首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. Android安全
    3. 发新帖
[原创]freeRASP签名检测和其他设备环境的绕过方案
发表于: 2026-1-18 10:31 2797

[原创]freeRASP签名检测和其他设备环境的绕过方案

wohowo 活跃值
2026-1-18 10:31
2797

针对国外Talsec freeRASP付费定制化加固的通杀绕过方案



本方案不hook一切应用代码,全部使用绕过系统底层来实现通杀效果,避免触碰应用代码这种不能复用的方式




本项目实现了针对 Talsec freeRASP 安全检测框架的完整绕过方案,采用四层防护体系,从内核层到应用层全面拦截检测


一、 Native 层 BPF 系统调用拦截
======================================================

核心原理:
使用 Linux BPF 机制在内核层拦截系统调用,在 SIGSYS 信号处理器中伪造返回值。这是最底层的拦截方式,应用无法绕过

绕过方案:

1. APK 签名伪造
    拦截 openat、read、fstat 系统调用并伪造
    当应用读取 apk 时,重定向到预存的 原包.apk(包含原始签名)


PS:其实freeRASP并没有直接去读取apk来验证签名,这里只是说一下svc的签名绕过方案,其他加固会直接读取apk来验证签名,包括谷歌的检测,应该写到自己的绕过框架里面,一股脑无脑绕过


2. /proc/self/maps 隐藏
    拦截 read 系统调用读取 maps 文件
    过滤所有一切敏感行

3. /proc/self/status 伪造
    将 Seccomp: 2 改为 Seccomp: 0
    隐藏 seccomp 过滤器的存在,这个隐藏方案其实不完整,加固厂商如果采取更严格的手段还是能检测到的,但是其实Zygote自己本身也会安装bpf,所以如果自己不安装的话,这个还是会检测到2,其实并不通过这个来检测


4. /proc/self/mounts 过滤
    过滤包含 magisk、zygisk、core/mirror 的挂载点
    隐藏 Magisk 相关挂载

5. Ftrace 检测绕过
    伪造 /proc/sys/kernel/ftrace_enabled 
    伪造 /sys/kernel/debug/tracing/current_tracer 


二、设备安全状态伪造
=============================================

核心原理:
Hook Java 层系统 API,伪造设备安全状态,绕过各类环境检测

绕过方案:

1. Root 检测绕过
   File.exists()                    > false     隐藏 /system/bin/su 等 70+ 个 root 路径,这个是从某个加密数组里解密出来的
   Runtime.exec()                   > 拦截      阻止执行 su、which su 等命令
   PackageManager.getPackageInfo()  > 抛异常    隐藏 Magisk、KernelSU 等 50+ 个 root 包名,这个也是从某个加密数组里解密出来的
   System.getenv("PATH")            > 过滤      移除 PATH 中的 /sbin 等路径,这个也是从某个加密数组里解密出来的

回复或点赞可查看完整内容

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 107
支持
分享
最新回复 (80)
wx_插曲
雪    币: 209
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
2
6
2026-1-18 10:35
0
mb_asiwnxyv
雪    币: 6
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
3
感谢分享
2026-1-18 10:53
0
小尘0000
雪    币: 20
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
4
666
2026-1-18 11:43
0
SomeMx
雪    币: 3229
活跃值: (4144)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
过来瞧瞧
2026-1-18 12:02
0
mb_4nrpVMxJ
雪    币: 3457
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
6
666
2026-1-18 12:41
0
mb_qimctavn
雪    币: 3999
活跃值: (4470)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
6
2026-1-18 13:22
0
mb_irhdtnzm
雪    币: 23
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
8
1
2026-1-18 13:25
0
随风而行aa
雪    币: 7355
活跃值: (24030)
能力值: ( LV12,RANK:550 )
在线值:
发帖
回帖
粉丝
私信
9
看看
2026-1-18 13:28
0
恋一世的爱
雪    币: 5
活跃值: (2150)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
10
看看
2026-1-18 13:41
0
Imxz
雪    币: 104
活跃值: (7486)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
11
666
2026-1-18 13:50
0
wx_李威威
雪    币: 0
活跃值: (55)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
12
66
2026-1-18 15:30
0
apxar
雪    币: 390
活跃值: (1278)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
13
1
2026-1-18 15:41
0
mb_jofnsvty
雪    币: 0
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
14
6666
2026-1-18 23:41
0
mb_jofnsvty
雪    币: 0
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
15
6666
2026-1-18 23:41
1
mb_rewimxhj
雪    币: 50
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
16
看看
2026-1-19 07:24
0
mb_roiscepd
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
17
666
2026-1-19 09:12
0
jdong
雪    币: 200
活跃值: (2580)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
18
666
2026-1-19 09:35
0
Ascend_202904
雪    币: 0
活跃值: (365)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
19
6666666666
2026-1-19 09:43
0
mb_lczmfeqa
雪    币: 23
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
20
感谢分享
2026-1-19 11:21
0
Viseris
雪    币: 0
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
21
感谢分享
2026-1-19 12:06
0
woaiziyou
雪    币: 1064
活跃值: (2870)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
22
学习
2026-1-19 13:10
0
4Chan
雪    币: 375
活跃值: (3371)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
私信
23
学习一下
2026-1-19 13:41
0
不具名的悲伤
雪    币: 1
活跃值: (1180)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
24
6
2026-1-19 15:07
0
29o
雪    币: 20
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
私信
29o
25
看看
2026-1-19 16:09
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回