样本libbaiduprotect.so

解密操作在initarray的前2个函数,第二个函数存在一些反调试且被混淆了,但是简单动调就能明白只是做了一些解密操作

选择合适时机 直接内存dump出data段和text段的解密数据然后写入原来的so即可简单脱壳

‍

存在很多不同的字符串解密函数,hook几个看了看,要写一个IDA脚本批量解密方便静态分析

​初始化 inotify 监控（自身进程） ：

inotify 事件的处理逻辑（ TF_EmptyMemory_4F168 线程的核心处理函数），主要逻辑如下：

​循环读取事件​：通过 read(*a1, s, 0xAA0uLL)​ 从 inotify 文件描述符（*a1​）循环读取事件（a1 为监控相关数据，包含 inotify 实例的文件描述符）。

​事件解析与处理：

对读取到的事件数据（存储在 s 中）进行循环解析，每次处理一个事件结构。

检查事件类型（v4 = *((_DWORD *)s_1 + 1)），若为 32、2、1 中的任意一种（对应 inotify 特定事件，如访问、修改、删除等），则：

但似乎我进行内存dump的时候并没有闪退?

核心功能: 监控进程内存相关文件的访问 / 修改行为（可能是调试器或恶意程序的操作），一旦检测到则主动退出以防止被分析或篡改

DoLibcProtection_166D8

调用dlsym拿libc常用函数的地址 存到全局变量中进行调用

sub_350EC

检测脱壳工具核心类

检测脱壳工具相关文件

检测风险方法注册

二、当 n2 == 2 时：注册原生方法并校验环境

sub_2E2E0

检测 Frida 相关线程与内存特征

检测 linjector 注入工具遍历/proc/self/fd​目录，分析文件描述符的链接信息，检查是否包含linjector（动态注入工具的特征）。

结果处理

sub_2E8DC

初始化与前置检查

定位关键方法与内存保护调整

关键方法完整性校验

再次获取_ZN3art9ArtMethod12PrettyMethodEb​方法的内存地址，记录其原始内存数据（qword_E23B8​）和方法地址（qword_E23C8​），并标记初始化完成（byte_E23C0[0] = 1）。

后续调用时，校验当前_ZN3art9ArtMethod12PrettyMethodEb方法的内存数据与原始记录是否一致：

sub_34F88

执行 Hook 操作

结果返回

‍

核心函数 sub_4D3D0 的作用：

准备模拟器特征字符串列表：通过一系列解密函数（sub_20BDC​ 等）生成一组字符串，这些字符串是常见的模拟器标识，包括：sdk​、google_sdk​、Andy​、ttVM_Hdragon​（天天龙模拟器）、Droid4X​（海马玩模拟器）、nox​（夜神模拟器）、sdk_x86​、sdk_google​、vbox86p​（VirtualBox 模拟器）、emu64x（64 位模拟器）。

获取系统 ​​PRODUCT​​ 属性值：调用 sub_1F1D0​ 函数，获取 Android 系统中 android.os.Build.PRODUCT 属性的字符串值（该属性通常标识设备的产品名称，模拟器会有特定值）。

匹配模拟器特征：检查获取到的 PRODUCT 属性值中是否包含上述列表中的任何一个模拟器标识。

sub_4D550

准备模拟器制造商特征列表通过一系列解密函数（sub_2165C​等）生成一组字符串，这些字符串是常见模拟器的制造商标识，包括：unknown​、Genymotion​（知名模拟器）、Andy​（安迪模拟器）、MIT​（可能关联特定模拟器）、nox​（夜神模拟器）、TiantianVM​（天天模拟器）、iToolsAVM​（iTools 模拟器）、Netease（网易模拟器）。

获取系统​​MANUFACTURER​​属性值调用辅助函数sub_1F1D0​（之前分析过的 JNI 工具函数），获取 Android 系统中android.os.Build.MANUFACTURER属性的字符串值（该属性通常标识设备的制造商名称，模拟器会有特定的制造商标识）。

