(2020.7.6)Android Xposed防护总结

最新推荐文章于 2024-02-26 23:03:29 发布
原创 最新推荐文章于 2024-02-26 23:03:29 发布 · 1.4k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#android #安卓

本文详细介绍了Android中的Xposed框架工作原理,包括其如何在Zygote进程中加载XposedBridge.jar以实现方法hook。同时,分享了Xposed的简单使用教程,以及如何在Java层和Native层检测Xposed的存在,以进行防护措施。文章强调,由于Xposed的hook特性,单纯Java层的防护不足以抵挡攻击,并提出将检测代码置于Native层以提高安全性。

(转载公司内部论坛本人文章2020.7.6)

xposed原理

Android系统中,Zygote进程在启动的过程中,会创建一个Dalvik虚拟机实例,同时将Java运行时库加载到进程中来,以及注册一些Android核心类的JNI方法到Dalvik虚拟机实例中去。
而我们知道,系统其它所有进程都是由Zygote进程孵化的。Zygote在启动新的app进程时,都会将自身的Dalvik虚拟机实例复制到该App进程里,形成该App独立的Dalvik虚拟机实例,同时还会与Zygote进程一起共享Java运行时库。所以Xposed通过替换/system/bin/app_process程序控制zygote进程,使得app_process在启动过程中会加载XposedBridge.jar这个jar包,也进而使XposedBridge.jar加载到了每一个Android app进程里。
Xposed可以实现在不修改APK源码的情况下,hook app里的任意java方法,实现方法的修改和替换。

Xposed简单使用教程

手机可以通过 Xposed Installer 安装Xposed服务,但是需要ROOT权限。如果不想ROOT手机,也可以通过安装一个自带Xposed的虚拟系统,效果也是一样的。
想要hook apk的方法,首先要知道apk内该方法的具体路径,这个涉及到 apk反编译 的过程,这里不做细说。
通过Xposed Hook方法主要运用到 XposedHelpers.findAndHookMethod() 方法,demo代码如下:

public class Hooktest implements IXposedHookLoadPackage {
   
   

    public void handleLoadPackage(XC_LoadPackage.LoadPackageParam loadPackageParam) throws Throwable {
   
   

        if (loadPackageParam.packageName.equals("想要hook apk的包名")) {
   
   

            Class clazz = loadPackageParam.classLoader.loadClass("想要hook的类名");

            XposedHelpers.findAndHookMethod(clazz, "想要hook的方法名", new XC_MethodHook() {
   
   

                protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
   
   
                    super.beforeHookedMethod(param);
                }
最低0.47元/天 解锁文章
手机银行应用架构设计
银行信息系统架构详解
03-15 4430
网上银行借助互联网、移动通信网络等技术向客户提供金融服务,易受到通讯层面的安全威胁,金融机构应从通讯协议、安全认证、通信链路安全等层面,采取措施有效应对相关风险。网上银行系统服务器端提供网上银行应用服务和核心业务处理功能,金融机构应充分利用物理环境、通信网络、计算环境等领域的防护技术,在攻击者和受保护的资源间建立多道严密的安全防线。 网上银行除直接向用户提供金融服务外,也可能与外部机构开展业务合作。在网上银行系统设计、开发、部署和运营过程中,应充分考虑外部机构的系统可能存在的安全风险,并针对各类风险进行有效
xposed绕过模拟器检测_移动安全防护策略之——Xposed 反调试
weixin_31089065的博客
01-05 5382
点击上方“蓝字”,发现更多精彩当下是个一个数据价值的时代,是一个万物互联的时代,数据是“21世纪的生产材料”这句话现在看一点都不夸张,不过随着时代的发展,催生了很多灰色产业,比如数据贩子、爬虫等,互联网各个行业也都有着激烈的竞争,安全技术的比拼也越发的重要,因此安全防范技术对于各个企业来讲都是未来发展的重中之重,安全防范技术成了不可或缺的重要一环。追溯移动安全的历史,在移动互联兴起的时候...
Android APP常见风险及防护
技术超强的网络安全平台
09-17 1671
如果程序本身对运行时的内存没有做任何的保护措施,攻击者通过反编译对源代码进行分析,定位到可以程序外 Hook 类似操作的关键位置,完全不需要修改程序本身,当程序运行到敏感的界面 Activity 时,从程序外获取用户输入的证件号、姓名、手机号和密码等敏感的信息,并从内存中进行修改,尤其是对于涉及到支付等操作时,将严重威胁用户的财产安全。app被轻易的二次打包,很容易被攻击者添加恶意的代码或者添加广告,从而窃取登录账号密码、支付密码等,严重威胁用户隐私安全,也给公司的形象带来不利的影响。
Android专项-针对Xposed hook密码框的防护
doctorq
03-17 3621
原理TextWatcher接口为EditText控件的响应字符输入事件提供了3个方法,这三个方法分别为: public void beforeTextChanged(CharSequence s, int start, int count, int after) public void onTextChanged(CharSequence s, int start, int before, int
xposed插件加固保护方案以及对华为方舟编译器的思考
大星星的专栏
10-25 3253
目前市面上各家加固厂商在对普通App的加固上已经做得比较成熟稳定,而且强度也很高了。但是似乎没有一个针对xposed插件加固的方案,笔者在试用了几家加固后,均会导致xposed插件的崩溃,要么就是插件功能失效,又或者运行性能大大影响导致App拦截的时候巨卡。 迫于无奈,对于本身就是安全从业者的笔者来说,只能自己动手想办法来解决了,以下提供两种思路,简单的demo笔者也已跑通了,但是可能稳定性上还需...
修改xposed源码特征 防止检测 并刷机 xposed编译&魔改xposed
z920981023的博客
08-08 2133
环境相关 设备 sailfish 编译环境 kali 致谢 https://blog.csdn.net/qq_22656473/article/details/103455103 r0ysue 魔改 推荐vscode修改,顺手方便的很。 改XposedInstaller git clone https://github.com/rovo89/XposedInstaller.git android studio 打开,全局搜索,de.robv.android.xposed更改为de....
android xposed 拦截 启动,FakeXposed最强屏蔽Xposed、Root检测,自定义maps、文件重定向等支持Android5~11...
weixin_32801895的博客
05-26 1785
源码分析如下public class Runtime{public Process exec(String[] cmdarray, String[] envp, File dir)throws IOException {return new ProcessBuilder(cmdarray).environment(envp).directory(dir).start();}}public fina...
Android平台上的Hooking小模板与Mod菜单教程
7. Android Hacking(Android平台安全与破解):Android Hacking通常指的是对Android操作系统和应用程序的安全研究、漏洞分析、安全加固以及破解应用的行为。Android平台上的Hacking活动往往需要深入理解操作系统的...
Android安全与性能提升】:10种禁止下拉通知栏的权威方法
[【Android安全与性能提升】:10种禁止下拉通知栏的权威方法](https://www.movilzona.es/app/uploads-movilzona.es/2020/11/notificaciones-diferentes-android.jpg) # 摘要 随着Android系统的广泛应用,通知栏权限...
红队专题-REVERSE汇编/二进制PWN/逆向/反编译
aming小老弟
10-10 2666
