[分享]LSPosed 1.8.4修改版，避免包名检测

2022-9-23 10:21 14832

[分享]LSPosed 1.8.4修改版，避免包名检测

ColoThor

2022-9-23 10:21

14832

背景(可以忽略)：

大概两周之前，i茅台更新了之后，不让预约了，当时手机用的是magisk23+去年版本的lsposed魔改版，怀疑是magisk23被检测了，毕竟magisk hide已经有公开的检测方法。故想着把magisk更新到最新版，而lsposed也要使用zygisk版的了

修改

xposed包名 de.robv.android.xposed 改为 com.debin.android.fun
lsposed包名 org.lsposed 改为 com.posed
lsposed相关日志TAG LSPosed 改为 FunXP
magisk模块信息修改，包括maigsk模块id
日志缓冲区允许关闭，路径在手机设置中的开发者选项-日志记录器缓冲区大小
可以参考GitHub提交记录自行修改

截图

截图1
截图2
截图3

使用

magisk 模块在GitHub下载，riru版本未测试能否工作
如手机已有magisk，先还原magisk，备份然后删除 /data/adb 下所有文件，重启后再添加magisk模块。直接安装魔改的lsposed会卡开机，具体什么原因不清楚
xposed 模块也要重新编译或使用baksmali等工具重打包，xposed相关包名de.robv.android.xposed 改为 com.debin.android.fun, 编译需要的jar依赖包在附件

疑问

原来magisk23+旧lsposed修改版，建行生活能正常hook，现在magisk25+新lsposed修改版，一有模块加载，启动不了，看日志应该是在so里检测到lsposed然后killl了，都是同一版本的建行生活，为什么新版反而被检测到。。本人对 c语言不太了解，更不懂怎么使用ida，难受