匹配模拟器特征检查获取到的MANUFACTURER属性值中是否包含上述列表中的任何一个模拟器制造商标识：

sub_4D6B0

准备模拟器特征标识列表通过解密函数（sub_21F1C​等）生成一组模拟器相关特征字符串，包括：generic​、generic_x86​（通用 x86 架构标识，常见于模拟器）、Andy​（安迪模拟器）、TTVM（天天模拟器相关）。

获取系统​​BRAND​​属性值调用辅助函数sub_1F1D0​（JNI 工具函数），获取 Android 系统android.os.Build.BRAND属性的字符串值。该属性标识设备品牌，模拟器通常会使用通用品牌名或专属品牌标识。

特征匹配判断检查获取到的BRAND属性值是否包含上述特征列表中的任意一个标识：

sub_4D7D0

生成模拟器特征标识列表通过一系列解密函数（sub_2245C​等）生成 11 个模拟器相关特征字符串，包括：generic​、generic_x86​、generic_x86_64​（通用架构标识，模拟器常用）、Andy​（安迪模拟器）、ttVM_Hdragon​（天天模拟器）、Droid4X​（海马玩模拟器）、nox​（夜神模拟器）、vbox86p​（VirtualBox 模拟器）、iToolsAVM​（iTools 模拟器）、emu64x​（64 位模拟器）、emulator（直接模拟器标识）。

获取系统​​DEVICE​​属性值调用辅助函数sub_1F1D0​（JNI 工具函数），获取 Android 系统android.os.Build.DEVICE属性的字符串值。该属性标识设备的具体型号或设备代号，模拟器会带有专属标识。

特征匹配与结果返回检查获取到的DEVICE属性值是否包含上述特征列表中的任意一个标识：

sub_4D960

生成模拟器特征标识列表通过解密函数（sub_22FBC​等）生成 10 个模拟器相关特征字符串，覆盖主流模拟器及 SDK 测试设备标识：sdk​、google_sdk​、Droid4X​（海马玩模拟器）、TiantianVM​（天天模拟器）、Andy​（安迪模拟器）、Android SDK built for x86_64​（x86_64 架构 SDK 模拟器）、Android SDK built for x86​（x86 架构 SDK 模拟器）、iToolsAVM​（iTools 模拟器）、MuMu​（沐沐模拟器）、sdk_gphone64（64 位 SDK 测试设备，常见于模拟器）。

获取系统​​MODEL​​属性值调用辅助函数sub_1F1D0​（JNI 工具函数），获取 Android 系统android.os.Build.MODEL属性的字符串值。该属性标识设备的型号名称，模拟器通常会显示 SDK 相关名称或专属型号标识。

特征匹配与结果返回检查获取到的MODEL属性值是否包含上述特征列表中的任意一个标识：

sub_4DAE0

生成模拟器硬件特征列表通过解密函数（sub_23A3C​等）生成 4 个模拟器专属的硬件特征字符串：goldfish​（Android 官方模拟器的硬件标识）、vbox86​（VirtualBox 模拟器相关硬件标识）、nox​（夜神模拟器）、ttVM_x86（天天模拟器 x86 架构版本）。

获取系统​​HARDWARE​​属性值调用辅助函数sub_1F1D0​（JNI 工具函数），获取 Android 系统android.os.Build.HARDWARE属性的字符串值。该属性标识设备的硬件型号，模拟器的硬件标识通常是固定的专属名称，与真实设备差异明显。

特征匹配与结果返回检查获取到的HARDWARE属性值是否包含上述特征列表中的任意一个标识：

sub_4DC00

生成模拟器指纹特征列表通过解密函数（sub_23F7C​等）生成 10 个模拟器相关的FINGERPRINT特征字符串，涵盖通用模拟器、架构专属模拟器及知名第三方模拟器标识：

