Xposed 框架检测机制

最新推荐文章于 2023-06-27 13:56:57 发布
最新推荐文章于 2023-06-27 13:56:57 发布
阅读量2.2k 收藏 60
点赞数 61
分类专栏: 2021 文章标签: android android studio java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41369057/article/details/131242951
版权
文章介绍了Xposed框架如何通过改造Zygote实现Hook功能,以及三种常见的Xposed检测方法:通过HookClassLoader的loadClass,HookStackTraceElement的getClassName,和检查进程映射中的XposedBridge.jar。此外,还展示了如何通过Java反射防止Xposed的hook操作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、Xposed 框架实现 Hook 的原理介绍

	Zygote是Android的核心,每运行一个app,Zygote就会fork一个虚拟机实例来运行app,
	Xposed Framework深入到了Android核心机制中,通过改造Zygote来实现一些很牛逼的
	功能。Zygote的启动配置在init.rc 脚 本 中,由系统启动的时候开启此进程,对应的
	执行文件是/system/bin/app_process,这个文件完成类库加载及一些函数调用的工作。
	当系统中安装了Xposed Framework之后,会对app_process进行扩展,也就是说,Xposed 
	Framework 会拿自己实现的app_process覆盖掉Android原生提供的app_process文件,
	当系统启动的时候,就会加载由 Xposed Framework 替换过的进程文件,并且,Xposed 
	Framework 还定义了一个 jar 包,系统启动的时候,也会加载这个包:
	/data/data/de.robv.android.xposed.installer/bin/XposedBridge.jar

二、常见检测

import java.io.BufferedReader;
import java.io.File;
import java.lang.reflect.Method;
import java.lang.reflect.Modifier;
import java.util.Arrays;

import android.annotation.SuppressLint;
import de.robv.android.xposed.IXposedHookLoadPackage;
import de.robv.android.xposed.XC_MethodHook;
import de.robv.android.xposed.XposedHelpers;
import de.robv.android.xposed.callbacks.XC_LoadPackage.LoadPackageParam;

public class Module implements IXposedHookLoadPackage {

	// 定义全局变量 modify
	private int modify;
	
	@Override
	public void handleLoadPackage(final LoadPackageParam lpparam) throws Throwable {
		//通过 ClassLoader 的loadClass加载XposedHelper来修改一些局部变量值,阻止hook
		//处理方式,通过Hook类加载修改加载的类名
//		XposedHelpers.findAndHookMethod(ClassLoader.class, "loadClass", String.class, new XC_MethodHook() {
//            @Override
//            protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
//                super.beforeHookedMethod(param);
//				  if(param.args != null && param.args[0] != null && 
//					  param.args[0].toString().startsWith("de.robv.android.xposed.")){
// 
//                    // 改成一个不存在的类
//                    param.args[0] = "de.robv.android.xposed.ThTest";
//                }
//                
//            }
//        });
		
		//通过代码抛出一个异常,在堆栈中,查找Xposed相关的内容,进行判定
		//处理方式,通过Hook堆栈获取类名替换的方式进行阻止
		XposedHelpers.findAndHookMethod(StackTraceElement.class, "getClassName", new XC_MethodHook() {
            @Override
            protected void afterHookedMethod(MethodHookParam param) throws Throwable {
                String result = (String) param.getResult();
                if (result != null){
                    if (result.contains("de.robv.android.xposed.")) {
                        param.setResult("");
                    }else if(result.contains("com.android.internal.os.ZygoteInit")){
                        param.setResult("");
                    }
                }
                super.afterHookedMethod(param);
            }
        });
		
		//通过读取 shell 命令 /proc/pid(应用进程id)/maps 可以拿到当前上下文的so和jar列表,查找Xposed相关
		//处理方式,通过使用 BufferedReader进行读取命令的内容,过滤掉 XposedBridge.jar。
		XposedHelpers.findAndHookMethod(BufferedReader.class, "readLine", new XC_MethodHook() {
            @SuppressLint("SdCardPath") @Override
            protected void afterHookedMethod(MethodHookParam param) throws Throwable {
                String result = (String) param.getResult();
                if(result != null) {
                    if (result.contains("/data/data/de.robv.android.xposed.installer/bin/XposedBridge.jar")) {
                        param.setResult("");
                        new File("").lastModified();
                    }
                }
 
                super.afterHookedMethod(param);
            }
        });
		
		//其它,由于Xposed的hook,是通过so修改被hook的方法为native来实现的,所以检测方也可以通过检测方法是否变成了native来达到检测的目的
		//处理方式,对指定的方法,进行返回正常的值,来达到屏蔽的效果,这里用getDeviceId举例
		// 定义全局变量 modify
		XposedHelpers.findAndHookMethod(Method.class, "getModifiers", new XC_MethodHook() {
			@Override
			protected void afterHookedMethod(MethodHookParam param) throws Throwable {
				Method method = (Method)param.thisObject;
				String[] array = new String[]{"getDeviceId"};
				String method_name = method.getName();
				if(Arrays.asList(array).contains(method_name)){
					modify = 0;
				}else{
					modify = (Integer) param.getResult();
				}
				super.afterHookedMethod(param);
			}
		});
		 
