首页
论坛
课程
招聘
[分享]LSPosed 1.8.4修改版,避免包名检测
2022-9-23 10:21 3378

[分享]LSPosed 1.8.4修改版,避免包名检测

2022-9-23 10:21
3378

背景(可以忽略):

大概两周之前,i茅台更新了之后,不让预约了,当时手机用的是magisk23+去年版本的lsposed魔改版,怀疑是magisk23被检测了,毕竟magisk hide已经有公开的检测方法。故想着把magisk更新到最新版,而lsposed也要使用zygisk版的了

修改

xposed包名 de.robv.android.xposed 改为 com.debin.android.fun
lsposed包名 org.lsposed 改为 com.posed
lsposed相关日志TAG LSPosed 改为 FunXP
magisk模块信息修改,包括maigsk模块id
日志缓冲区允许关闭,路径在手机设置中的开发者选项-日志记录器缓冲区大小
可以参考GitHub提交记录自行修改

截图

截图1
截图2
截图3

使用

  • magisk 模块在GitHub下载,riru版本未测试能否工作
  • 如手机已有magisk,先还原magisk,备份然后删除 /data/adb 下所有文件,重启后再添加magisk模块。直接安装魔改的lsposed会卡开机,具体什么原因不清楚
  • xposed 模块也要重新编译或使用baksmali等工具重打包,xposed相关包名de.robv.android.xposed 改为 com.debin.android.fun, 编译需要的jar依赖包在附件

疑问

原来magisk23+旧lsposed修改版,建行生活能正常hook,现在magisk25+新lsposed修改版,一有模块加载,启动不了,看日志应该是在so里检测到lsposed然后killl了,都是同一版本的建行生活,为什么新版反而被检测到。。本人对 c语言 不太了解,更不懂怎么使用ida,难受


[2022冬季班]《安卓高级研修班(网课)》月薪三万班招生中~

上传的附件:
收藏
点赞1
打赏
分享
最新回复 (11)
雪    币: 965
活跃值: 活跃值 (423)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
zhuzhu_biu 活跃值 2022-9-23 10:50
2
0

lsp使用的lsplant在native层初始化的时候会hook一些位置

如下就是关键位置:


我也是前几天大佬告诉我初始化的时候做的hook被检测到了,经过多次测试得知的是这个位置

最后于 2022-9-23 10:50 被zhuzhu_biu编辑 ,原因:
雪    币: 7082
活跃值: 活跃值 (1061)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
ColoThor 活跃值 2022-9-23 11:10
3
0
zhuzhu_biu lsp使用的lsplant在native层初始化的时候会hook一些位置如下就是关键位置:我也是前几天大佬告诉我初始化的时候做的hook被检测到了,经过多次测试得知的是这个位置
谢谢
雪    币: 246
活跃值: 活跃值 (845)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
hackbs 活跃值 2022-9-23 13:57
4
0
不错的。
雪    币: 1299
活跃值: 活跃值 (1119)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
huangjw 活跃值 2022-9-23 14:12
5
0
谢谢,拿下了
雪    币: 970
活跃值: 活跃值 (4648)
能力值: ( LV7,RANK:115 )
在线值:
发帖
回帖
粉丝
Ssssone 活跃值 2 2022-9-23 14:22
6
0
赞!
雪    币: 114
活跃值: 活跃值 (513)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
koflfy 活跃值 1 2022-9-25 13:57
7
0
mark
雪    币: 2535
活跃值: 活跃值 (8071)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
珍惜Any 活跃值 1 2022-9-26 12:52
8
0
试试我的hunter哈,xposed模块选择hunter以后还是可以检测到的
雪    币: 7082
活跃值: 活跃值 (1061)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
ColoThor 活跃值 2022-9-26 14:15
9
0
珍惜Any 试试我的hunter哈,xposed模块选择hunter以后还是可以检测到的
没xposed模块选择,有一个 隐藏Api已开启。xposed模块选择,多一个libart.so被修改
雪    币: 2535
活跃值: 活跃值 (8071)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
珍惜Any 活跃值 1 2022-9-26 17:44
10
0
ColoThor 没xposed模块选择,有一个 隐藏Api已开启。xposed模块选择,多一个libart.so被修改
还是检测出出来已经被hook了。改包名没啥用的。本身lsp的包名也是系统的包名shell 
雪    币: 7082
活跃值: 活跃值 (1061)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
ColoThor 活跃值 2022-9-28 09:56
11
0
珍惜Any 还是检测出出来已经被hook了。改包名没啥用的。本身lsp的包名也是系统的包名shell
我也想改,lsposed直接开放全部隐藏api,具体用了哪些隐藏api不大清楚,libart.so涉及到c语言还有安卓底层了,改不动。。感觉新的LSPlant还不如riru时用的YAHFA
雪    币: 395
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
墨儒蛮君 活跃值 1天前
12
0
感谢分享!
游客
登录 | 注册 方可回帖
返回