获取系统​​FINGERPRINT​​属性值调用辅助函数sub_1F1D0​（JNI 工具函数），获取 Android 系统android.os.Build.FINGERPRINT属性的字符串值。该属性是设备的唯一指纹标识，由厂商、设备型号、系统版本等信息组合而成，模拟器的指纹标识具有明显的专属特征，且不易篡改。

特征匹配与结果返回检查获取到的FINGERPRINT属性值是否包含上述特征列表中的任意一个标识：

sub_4DD80

准备 MuMu 模拟器专属文件列表函数中涉及的文件包括：

文件存在性检查函数首先尝试访问 /etc/mumu-configs/device-prop-configs/mumu.config​ 文件，若该文件存在，则直接返回 1​（判定为 MuMu 模拟器）。若该文件不存在，会依次检查上述 /data/local/cfg-*​ 系列文件和共享文件夹路径，只要其中任意一个文件 / 路径存在，就返回 1​；若所有文件 / 路径都不存在，则返回 0。

sub_4DE00

准备模拟器专属系统属性列表函数中涉及的系统属性包括：

系统属性存在性检查函数通过_system_property_get_E1DC0​函数依次检查上述系统属性是否存在。只要其中任意一个系统属性能被成功获取（返回值大于等于 1），则返回1​（判定为目标模拟器）；若所有属性都不存在，则返回0。

一、Magisk 相关核心文件

二、通用 Root 工具文件

三、挂载与系统配置文件

sub_487F4

其核心目的是通过检查进程属性历史，判断当前进程是否与 zygote 进程存在关联。

sub_48674

第一步：检查进程与 zygote 的关联调用chckRoot1_487F4()​函数，若返回 1（即进程属性历史中存在:zygote:），则直接返回 1（判定为 Root 相关状态）。

第二步：检查 Magisk 工具文件是否存在

第三步：检查挂载信息中的 Magisk 痕迹若前两步未检测到痕迹，则读取/proc/self/mounts​（进程挂载信息文件），并在内容中搜索一组与 Magisk 相关的路径字符串（如/sbin/.magisk/​、/sbin/.core/mirror等，由初始化函数定义）。

sub_48908

JNI检测是否存在特定类 android/bde/BdeEngineManager

sub_48230

popen(which,su) 检测返回结果

sub_483DC

检测su 文件

access遍历 可能的su文件

sub_47AC4

一、核心检测的系统属性与目标值

二、分版本检测逻辑（以 Android SDK 34 为分界）

SDK 版本 < 34（低版本 Android 系统）

按优先级依次检测，满足任一条件即返回1（风险状态）：

SDK 版本 ≥ 34（高版本 Android 系统）

检测逻辑与低版本一致，但去掉了优先级顺序，直接并列检测 4 个条件，满足任一即返回1（风险状态）：

三、关键补充说明

sub_47DF0

popen(getprop) 检测返回结果

执行系统命令获取属性信息

检测关键不安全特征逐行匹配缓冲区内容，若包含以下任一特征字符串，立即记录状态码、打印日志并终止进程：

sub_4837C

access检测/system/app/Superuser.apk

sub_47714

读取挂载信息文件打开 /proc/mounts 文件（系统挂载信息的核心文件，记录所有分区的挂载路径、类型、权限等），以只读模式逐行读取内容。

解析挂载项并检测可写权限对每一行挂载信息，通过 sscanf​ 解析出挂载路径、挂载点、文件系统类型和挂载权限等字段，重点检查挂载权限中是否包含 rw（可写标识）：

结果返回函数最终返回 v6 & 1​，即 1​ 表示存在系统分区可写挂载（风险状态），0 表示所有检测的系统分区均为只读挂载（正常状态）。

sub_4E3A4

一、Xposed 框架检测

二、虚拟环境检测

VirtualApp 标识检测分析栈信息中是否包含com.lody.virtual（VirtualApp 的包名特征），若存在则判定为运行在 VirtualApp 虚拟环境中。

