[原创]hook框架检测-Android安全-看雪安全社区｜专业技术交流与安全研究论坛

[原创]hook框架检测

发表于: 2022-6-10 06:36 14525

[原创]hook框架检测

wx_白熊

2022-6-10 06:36

14525

安卓实现内存漫游

例如对 findAndHookMethod 方法跟踪时，两种重载均会在findMethodExact方法内将方法信息存储在methodCache内，findAndHookConstructor也是同理。

所以，只需要遍历内存中的全部DexClassLoader，尝试loadClass方法，获取到类后即可依靠反射获取字段内容，打印攻击者hook的参数并上报给服务器进行记录。

同时对hookAllMethods进行跟踪，最后会在hookMethod内将方法内容put进sHookedMethodCallbacks，用frida进行打印，代码如下。

在获取到Xp的类加载器后，就可以通过反射干扰攻击者的判断，例如引入蜜罐、通过disableHooks使hook失效等。除此之外xp的特征较多，单从检测来看方法很多，但是通过对xp魔改或使用sandhook即可绕过常规检测。

frida从hook原理来讲是通过inlinehook完成，所以开一条线程对关键函数头进行轮询检测很有必要，其余常规检测可以参考 antifridaAndroid

emanriquez / antifridaAndroid

在主动调用的对抗来讲，它是基于Hook实现的，所以检测了hook自然也就能顺带pass掉，单独特征来讲常用的角度是从堆栈出发，主动调用如下图，没有一条完整的调用链，无论从堆栈的深度还是名称，都能进行判断。

public void getXpMethods() throws throws Exception {
      //遍历获取全部DexClassLoader
      ArrayList<Object> choose = choose(DexClassLoader.class);
      DexClassLoader loader = null;
      Class<?> XposedHelpers = null;
      //不为空尝试加载关键类
      if (choose!=null){
          for (Object obj:choose){
              loader = (DexClassLoader) obj;
              try {
                  XposedHelpers =  loader.loadClass("de.robv.android.xposed.XposedHelpers");
              } catch (ClassNotFoundException e) {
                  e.printStackTrace();
              }
          }
      }
      Field field = XposedHelpers.getDeclaredField("methodCache");
      field.setAccessible(true);
      HashMap<String,Object> MethodList = (HashMap<String, Object>) field.get(null);
      Log.i("MethodList ", MethodList.keySet().toString());
 
      }

public void getXpMethods() throws throws Exception {

//遍历获取全部DexClassLoader

ArrayList<Object> choose = choose(DexClassLoader.class);

DexClassLoader loader = null;

Class<?> XposedHelpers = null;

//不为空尝试加载关键类

if (choose!=null){

for (Object obj:choose){

loader = (DexClassLoader) obj;

try {

XposedHelpers = loader.loadClass("de.robv.android.xposed.XposedHelpers");

} catch (ClassNotFoundException e) {

e.printStackTrace();

}

Field field = XposedHelpers.getDeclaredField("methodCache");

field.setAccessible(true);

HashMap<String,Object> MethodList = (HashMap<String, Object>) field.get(null);

Log.i("MethodList ", MethodList.keySet().toString());

}

function antiList(){
   Java.perform(function(){
    var XposedBridge;
    Java.enumerateClassLoaders({
        "onMatch": function(loader) {  
            try {
 
                XposedBridge =   loader.loadClass("de.robv.android.xposed.XposedBridge");  
            }
            catch(err) {
 
            }
 
        },
        "onComplete": function() {
 
        }
    });
 
    if(XposedBridge!=null){
        var file = XposedBridge.getDeclaredField("sHookedMethodCallbacks");
        file.setAccessible(true);
        console.log(file.get(null));
    }
 
});
 
