多开/分身原本用于方便有多个微信/QQ解决同时登录的问题,但近来年被各种黑产所利用,多见于薅羊毛,部分多开App甚至提供了篡改功能。对于普通用户根本不会有多开的需求的App,一旦检测到当前运行在多开环境下,有理由限制该用户的后续行为。
在尝试了目前市面上多款多开App后,总结了几种检测方案。
多开原理
目前市面上的多开App的原理类似,都是以新进程运行被多开的App,并hook各类系统函数,使被多开的App认为自己是一个正常的App在运行。
从形式上来说多开App有2种形式,一种是从多开App中直接加载被多开的App,如平行空间、VirtualApp等,另一种是让用户新安装一个App,但这个App本质上就是一个壳,用来加载被多开的App,其原理和前一种是一样的,市面上多开分身这款App是用的这种形式,用户每分身一个App需新安装一个包名为dkmodel.xxx.xxx的App。
检测方案
检测files目录路径
我们知道App的私有目录是/data/data/包名/
或/data/user/用户号/包名
,通过Context.getFilesDir()
方法可以拿到私有目录下的files
目录。在多开环境下,获取到目录会变为/data/data/多开App的包名/xxxxxxxx
或/data/user/用户号/多开App的包名/xxxxxxxx
。
举个例子,在我手机上,正常使用App上面的代码获取到的路径为/data/user/0/top.darkness463.virtual