ROP(Return-Oriented Programming)链是一种计算机安全领域中的攻击技术,用于绕过内存执行保护措施,实现利用漏洞进行代码注入和控制流劫持。由一系列已存在于程序内存中的代码片段(称为gadget)组成的,这些片段通常是程序的合法指令序列。通过将这些gadget按照特定的顺序串联起来,攻击者可以构造出一条可执行的ROP链,用于实现特定的攻击目的。ROP链的基本原理依赖于已存在的代码片段,而不是插入自定义的恶意代码。这样可以避免执行数据区域中的恶意代码,
Android应用防xposed注入,android hook 框架 xposed 如何实现注入
weixin_39956036的博客
05-26 1094
转:http://www.cnblogs.com/jiayy/p/4305018.html前面分析的adbi框架和libinject都是使用so注入的方式,实现将指定代码装入目标进程,这种方式有几个特点:1. 是动态的,需要目标进程已经启动2. 无法影响全局,比如注入A进程挂钩里边libc.so的open函数,此时,B进程使用的libc.so的open函数还是老函数,linux系统通过COW机制,...
android 检查xposed,[原创]利用Xposed躲过Xposed检测
weixin_36221149的博客
05-27 2174
越来越多的app对xposed进行了检测通过分析了其中部分对xposed检查的代码,希望通过xposed的方式阻止xposed检测达到通用的目的。一般检查手段有很多,楼主也没分析完,这里列举了几个和处理方式。1、通过ClassLoader的loadClass加载XposedHelper 来修改一些局部变量值,阻止hook.处理方式,通过Hook 类加载修改 加载的类名//过防止调用loa...
Xposed 框架检测机制
Codeoooo 博客
06-17 2489
Zygote是Android的核心,每运行一个app,Zygote就会fork一个虚拟机实例来运行app,Xposed Framework深入到了Android核心机制中,通过改造Zygote来实现一些很牛逼的功能。Zygote的启动配置在init.rc 脚 本 中,由系统启动的时候开启此进程,对应的执行文件是/system/bin/app_process,这个文件完成类库加载及一些函数调用的工作。
Xposed 包名修改(检测)
热门推荐
zy学无止境的专栏
12-11 1万+
Xposed源码编译 该实现需要基于Xposed源码编译, 不会源码编译的建议先研究下如何编译, 推荐下面的文章 https://www.jianshu.com/p/73e01e7b1bd8 https://www.jianshu.com/p/c14eafe5e1d7 https://www.jianshu.com/p/c731cd44e82b XposedBridge包名修改 直接修改整个包名...
xposed检测方法
Tesi1a的充电桩
03-18 6786
1.尝试加载xposed的类,如果能加载则表示已经安装了。 XposedHelpers类中存在fieldCache methodCache constructorCache 这三个静态成员,都是hashmap类型,凡是需要被hook的且已经被找到的对象都会被缓存到这三个map里面。 我们通过便利这三个map来找到相关hook信息。 备注:方法a是检测xposed到底改了什么东西存放到a中。抖音似乎...
第六十八天 APP攻防-Xposed&Frida&Hook&证书校验&反代理&代理转发
qq_46343633的博客
02-26 1086
1、APP防代理绕过-应用&转发2、APP证书校验类型-单向&双向3、APP证书校验绕过-Frida&XP框架等。
Android中破解某支付软件防Xposed的hook功能检测机制过程分析
六桥风月IT随笔
09-02 5007
一、情景介绍 最近想写几个某支付软件的插件,大家现在都知道现在插件大部分都是基于Xposed的hook功能,包括之前写了很多的某社交软件的插件,所以不多说就直接用Jadx打开支付软件之后然后找到想要hook的方法,可惜的是遇到这个错误:  这个软件内部做了防止Xposed的hook功能检测,当我们写了对应了Xposed模块在打开app的时候就会出现这样的错误,其实吧这个错误网上之前有人...
Android安全防护/检查root/检查Xposed/反调试/应用多开/模拟器检测(持续更新1.0.5)
HAPP NEW JAVA
12-19 9813
参考地址:https://www.jianshu.com/p/c37b1bdb4757 多开软件检测 多开软件的检测方案这里提供5种,首先4种来自 《Android多开/分身检测》https://blog.darkness463.top/2018/05/04/Android-Virtual-Check/ 《Android虚拟机多开检测》https://www.jianshu.com/p/21...
Xposed检测绕过
weixin_44389363的博客
12-12 2003
分享些Xposed检测绕过
studio报错找不到 import de.robv.android.xposed.IXposedHookLoadPackage; import de.robv.android.xposed.XC_MethodHook; import de.robv.android.xposed.XposedBridge; import de.robv.android.xposed.XposedHelpers; import de.robv.android.xposed.callbacks.XC_LoadPackage;
最新发布
07-09
Android Studio中导入Xposed类时报错`import de.robv.android.xposed...`找不到,通常是由于**依赖配置错误**或**作用域设置不正确**导致。以下是完整解决方案: --- ### 步骤1:添加Xposed API依赖 在模块的`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值