    }

登录后可查看完整内容

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！

最后于 2022-10-24 10:29 被wx_白熊编辑，原因：格式

#逆向分析 #HOOK注入

上传的附件：

app-release.zip （2.28MB，70次下载）

收藏・22

免费・10

支持

最新回复 (8)
不吃早饭雪币： 25 活跃值： (7658) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 189 粉丝 24 关注私信	不吃早饭 2 楼关于内存漫游，其实VMDebug的那个method首先只在部分9.0设备可用，另外aosp里已经删除了该方法的实现，机型覆盖十分有限 2022-6-10 10:39 0
奔跑的阿狸雪币： 5932 活跃值： (7024) 能力值： ( LV13，RANK：442 ) 在线值：发帖 29 回帖 142 粉丝 27 关注私信	奔跑的阿狸 1 3 楼最好能上传一个检测hook样本呀 2022-6-10 11:29 0
阿碧雪币： 504 活跃值： (2131) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 8 粉丝 96 关注私信	阿碧 4 楼太强啦 2022-6-10 13:40 1
wx_白熊雪币： 50 活跃值： (527) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 20 粉丝 37 关注私信	wx_白熊 5 楼不吃早饭关于内存漫游，其实VMDebug的那个method首先只在部分9.0设备可用，另外aosp里已经删除了该方法的实现，机型覆盖十分有限 9.0以上应该都可以，安卓11测试没问题，风控手段是综合评估，还是有那么一点作用 2022-6-10 14:09 0
不吃早饭雪币： 25 活跃值： (7658) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 189 粉丝 24 关注私信	不吃早饭 6 楼 wx_白熊 9.0以上应该都可以，安卓11测试没问题，风控手段是综合评估，还是有那么一点作用并非都可以，一部分9.0确实没有对应实现，可以去aosp里看一下，对应的native实现已经移除 2022-6-10 19:03 0
lhxdiao 雪币： 2154 活跃值： (4033) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 184 粉丝 123 关注私信	lhxdiao 7 楼云端完成计算过程，本地只显示UI，客户端发送的所有数据都是不可信的，只要做好自身的云端逻辑就行。 2022-6-11 16:55 1
codeoooo 雪币： 694 活跃值： (4112) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 112 粉丝 6 关注私信	codeoooo 8 楼 tql 2023-7-6 20:03 0
mb_sgrrhluj 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 13 粉丝 4 关注私信	mb_sgrrhluj 9 楼 wx_白熊 9.0以上应该都可以，安卓11测试没问题，风控手段是综合评估，还是有那么一点作用你好，x-mini-mua能交流下吗有偿 2025-6-5 15:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

wx_白熊

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (8)
不吃早饭雪币： 25 活跃值： (7658) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 189 粉丝 24 关注私信	不吃早饭 2 楼关于内存漫游，其实VMDebug的那个method首先只在部分9.0设备可用，另外aosp里已经删除了该方法的实现，机型覆盖十分有限 2022-6-10 10:39 0
奔跑的阿狸雪币： 5932 活跃值： (7024) 能力值： ( LV13，RANK：442 ) 在线值：发帖 29 回帖 142 粉丝 27 关注私信	奔跑的阿狸 1 3 楼最好能上传一个检测hook样本呀 2022-6-10 11:29 0
阿碧雪币： 504 活跃值： (2131) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 8 粉丝 96 关注私信	阿碧 4 楼太强啦 2022-6-10 13:40 1
wx_白熊雪币： 50 活跃值： (527) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 20 粉丝 37 关注私信	wx_白熊 5 楼不吃早饭关于内存漫游，其实VMDebug的那个method首先只在部分9.0设备可用，另外aosp里已经删除了该方法的实现，机型覆盖十分有限 9.0以上应该都可以，安卓11测试没问题，风控手段是综合评估，还是有那么一点作用 2022-6-10 14:09 0
不吃早饭雪币： 25 活跃值： (7658) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 189 粉丝 24 关注私信	不吃早饭 6 楼 wx_白熊 9.0以上应该都可以，安卓11测试没问题，风控手段是综合评估，还是有那么一点作用并非都可以，一部分9.0确实没有对应实现，可以去aosp里看一下，对应的native实现已经移除 2022-6-10 19:03 0
lhxdiao 雪币： 2154 活跃值： (4033) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 184 粉丝 123 关注私信	lhxdiao 7 楼云端完成计算过程，本地只显示UI，客户端发送的所有数据都是不可信的，只要做好自身的云端逻辑就行。 2022-6-11 16:55 1
codeoooo 雪币： 694 活跃值： (4112) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 112 粉丝 6 关注私信	codeoooo 8 楼 tql 2023-7-6 20:03 0
mb_sgrrhluj 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 13 粉丝 4 关注私信	mb_sgrrhluj 9 楼 wx_白熊 9.0以上应该都可以，安卓11测试没问题，风控手段是综合评估，还是有那么一点作用你好，x-mini-mua能交流下吗有偿 2025-6-5 15:05 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复