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

#HOOK注入 #源码框架 #工具脚本

上传的附件：

magisk_alpha_25203.apk （11.40MB，158次下载）
FunXPBridge.jar （211.68kb，143次下载）

收藏・16

点赞・3

打赏

最新回复 (17)
zhuzhu_biu 雪币： 1778 活跃值： (2165) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 16 粉丝 14 关注私信	zhuzhu_biu 2022-9-23 10:50 2 楼 0 lsp使用的lsplant在native层初始化的时候会hook一些位置如下就是关键位置：我也是前几天大佬告诉我初始化的时候做的hook被检测到了，经过多次测试得知的是这个位置最后于 2022-9-23 10:50 被zhuzhu_biu编辑，原因：
ColoThor 雪币： 7618 活跃值： (1467) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 19 粉丝 5 关注私信	ColoThor 2022-9-23 11:10 3 楼 0 zhuzhu_biu lsp使用的lsplant在native层初始化的时候会hook一些位置如下就是关键位置：我也是前几天大佬告诉我初始化的时候做的hook被检测到了，经过多次测试得知的是这个位置谢谢
hackbs 雪币： 294 活跃值： (987) 能力值： ( LV3，RANK：20 ) 在线值：发帖 39 回帖 225 粉丝 0 关注私信	hackbs 2022-9-23 13:57 4 楼 0 不错的。
huangjw 雪币： 3780 活跃值： (5545) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 154 粉丝 1 关注私信	huangjw 2022-9-23 14:12 5 楼 0 谢谢，拿下了
Ssssone 雪币： 986 活跃值： (6012) 能力值： ( LV7，RANK：115 ) 在线值：发帖 10 回帖 42 粉丝 101 关注私信	Ssssone 2 2022-9-23 14:22 6 楼 0 赞！
koflfy 雪币： 122 活跃值： (1380) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 390 粉丝 2 关注私信	koflfy 1 2022-9-25 13:57 7 楼 0 mark
珍惜Any 雪币： 1929 活跃值： (12830) 能力值： ( LV9，RANK：190 ) 在线值：发帖 29 回帖 332 粉丝 994 关注私信	珍惜Any 2 2022-9-26 12:52 8 楼 0 试试我的hunter哈，xposed模块选择hunter以后还是可以检测到的
ColoThor 雪币： 7618 活跃值： (1467) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 19 粉丝 5 关注私信	ColoThor 2022-9-26 14:15 9 楼 0 珍惜Any 试试我的hunter哈，xposed模块选择hunter以后还是可以检测到的没xposed模块选择，有一个隐藏Api已开启。xposed模块选择，多一个libart.so被修改
珍惜Any 雪币： 1929 活跃值： (12830) 能力值： ( LV9，RANK：190 ) 在线值：发帖 29 回帖 332 粉丝 994 关注私信	珍惜Any 2 2022-9-26 17:44 10 楼 0 ColoThor 没xposed模块选择，有一个隐藏Api已开启。xposed模块选择，多一个libart.so被修改还是检测出出来已经被hook了。改包名没啥用的。本身lsp的包名也是系统的包名shell
ColoThor 雪币： 7618 活跃值： (1467) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 19 粉丝 5 关注私信	ColoThor 2022-9-28 09:56 11 楼 0 珍惜Any 还是检测出出来已经被hook了。改包名没啥用的。本身lsp的包名也是系统的包名shell 我也想改，lsposed直接开放全部隐藏api，具体用了哪些隐藏api不大清楚，libart.so涉及到c语言还有安卓底层了，改不动。。感觉新的LSPlant还不如riru时用的YAHFA
墨儒蛮君雪币： 557 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	墨儒蛮君 2022-10-4 17:36 12 楼 0 感谢分享！
ColoThor 雪币： 7618 活跃值： (1467) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 19 粉丝 5 关注私信	ColoThor 2022-10-9 12:48 13 楼 1 建行生活不hook com.secneo.apkwrapper.AW，以 ActivityThread 作为入口，能正常hook，启动应用
残页雪币： 1709 活跃值： (780) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 16 关注私信	残页 2022-10-10 17:04 14 楼 0 lsposed 只会对模块的 classloader 开放隐藏 api 限制，应用原本的 classloader 不受影响
ColoThor 雪币： 7618 活跃值： (1467) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 19 粉丝 5 关注私信	ColoThor 2022-10-11 09:12 15 楼 0 残页 lsposed 只会对模块的 classloader 开放隐藏 api 限制，应用原本的 classloader 不受影响珍惜大佬的hunter是怎么检测到的
残页雪币： 1709 活跃值： (780) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 16 关注私信	残页 2022-10-12 10:51 16 楼 0 更有可能是你之前用过模拟位置之类的模块，它帮你关掉了试试官方的重置方法 https://developer.android.com/guide/app-compatibility/restrictions-non-sdk-interfaces#how_can_i_enable_access_to_non-sdk_interfaces
ColoThor 雪币： 7618 活跃值： (1467) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 19 粉丝 5 关注私信	ColoThor 2022-10-12 11:48 17 楼 0 残页更有可能是你之前用过模拟位置之类的模块，它帮你关掉了试试官方的重置方法 https://developer.android.com/guide/app-compatibility/restrict ... 谢谢，可以了
D:no 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	D:no 2022-11-21 12:14 18 楼 0 ColoThor 我也想改，lsposed直接开放全部隐藏api，具体用了哪些隐藏api不大清楚，libart.so涉及到c语言还有安卓底层了，改不动。。感觉新的LSPlant还不如riru时用的YAHFA 参照lsplant内的hook函数修改libart呗其实
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

