首页
论坛
专栏
课程

[原创]利用Xposed躲过Xposed检测

2019-3-5 11:41 6950

[原创]利用Xposed躲过Xposed检测

2019-3-5 11:41
6950
越来越多的app对xposed进行了检测
通过分析了其中部分对xposed检查的代码,希望通过xposed的方式阻止xposed检测达到通用的目的。
一般检查手段有很多,楼主也没分析完,这里列举了几个和处理方式。
1、通过 ClassLoader 的 loadClass 加载XposedHelper 来修改一些局部变量值,阻止hook.

处理方式,通过Hook 类加载修改 加载的类名

// 过防止调用loadClass加载 de.robv.android.xposed.
        XposedHelpers.findAndHookMethod(ClassLoader.class, "loadClass", String.class, new XC_MethodHook() {
            @Override
            protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
                if(param.args != null && param.args[0] != null && param.args[0].toString().startsWith("de.robv.android.xposed.")){

                    // 改成一个不存在的类
                    param.args[0] = "de.robv.android.xposed.ThTest";
                }

                super.beforeHookedMethod(param);
            }
        });
2、通过 代码抛出一个异常,在堆栈中,查找Xposed相关的内容,进行判定
处理方式,通过Hook堆栈获取类名替换的方式进行阻止
XposedHelpers.findAndHookMethod(StackTraceElement.class, "getClassName", new XC_MethodHook() {
            @Override
            protected void afterHookedMethod(MethodHookParam param) throws Throwable {
                String result = (String) param.getResult();
                if (result != null){
                    if (result.contains("de.robv.android.xposed.")) {
                        param.setResult("");
                        // Log.i(tag, "替换了,字符串名称 " + result);
                    }else if(result.contains("com.android.internal.os.ZygoteInit")){
                        param.setResult("");
                    }
                }

                super.afterHookedMethod(param);
            }
        });
3、通过读取 shell 命令 /proc/pid(应用进程id)/maps 可以拿到当前上下文的so和jar列表,查找Xposed相关
处理方式,楼主看到大部分多试通过使用 BufferedReader进行读取命令的内容,过滤掉 XposedBridge.jar就好。
XposedHelpers.findAndHookMethod(BufferedReader.class, "readLine", new XC_MethodHook() {
            @Override
            protected void afterHookedMethod(MethodHookParam param) throws Throwable {
                String result = (String) param.getResult();
                if(result != null) {
                    if (result.contains("/data/data/de.robv.android.xposed.installer/bin/XposedBridge.jar")) {
                        param.setResult("");new File("").lastModified();
                    }
                }

                super.afterHookedMethod(param);
            }
        });
4、其他,由于Xposed的hook,是通过so修改被hook的方法为native来实现的,所以检测方也可以通过检测方法是否变成了native来达到检测的目的
处理方式,对指定的方法,进行返回正常的值,来达到屏蔽的效果,这里用getDeviceId举例
// 定义全局变量 modify
XposedHelpers.findAndHookMethod(Method.class, "getModifiers", new XC_MethodHook() {
            @Override
            protected void afterHookedMethod(MethodHookParam param) throws Throwable {
                Method method = (Method)param.thisObject;
                String[] array = new String[] { "getDeviceId" };
                String method_name = method.getName();
                if(Arrays.asList(array).contains(method_name)){
                    modify = 0;
                }else{
                    modify = (int)param.getResult();
                }

                super.afterHookedMethod(param);
            }
        });

        XposedHelpers.findAndHookMethod(Modifier.class, "isNative", int.class, new XC_MethodHook() {
            @Override
            protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
                param.args[0] = modify;

                super.beforeHookedMethod(param);
            }
        });

5、当然还有其他各种各样的检测方式了,楼主所知甚少,老是提问,觉得应该分享点东西,所以有了此贴。见笑见笑


[招聘]欢迎市场人员加入看雪学院团队!

最后于 2019-3-5 12:04 被supperlitt编辑 ,原因: 格式和预览不一致。
最新回复 (12)
学编程 1 2019-3-5 14:43
2
0
不错哦
bjhrwzh 2019-3-5 17:28
3
0
mark  检测思路比较多,过检测思路也很多。不错
supperlitt 2019-3-6 08:52
4
0
学编程 不错哦
谢谢支持,让大佬见笑了
supperlitt 2019-3-6 08:52
5
0
bjhrwzh mark 检测思路比较多,过检测思路也很多。不错
谢谢支持
DWwinter 2019-3-6 15:05
6
0
支持支持
人在塔在 2019-3-6 17:29
7
0
mark 谢谢
Mr.T800 2019-3-13 11:41
8
0
mark 支持一下,谢谢
yuyuyu蛤 2019-3-16 15:10
9
0
学习学习
wx_La0s 2019-3-20 08:40
10
0
用xposed过xposed是最骚的
crazy清风 2019-5-18 15:56
11
0
mark 学习一下
josin22 5天前
12
0
对于在Native写的so.jar之类的检测 ,如何破
miyuecao 4天前
13
0
感谢总结很分享
游客
登录 | 注册 方可回帖
返回