首页
社区
课程
招聘
[分享]LSPosed 1.8.4修改版,避免包名检测
发表于: 2022-9-23 10:21 18376

[分享]LSPosed 1.8.4修改版,避免包名检测

2022-9-23 10:21
18376

背景(可以忽略):

大概两周之前,i茅台更新了之后,不让预约了,当时手机用的是magisk23+去年版本的lsposed魔改版,怀疑是magisk23被检测了,毕竟magisk hide已经有公开的检测方法。故想着把magisk更新到最新版,而lsposed也要使用zygisk版的了

修改

xposed包名 de.robv.android.xposed 改为 com.debin.android.fun
lsposed包名 org.lsposed 改为 com.posed
lsposed相关日志TAG LSPosed 改为 FunXP
magisk模块信息修改,包括maigsk模块id
日志缓冲区允许关闭,路径在手机设置中的开发者选项-日志记录器缓冲区大小
可以参考GitHub提交记录自行修改

截图

截图1
截图2
截图3

使用

  • magisk 模块在GitHub下载,riru版本未测试能否工作
  • 如手机已有magisk,先还原magisk,备份然后删除 /data/adb 下所有文件,重启后再添加magisk模块。直接安装魔改的lsposed会卡开机,具体什么原因不清楚
  • xposed 模块也要重新编译或使用baksmali等工具重打包,xposed相关包名de.robv.android.xposed 改为 com.debin.android.fun, 编译需要的jar依赖包在附件

疑问

原来magisk23+旧lsposed修改版,建行生活能正常hook,现在magisk25+新lsposed修改版,一有模块加载,启动不了,看日志应该是在so里检测到lsposed然后killl了,都是同一版本的建行生活,为什么新版反而被检测到。。本人对 c语言 不太了解,更不懂怎么使用ida,难受


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 3
支持
分享
最新回复 (18)
雪    币: 2329
活跃值: (3095)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
2

lsp使用的lsplant在native层初始化的时候会hook一些位置

如下就是关键位置:


我也是前几天大佬告诉我初始化的时候做的hook被检测到了,经过多次测试得知的是这个位置

最后于 2022-9-23 10:50 被zhuzhu_biu编辑 ,原因:
2022-9-23 10:50
0
雪    币: 7618
活跃值: (1482)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
3
zhuzhu_biu lsp使用的lsplant在native层初始化的时候会hook一些位置如下就是关键位置:我也是前几天大佬告诉我初始化的时候做的hook被检测到了,经过多次测试得知的是这个位置
谢谢
2022-9-23 11:10
0
雪    币: 139
活跃值: (1175)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
4
不错的。
2022-9-23 13:57
0
雪    币: 4583
活跃值: (6836)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
谢谢,拿下了
2022-9-23 14:12
0
雪    币: 986
活跃值: (6167)
能力值: ( LV7,RANK:115 )
在线值:
发帖
回帖
粉丝
6
赞!
2022-9-23 14:22
0
雪    币: 102
活跃值: (2150)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
7
mark
2022-9-25 13:57
0
雪    币: 3443
活跃值: (14163)
能力值: ( LV9,RANK:230 )
在线值:
发帖
回帖
粉丝
8
试试我的hunter哈,xposed模块选择hunter以后还是可以检测到的
2022-9-26 12:52
0
雪    币: 7618
活跃值: (1482)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
9
珍惜Any 试试我的hunter哈,xposed模块选择hunter以后还是可以检测到的
没xposed模块选择,有一个 隐藏Api已开启。xposed模块选择,多一个libart.so被修改
2022-9-26 14:15
0
雪    币: 3443
活跃值: (14163)
能力值: ( LV9,RANK:230 )
在线值:
发帖
回帖
粉丝
10
ColoThor 没xposed模块选择,有一个 隐藏Api已开启。xposed模块选择,多一个libart.so被修改
还是检测出出来已经被hook了。改包名没啥用的。本身lsp的包名也是系统的包名shell 
2022-9-26 17:44
0
雪    币: 7618
活跃值: (1482)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
11
珍惜Any 还是检测出出来已经被hook了。改包名没啥用的。本身lsp的包名也是系统的包名shell
我也想改,lsposed直接开放全部隐藏api,具体用了哪些隐藏api不大清楚,libart.so涉及到c语言还有安卓底层了,改不动。。感觉新的LSPlant还不如riru时用的YAHFA
2022-9-28 09:56
0
雪    币: 363
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
12
感谢分享!
2022-10-4 17:36
0
雪    币: 7618
活跃值: (1482)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
13
建行生活不hook com.secneo.apkwrapper.AW,以 ActivityThread 作为 入口,能正常hook,启动应用
2022-10-9 12:48
1
雪    币: 1709
活跃值: (850)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
lsposed 只会对模块的 classloader 开放隐藏 api 限制,应用原本的 classloader 不受影响
2022-10-10 17:04
0
雪    币: 7618
活跃值: (1482)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
15
残页 lsposed 只会对模块的 classloader 开放隐藏 api 限制,应用原本的 classloader 不受影响
珍惜大佬的hunter是怎么检测到的
2022-10-11 09:12
0
雪    币: 1709
活跃值: (850)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
更有可能是你之前用过模拟位置之类的模块,它帮你关掉了
试试官方的重置方法 https://developer.android.com/guide/app-compatibility/restrictions-non-sdk-interfaces#how_can_i_enable_access_to_non-sdk_interfaces
2022-10-12 10:51
0
雪    币: 7618
活跃值: (1482)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
17
残页 更有可能是你之前用过模拟位置之类的模块,它帮你关掉了 试试官方的重置方法 https://developer.android.com/guide/app-compatibility/restrict ...
谢谢,可以了
2022-10-12 11:48
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
18
ColoThor 我也想改,lsposed直接开放全部隐藏api,具体用了哪些隐藏api不大清楚,libart.so涉及到c语言还有安卓底层了,改不动。。感觉新的LSPlant还不如riru时用的YAHFA
参照lsplant内的hook函数修改libart呗其实
2022-11-21 12:14
0
雪    币: 16
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
19
FunXPBridge.jar  这个是怎么编译出来?
2024-10-18 14:51
0
游客
登录 | 注册 方可回帖
返回
//