常见的Xposed框架检测手段与突破方式

2022-11-17  本文已影响0人  匠人plus

Xposed框架被很多人用来注入App做一些Hook操作,当然有相应的注入也必然存在对应的检测(反调试)操作,之前在吾爱、看雪论坛上看到很多大佬花式突破Xposed检测的手法,所以秉承“拿来主义”,汇总了一下各大App常见的Xposed的检测手法和突破的方式(这里只讲关于在Java层面检测Xposed,深入到SO层作检测之后再讲)。

**Xposed检测方案以及突破方式****

1. 遍历App安装列表检测是否包含Xposed Installer

原理:当App获取到系统权限的时候,可以获取系统的所有运行中的App的列表,通过列表发现是否存在有Xposed相关的App(通常都是Xposed Installer相关的Apk,例如de.robv.android.xposed.installer)保持运行状态,一旦存在,就表明用户很有可能存在Hook行为。
解决方案:目前市面上的大多数手机厂都把应用权限暴露给用户,所以用户可以自定义App的权限,禁止相关的App获取应用列表就可以防止App通过这个途径检测Xposed框架,当然,要过这个检测可以修改Installer包名即可。

2. 通过自造异常检测堆栈信息,读取异常堆栈中是否包含Xposed字符串来识别

原理:在正常的Android系统启动过程中,init进程会去解析init.rc文件启动一系列的服务,其中就有app_process进程,在app_process执行过程中,会设置自身进程名为Zygote,启动com.android.internal.os.ZygoteInit.Main方法。而Xposed修改了app_process进程,会先启动de.robv.android.xposed.XposedBridge.Main方法,再由它去启动com.android.internal.os.ZygoteInit.Main方法,因此堆栈信息中会多出一些内容。
简单说就是Xposed先于了Zygote进程,因此在系统堆栈信息中会多出Xposed相关的内容。
解决方案:通过Hook堆栈类StackTraceElement,当发现Xposed和Zygote有错误输出时,修改输出信息,例如将输出置空来绕过错误信息检测。参考代码:

XposedHelpers.findAndHookMethod(StackTraceElement.class, "getClassName", new XC_MethodHook() {
            @Override
            protected void afterHookedMethod(MethodHookParam param) throws Throwable {
                String result = (String) param.getResult();
                if (result != null) {
                    if (result.contains("de.robv.android.xposed.")) {
                        param.setResult("");                    
                    } else if (result.contains("com.android.internal.os.ZygoteInit")) {
                        param.setResult("");
                    }
                }
                super.afterHookedMethod(param);
            }
        });

3. 通过ClassLoader的 loadClass 加载列表检测。

解决方案:通过Hook loadClass加载类来修改加载的类名,例如修改de.robv.android.xposed成另一个普通的包名参考代码:

XposedHelpers.findAndHookMethod(ClassLoader.class, "loadClass", String.class, new XC_MethodHook() {
            @Override

            protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
                if (param.args != null && param.args[0] != null && param.args[0].toString().startsWith("de.robv.android.xposed.")) {                     // 改成一个不存在的类                    
                    param.args[0] = "de.robv.android.xposed.ThTest";
                }
                super.beforeHookedMethod(param);
            }
        });

4. 由于Xposed的注入方式是通过底层SO文件修改被hook的方法为native来实现的,所以检测方也可以通过检测方法是否变成了native来达到检测的目的。

原理:Xposed把Method的native func修改为它自己的处理函数,再这个函数中会回调Java层的handleHookMethod,处理函数钩子,但是只有native函数,虚拟机才会走native func,所以Xposed会把java函数的修饰符修改为native,所以可以通过反射调用Modifier.isNative(method.getModifiers())方法可以校验方法是不是native方法.
解决方案:因为检测方必须要通过Modifier.isNative这个方式来做检测,所以方法就是通过Hook isNative的方法,将检测结果置为0就行

参考代码:

modifyXposedHelpers.findAndHookMethod(Method.class, "getModifiers", new XC_MethodHook() {
            @Override
            protected void afterHookedMethod(MethodHookParam param) throws Throwable {
                Method method = (Method) param.thisObject;
                String[] array = new String[]{"getDeviceId"};
                String method_name = method.getName();
                if (Arrays.asList(array).contains(method_name)) {
                    modify = 0;
                } else {
                    modify = (int) param.getResult();
                }
                super.afterHookedMethod(param);
            }
        });
        XposedHelpers.findAndHookMethod(Modifier.class, "isNative", int.class, new XC_MethodHook() {
            @Override
            protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
                param.args[0] = modify;
                super.beforeHookedMethod(param);
            }
        });

5. 检测Xposed相关文件

原理:通过读取proc/self/maps文件,在linux内核中,这个文件存储了进程映射了的内存区域和访问权限,因此遍历自身加载的库,就可以拿到当前上下文的so和jar列表,通过查找Xposed相关文件来做检测解决方案:因为读取的时候会调用BufferedReader进行读取命令的内容,我们只需要Hook BufferedReader过滤掉XposedBridge.jar等相关内容就可以完成绕过。
参考代码:

XposedHelpers.findAndHookMethod(BufferedReader.class, "readLine", new XC_MethodHook() {
            @Override
            protected void afterHookedMethod(MethodHookParam param) throws Throwable {
                String result = (String) param.getResult();
                if (result != null) {
                    if (result.contains("/data/data/de.robv.android.xposed.installer/bin/XposedBridge.jar")) {
                        param.setResult("");
                        new File("").lastModified();
                    }
                }
                super.afterHookedMethod(param);
            }
        });

6. 通过反射XposedHelper类和XposedBridge类做信息检测

原理:Xposed中有几个比较常用的方法,findAndHookMethod等。通过反射找到要Hook的函数后会保存到XposedHelper类中的fieldCache、methodCache、constructorCache字段中。因此,可以通过反射遍历XposedHelper类中的fieldCache、methodCache、constructorCache变量,读取HashMap缓存字段是否有被Hook App的关键函数信息就行解决方案:检测方通过反射调用XposedHelper的成员fieldCache中是否含有相关的关键字。
解决方案:修改类名,让检测方找不到相关类就行,可以参考第三种方案,修改类名参考代码。

总结:各种手段的目的,最终都是解决如何定位Xposed检测代码的问题,最有效的方案就是搜索相关的关键词,例如上述几种检测方案中说的某些关键词,其他方法待后续总结。
对于对抗xposed检测的问题,也可以使用FakeXposed等框架,对特定机器的framework层,进行修改,然后再安装程序,进行调试。

上一篇下一篇

猜你喜欢

热点阅读