + ((String) param.args[0]));

}

if (isRootCloakLoadingPref) {

// RootCloak is trying to load it's preferences, we shouldn't block this.

return;

}

if (((String) param.args[0]).contains("XposedBridge")) {

if (debugPref) {

XposedBridge.log("File: Found a File constructor with word super, noshufou, or chainfire");

}

param.args[0] = "/system/app/" + FAKE_FILE;

}

});

XposedHelpers.findAndHookConstructor("java.io.FileReader",lpparam.classLoader ,String.class , new XC_MethodHook() {

          @Override

          protected void beforeHookedMethod(MethodHookParam param) throws Throwable {

              String arg0 = (String) param.args[0];

              if(arg0.toLowerCase().contains("/proc/")){

                  param.setResult(null);

              }

          }

      });

XposedHelpers.findAndHookConstructor("java.io.FileReader",lpparam.classLoader ,String.class , new XC_MethodHook() {

@Override

protected void beforeHookedMethod(MethodHookParam param) throws Throwable {

String arg0 = (String) param.args[0];

if(arg0.toLowerCase().contains("/proc/")){

param.setResult(null);

}

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

#混淆加固

收藏・35

免费・6

支持

最新回复 (10)
乐不思蜀1 雪币： 198 活跃值： (616) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 28 粉丝 2 关注私信	乐不思蜀1 2 楼学习了 2022-1-30 18:55 0
wx_洛玖川雪币： 199 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 1 关注私信	wx_洛玖川 3 楼 666 2022-3-8 14:49 0
不吃早饭雪币： 29 活跃值： (5647) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 183 粉丝 21 关注私信	不吃早饭 4 楼你这绕过简直就在小瞧天下人 2022-3-8 15:33 0
随风而行aa 雪币： 7201 活跃值： (21965) 能力值： ( LV12，RANK：550 ) 在线值：发帖 39 回帖 271 粉丝 1284 关注私信	随风而行aa 10 5 楼支持支持 2022-3-8 15:56 0
无名小姐雪币： 18 活跃值： (87) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	无名小姐 6 楼感谢感谢 2022-4-5 19:38 0
wanderdeng 雪币： 300 活跃值： (219) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 0 关注私信	wanderdeng 7 楼实测无效 2022-4-12 16:25 0
aqingadmin 雪币： 514 能力值： ( LV1，RANK：0 ) 在线值：发帖 4 回帖 22 粉丝 0 关注私信	aqingadmin 8 楼有的app不杀死进程但是hook注入不进去。 2022-7-25 20:02 0
文西哥雪币： 4699 活跃值： (3683) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 54 粉丝 6 关注私信	文西哥 9 楼学习到了 2023-2-22 22:44 0
梦幻雪月雪币： 0 活跃值： (308) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	梦幻雪月 10 楼 .绕过jar文件检测：中的isRootCloakLoadingPref 在哪里获取 FAKE_FILE值是什么！？ 2023-12-14 15:42 0
TrumpWY 雪币： 859 活跃值： (915) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 73 粉丝 2 关注私信	TrumpWY 11 楼 Shamiko 隐藏应用列表这些要是能完全隐藏不就不怕被检测了么 2023-12-18 18:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

那年没下雪

发帖

回帖

110

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (10)
乐不思蜀1 雪币： 198 活跃值： (616) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 28 粉丝 2 关注私信	乐不思蜀1 2 楼学习了 2022-1-30 18:55 0
wx_洛玖川雪币： 199 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 1 关注私信	wx_洛玖川 3 楼 666 2022-3-8 14:49 0
不吃早饭雪币： 29 活跃值： (5647) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 183 粉丝 21 关注私信	不吃早饭 4 楼你这绕过简直就在小瞧天下人 2022-3-8 15:33 0
随风而行aa 雪币： 7201 活跃值： (21965) 能力值： ( LV12，RANK：550 ) 在线值：发帖 39 回帖 271 粉丝 1284 关注私信	随风而行aa 10 5 楼支持支持 2022-3-8 15:56 0
无名小姐雪币： 18 活跃值： (87) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	无名小姐 6 楼感谢感谢 2022-4-5 19:38 0
wanderdeng 雪币： 300 活跃值： (219) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 0 关注私信	wanderdeng 7 楼实测无效 2022-4-12 16:25 0
aqingadmin 雪币： 514 能力值： ( LV1，RANK：0 ) 在线值：发帖 4 回帖 22 粉丝 0 关注私信	aqingadmin 8 楼有的app不杀死进程但是hook注入不进去。 2022-7-25 20:02 0
文西哥雪币： 4699 活跃值： (3683) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 54 粉丝 6 关注私信	文西哥 9 楼学习到了 2023-2-22 22:44 0
梦幻雪月雪币： 0 活跃值： (308) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 9 粉丝 0 关注私信	梦幻雪月 10 楼 .绕过jar文件检测：中的isRootCloakLoadingPref 在哪里获取 FAKE_FILE值是什么！？ 2023-12-14 15:42 0
TrumpWY 雪币： 859 活跃值： (915) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 73 粉丝 2 关注私信	TrumpWY 11 楼 Shamiko 隐藏应用列表这些要是能完全隐藏不就不怕被检测了么 2023-12-18 18:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复