XposedHelpers 类补充验证尝试查找de.robv.android.xposed.XposedHelpers类，进一步确认 Xposed 框架的存在。

进程与路径特征检测

三、结果返回

若上述任一检测条件满足（存在 Xposed 框架、VirtualApp 或 Exposed 环境），函数返回true​；否则返回false。

sub_48458

assess检测以下文件

sub_484D4

读取进程内存映射文件

检测 Xposed/EdXposed 特征检查内存映射内容中是否包含以下任一特征：

结果返回若检测到上述任一特征，返回1​（判定存在 Xposed/EdXposed 框架）；若读取完毕未检测到特征，返回0（判定无风险）。

sub_4ED18

定位关键类与字段

检测动态代理特征

查找java.lang.reflect.Proxy类（Java 动态代理的核心类）。

检查ActivityThread.sPackageManager​是否是Proxy的实例：

该函数通过检测IPackageManager是否被动态代理，判断应用的包管理功能是否被恶意篡改（常见于 Hook 工具对应用安装、卸载等行为的拦截场景）。一旦检测到风险，立即终止应用，防止恶意操作（如静默安装恶意应用、篡改包信息等），保障应用的包管理安全性。

检测MT管理器

sub_50DAC

sub_50E7C

遍历所有 FD，用 open​ 打开并读取 FD 对应的目标路径（或通过 readlink 获取链接指向）。检测是否打开了指定前缀路径的文件

509C8

JNI调用

​android.os.Debug.isDebuggerConnected()​ 静态方法，该方法返回 boolean​ 类型，true​ 表示进程已被调试器连接，false 表示未被调试。

4F8A0

遍历进程的所有线程目录代码首先通过 snprintf​ 生成路径 /proc/%d/task​（%d​ 为目标进程 PID），然后用 opendir​ 打开该目录。/proc/[pid]/task​ 目录包含进程所有线程（TID）的子目录，代码通过 readdir 遍历这些线程目录。

筛选有效的线程 ID（TID） 对每个目录项（线程名）进行检查，确保其为纯数字（线程 ID 是数字），过滤掉非数字命名的目录（如 .​ 和 ..）。

读取线程的 ​​status​​ 文件对每个有效的线程，生成路径 /proc/%d/task/%s/status​（%s​ 为线程 TID），通过 openat​ 打开该文件，读取内容到缓冲区 s2。

检查 ​​TracerPid​​ 字段在 status​ 文件内容中搜索 TracerPid: 关键字，找到后解析其值：

若 TracerPid​ 为非 0 值，说明进程被调试器跟踪；

定位并解析 Uid: 字段循环读取文件内容，通过 strncmp​ 匹配 Uid:​ 关键字（长度 4）。找到后从字段后解析数字形式的 UID 值，利用 atol 转换为整数。

资源清理与结果返回关闭文件描述符，返回解析得到的 UID 值。主逻辑会将该 UID 与进程预期 UID 对比，若不一致则判定为被调试。

4F6B8

生成进程 maps 文件路径通过 snprintf​ 拼接路径 /proc/%d/task/%d/maps​（两个 %d​ 均为目标进程 PID）。/proc/[pid]/task/[tid]/maps 文件记录了进程（线程）的内存映射信息，包含加载的动态库路径。

打开并读取 maps 文件用 syscall_B232C​ 调用 SYS_openat​ 打开 maps​ 文件，若打开成功（返回值非负），通过 read_C76C​ 读取文件内容到缓冲区 s_1（每次读取 1024 字节）。

筛选动态库路径循环读取 maps​ 文件内容，通过 sscanf​ 提取每行中的动态库路径（maps​ 文件每行末尾记录映射文件路径，动态库以 .so 结尾）。

动态库合法性校验基于提取的动态库路径（haystack）执行多层校验，全部通过则判定为 “合法”（返回 0），否则判定为 “违规”（返回 1）：

4FD70

读取/proc/self/cmdline

部分代码逻辑由AI分析并没有写代码验证，可能存在不准确的地方

[培训]Windows内核深度攻防：从Hook技术到Rootkit实战！

上传的附件：

• files.zip （2.79MB，101次下载）