ColoThor

发帖

回帖

RANK

关注

私信

他的文章

[分享]LSPosed 1.8.4修改版，避免包名检测

[求助] 怎么去除 system_process 日志

[原创]Xposed去除微信朋友圈广告

关于我们

联系我们

企业服务

看雪公众号

最新回复 (17)
zhuzhu_biu 雪币： 1778 活跃值： (2165) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 16 粉丝 14 关注私信	zhuzhu_biu 2022-9-23 10:50 2 楼 0 lsp使用的lsplant在native层初始化的时候会hook一些位置如下就是关键位置：我也是前几天大佬告诉我初始化的时候做的hook被检测到了，经过多次测试得知的是这个位置最后于 2022-9-23 10:50 被zhuzhu_biu编辑，原因：
ColoThor 雪币： 7618 活跃值： (1467) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 19 粉丝 5 关注私信	ColoThor 2022-9-23 11:10 3 楼 0 zhuzhu_biu lsp使用的lsplant在native层初始化的时候会hook一些位置如下就是关键位置：我也是前几天大佬告诉我初始化的时候做的hook被检测到了，经过多次测试得知的是这个位置谢谢
hackbs 雪币： 294 活跃值： (987) 能力值： ( LV3，RANK：20 ) 在线值：发帖 39 回帖 225 粉丝 0 关注私信	hackbs 2022-9-23 13:57 4 楼 0 不错的。
huangjw 雪币： 3780 活跃值： (5545) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 154 粉丝 1 关注私信	huangjw 2022-9-23 14:12 5 楼 0 谢谢，拿下了
Ssssone 雪币： 986 活跃值： (6012) 能力值： ( LV7，RANK：115 ) 在线值：发帖 10 回帖 42 粉丝 101 关注私信	Ssssone 2 2022-9-23 14:22 6 楼 0 赞！
koflfy 雪币： 122 活跃值： (1380) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 390 粉丝 2 关注私信	koflfy 1 2022-9-25 13:57 7 楼 0 mark
珍惜Any 雪币： 1929 活跃值： (12830) 能力值： ( LV9，RANK：190 ) 在线值：发帖 29 回帖 332 粉丝 994 关注私信	珍惜Any 2 2022-9-26 12:52 8 楼 0 试试我的hunter哈，xposed模块选择hunter以后还是可以检测到的
ColoThor 雪币： 7618 活跃值： (1467) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 19 粉丝 5 关注私信	ColoThor 2022-9-26 14:15 9 楼 0 珍惜Any 试试我的hunter哈，xposed模块选择hunter以后还是可以检测到的没xposed模块选择，有一个隐藏Api已开启。xposed模块选择，多一个libart.so被修改
珍惜Any 雪币： 1929 活跃值： (12830) 能力值： ( LV9，RANK：190 ) 在线值：发帖 29 回帖 332 粉丝 994 关注私信	珍惜Any 2 2022-9-26 17:44 10 楼 0 ColoThor 没xposed模块选择，有一个隐藏Api已开启。xposed模块选择，多一个libart.so被修改还是检测出出来已经被hook了。改包名没啥用的。本身lsp的包名也是系统的包名shell
ColoThor 雪币： 7618 活跃值： (1467) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 19 粉丝 5 关注私信	ColoThor 2022-9-28 09:56 11 楼 0 珍惜Any 还是检测出出来已经被hook了。改包名没啥用的。本身lsp的包名也是系统的包名shell 我也想改，lsposed直接开放全部隐藏api，具体用了哪些隐藏api不大清楚，libart.so涉及到c语言还有安卓底层了，改不动。。感觉新的LSPlant还不如riru时用的YAHFA
墨儒蛮君雪币： 557 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	墨儒蛮君 2022-10-4 17:36 12 楼 0 感谢分享！
ColoThor 雪币： 7618 活跃值： (1467) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 19 粉丝 5 关注私信	ColoThor 2022-10-9 12:48 13 楼 1 建行生活不hook com.secneo.apkwrapper.AW，以 ActivityThread 作为入口，能正常hook，启动应用
残页雪币： 1709 活跃值： (780) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 16 关注私信	残页 2022-10-10 17:04 14 楼 0 lsposed 只会对模块的 classloader 开放隐藏 api 限制，应用原本的 classloader 不受影响
ColoThor 雪币： 7618 活跃值： (1467) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 19 粉丝 5 关注私信	ColoThor 2022-10-11 09:12 15 楼 0 残页 lsposed 只会对模块的 classloader 开放隐藏 api 限制，应用原本的 classloader 不受影响珍惜大佬的hunter是怎么检测到的
残页雪币： 1709 活跃值： (780) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 16 关注私信	残页 2022-10-12 10:51 16 楼 0 更有可能是你之前用过模拟位置之类的模块，它帮你关掉了试试官方的重置方法 https://developer.android.com/guide/app-compatibility/restrictions-non-sdk-interfaces#how_can_i_enable_access_to_non-sdk_interfaces
ColoThor 雪币： 7618 活跃值： (1467) 能力值： ( LV3，RANK：20 ) 在线值：发帖 3 回帖 19 粉丝 5 关注私信	ColoThor 2022-10-12 11:48 17 楼 0 残页更有可能是你之前用过模拟位置之类的模块，它帮你关掉了试试官方的重置方法 https://developer.android.com/guide/app-compatibility/restrict ... 谢谢，可以了
D:no 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	D:no 2022-11-21 12:14 18 楼 0 ColoThor 我也想改，lsposed直接开放全部隐藏api，具体用了哪些隐藏api不大清楚，libart.so涉及到c语言还有安卓底层了，改不动。。感觉新的LSPlant还不如riru时用的YAHFA 参照lsplant内的hook函数修改libart呗其实
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复