-
-
[原创]轻松绕过 libmsaoaidsec.so 检测
-
发表于:
2025-12-26 19:48
1405
-
[原创]轻松绕过 libmsaoaidsec.so 检测
讲一个轻松绕过 libmsaoaidsec.so 检测的方法,一共分三步:
第一步:
1 2 3 4 5 6 | adb shell
su
cd /data/app
grep -r "包名" .
cd ./~~tDl4ulzF_Y6yai78Fm_H_Q==/包名-Pxq-nzfjm19Gf6zWD7oLWQ==/lib/arm64
rm libmsaoaidsec.so
|
第二步:启动APP,再 Hook(任意内容) 一下,等 1~3 秒,进程终结。这一步的目的是让 APP 在 /data/user/0/包名/ 目录下产生 app_lib 目录,如果跳过这一步,是没有 app_lib 目录的,更不会在它目录下生成 libmsaoaidsec.so 文件。
第三步:
1 2 3 | cd /data/user/0/包名/app_lib/
ls
> libmsaoaidsec.so(后缀名可能不同,根据实际情况写,有可能叫 .so.xxxxxxx)
|
这里的 so 文件只能清空,不能删除,如果删除,它会像病毒一样,要么把宿主搞死(终止进程),要么繁殖(自动生成),所以共生才是解决之道,此时再去 Hook(任意内容),就没问题了,不用跟 android_dlopen_ext 等函数打交道,而且效果持续,一劳永逸,不用像以前那样,同时注入两段代码,一个负责绕过,一个负责执行。
[培训]Windows内核深度攻防:从Hook技术到Rootkit实战!
最后于 2025-12-27 10:50
被mb_jjastati编辑
,原因: 之前有歧义,改进后,1、Hook脚本内容任意 2、效果持续,一劳永逸