		XposedHelpers.findAndHookMethod(Modifier.class, "isNative", int.class, new XC_MethodHook() {
			@Override
			protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
				param.args[0] = modify;
				super.beforeHookedMethod(param);
			}
		});
	}
}
android 检查xposed,Xposed那些事儿 -- xposed框架检测和反制
weixin_28931449的博客
05-27 927
[Java] 纯文本查看 复制代码public void b(){try{Object localObject = ClassLoader.getSystemClassLoader().loadClass("de.robv.android.xposed.XposedHelpers").newInstance();// 如果加载类失败 则表示当前环境没有xposedif (localObject !...
安卓加固基础(三)
weixin_43632667的博客
04-26 679
Xposed检测方法和绕过 1.检查安装目录的是否有xposedinstall private static boolean findHookAppName(Context context) { PackageManager packageManager = context.getPackageManager(); List<ApplicationIn...
检测xposed框架实现
深耕安全技术研究
01-13 2102
更多安全技术文章,请关注“游戏安全攻防”公众号,一起学习,一起进步。 直接上源码,直接看吧。 private static int l(Context context) { int i = 0; PackageManager packageManager = context.getPackageManager(); try { packageManager.getInstallerPackageName(“de.robv.android.xposed.installer”); i = 1; } catch
xposed检测方法
Tesi1a的充电桩
03-18 6462
1.尝试加载xposed的类,如果能加载则表示已经安装了。 XposedHelpers类中存在fieldCache methodCache constructorCache 这三个静态成员,都是hashmap类型,凡是需要被hook的且已经被找到的对象都会被缓存到这三个map里面。 我们通过便利这三个map来找到相关hook信息。 备注:方法a是检测xposed到底改了什么东西存放到a中。抖音似乎...
xposed框架检测和反制
云守护的专栏
09-17 9240
转自:https://www.52pojie.cn/thread-691584-1-1.html https://blog.coderstory.cn/about-xposed/ 环境: win10 x64 使用的工具:apkdb &amp; jeb 2.2.7 1.尝试加载xposed的类,如果能加载则表示已经安装了。 XposedHelpers类中存在fieldCache ...
安卓逆向环境检测--xposed
最新发布
weixin_44348983的博客
06-27 1840
安卓、逆向、检测
Xposed框架多版本可激活以及JustTrusetMe安装包
11-21
Xposed框架是一款强大的Android系统修改工具,它允许用户在不修改APK的情况下影响应用程序或系统的行为。这个框架的多版本可激活意味着用户可以根据自己的设备型号和Android系统版本选择合适的Xposed版本进行安装。...
android xposed框架插件开发例子
05-24
Xposed框架主要通过Zygote进程的hook机制来实现对系统和应用的干预。当系统启动时,Xposed会注入自己的代码到Zygote中,这样每个新启动的应用都会加载Xposed的相关模块。开发者可以通过编写Xposed模块,即插件,来...
小米刷xposed框架 XP框架防卡米方法以及工具.zip
08-18
Xposed框架详解】 Xposed框架是一款在Android系统上运行的模块化框架,它允许用户通过安装各种插件(称为Xposed模块)来修改系统的功能和行为,无需修改系统核心文件。这一框架由rovo89开发,为Android用户提供了...
Xposed框架以及安装器
07-13
Xposed框架的核心在于其加载在系统启动时的"Hook"机制,通过拦截系统调用,可以在程序运行过程中插入自定义代码,改变原有功能。这种技术对于开发者来说,提供了一种高效且灵活的系统定制手段,但同时也可能对系统...
检测xp框架插件.zip
08-14
检测xp框架插件.zip
xposed离线安装文件
02-12
Xposed框架是一款强大的Android系统修改工具,它允许用户在不修改APK的情况下影响应用程序或系统的行为。这个离线安装文件包含Xposed框架的多个版本以及一个名为JustTrustMe的APK,这暗示了我们可能涉及的主要知识点...
Xposed检测与自定义Xposed
qq_33604739的博客
07-04 4444
Xposed检测与自定义Xposed前言:Xposed检测1、遍历App安装列表检测2、自造异常检测堆栈信息。3、检查关键Java方法是否变为native方法4、反射XposedHelper类和XposedBridge类5、检测Xposed相关文件6、Root检测7、安全建议自定义Xposed一、修改XposedBridge.jar包名二、修改Xposed相关文件名三、修改installer包名 ...
Android xposed权限检测
weixin_42345592的博客
09-14 2194
前言 由于开发的公司的APP上线华为市场被拒绝,APP以隐私政策弹窗前,非法收集用户信息,mac地址。 排查过程 通过抓包我们确认没用在弹出隐私条款前,发送类似的接口上报敏感信息,后和工信部电话沟通确认是只要你有调用getMacAddress此方法,就认定为非法的,即使你没有上报。所以就想怎么抓取那些sdk调用了getMacAddress 确定方案 使用VirtualXposed在手机上装了一下虚拟系统。 :https://github.com/android-hacker/VirtualXposed Ho
android 检查xposed,[原创]利用Xposed躲过Xposed检测
weixin_36221149的博客
05-27 2065
越来越多的app对xposed进行了检测通过分析了其中部分对xposed检查的代码,希望通过xposed的方式阻止xposed检测达到通用的目的。一般检查手段有很多,楼主也没分析完,这里列举了几个和处理方式。1、通过ClassLoader的loadClass加载XposedHelper 来修改一些局部变量值,阻止hook.处理方式,通过Hook 类加载修改 加载的类名//过防止调用loa...
android8 检测xposed,Xposed检测与自定义Xposed
weixin_39743064的博客
05-26 1265
Xposed检测与自定义Xposed前言:Xposed检测1、遍历App安装列表检测2、自造异常检测堆栈信息。3、检查关键Java方法是否变为native方法4、反射XposedHelper类和XposedBridge类5、检测Xposed相关文件6、Root检测7、安全建议自定义Xposed一、修改XposedBridge.jar包名二、修改Xposed相关文件名三、修改installer包名前...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Codeoooo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值