安科网

Android Java层的anti-hooking技巧

majunzhu

majunzhu

2016-06-07

关注 关注

Android Java层的anti-hooking技巧

0x00 前言

一个最近关于检测native hook框架的方法让我开始思考一个Android应用如何在Java层检测Cydia Substrate或者Xposed框架。

声明:

下文所有的anti-hooking技巧很容易就可以被有经验的逆向人员绕过,这里只是展示几个检测的方法。在最近DexGuard和GuardIT等工具中还没有这类anti-hooking检测功能,不过我相信不久就会增加这个功能。

0x01 检测安装的应用

一个最直接的想法就是检测设备上有没有安装Substrate或者Xposed框架,可以直接调用PackageManager显示所有安装的应用,然后看是否安装了Substrate或者Xposed。

#!java

PackageManager packageManager = context.getPackageManager();

List applicationInfoList = packageManager.getInstalledApplications(PackageManager.GET_META_DATA);

for(ApplicationInfo applicationInfo : applicationInfoList) {

if(applicationInfo.packageName.equals("de.robv.android.xposed.installer")) {

Log.wtf("HookDetection", "Xposed found on the system.");

}

if(applicationInfo.packageName.equals("com.saurik.substrate")) {

Log.wtf("HookDetection", "Substrate found on the system.");

}

}

0x02 检查调用栈里的可疑方法

另一个想到的方法是检查Java调用栈里的可疑方法,主动抛出一个异常,然后打印方法的调用栈。代码如下:

#!java

public class DoStuff {

public static String getSecret() {

try {

throw new Exception("blah");

}

catch(Exception e) {

for(StackTraceElement stackTraceElement : e.getStackTrace()) {

Log.wtf("HookDetection", stackTraceElement.getClassName() + "->" + stackTraceElement.getMethodName());

}

}

return "ChangeMePls!!!";

}

}

当应用没有被hook的时候,正常的调用栈是这样的:

#!bash

com.example.hookdetection.DoStuff->getSecret

com.example.hookdetection.MainActivity->onCreate

android.app.Activity->performCreate

android.app.Instrumentation->callActivityOnCreate

android.app.ActivityThread->performLaunchActivity

android.app.ActivityThread->handleLaunchActivity

android.app.ActivityThread->access$800

android.app.ActivityThread$H->handleMessage

android.os.Handler->dispatchMessage

android.os.Looper->loop

android.app.ActivityThread->main

java.lang.reflect.Method->invokeNative

java.lang.reflect.Method->invoke

com.android.internal.os.ZygoteInit$MethodAndArgsCaller->run

com.android.internal.os.ZygoteInit->main

dalvik.system.NativeStart->main

但是假如有Xposed框架hook了com.example.hookdetection.DoStuff.getSecret方法,那么调用栈会有2个变化:

在dalvik.system.NativeStart.main方法后出现de.robv.android.xposed.XposedBridge.main调用

如果Xposed hook了调用栈里的一个方法,还会有de.robv.android.xposed.XposedBridge.handleHookedMethod 和de.robv.android.xposed.XposedBridge.invokeOriginalMethodNative调用

所以如果hook了getSecret方法,调用栈就会如下:

#!bash

com.example.hookdetection.DoStuff->getSecret

de.robv.android.xposed.XposedBridge->invokeOriginalMethodNative

de.robv.android.xposed.XposedBridge->handleHookedMethod

com.example.hookdetection.DoStuff->getSecret

com.example.hookdetection.MainActivity->onCreate

android.app.Activity->performCreate

android.app.Instrumentation->callActivityOnCreate

android.app.ActivityThread->performLaunchActivity

android.app.ActivityThread->handleLaunchActivity

android.app.ActivityThread->access$800

android.app.ActivityThread$H->handleMessage

android.os.Handler->dispatchMessage

android.os.Looper->loop

android.app.ActivityThread->main

java.lang.reflect.Method->invokeNative

java.lang.reflect.Method->invoke

com.android.internal.os.ZygoteInit$MethodAndArgsCaller->run

com.android.internal.os.ZygoteInit->main

de.robv.android.xposed.XposedBridge->main

dalvik.system.NativeStart->main

下面看下Substrate hook com.example.hookdetection.DoStuff.getSecret方法后,调用栈会有什么变化:

dalvik.system.NativeStart.main调用后会出现2次com.android.internal.os.ZygoteInit.main,而不是一次。

如果Substrate hook了调用栈里的一个方法,还会出现com.saurik.substrate.MS$2.invoked,com.saurik.substrate.MS$MethodPointer.invoke还有跟Substrate扩展相关的方法(这里是com.cigital.freak.Freak$1$1.invoked)。

所以如果hook了getSecret方法,调用栈就会如下:

#!bash

com.example.hookdetection.DoStuff->getSecret

com.saurik.substrate._MS$MethodPointer->invoke

com.saurik.substrate.MS$MethodPointer->invoke

com.cigital.freak.Freak$1$1->invoked

com.saurik.substrate.MS$2->invoked

com.example.hookdetection.DoStuff->getSecret

com.example.hookdetection.MainActivity->onCreate

android.app.Activity->performCreate

android.app.Instrumentation->callActivityOnCreate

android.app.ActivityThread->performLaunchActivity

android.app.ActivityThread->handleLaunchActivity

android.app.ActivityThread->access$800

android.app.ActivityThread$H->handleMessage

android.os.Handler->dispatchMessage

android.os.Looper->loop

android.app.ActivityThread->main

java.lang.reflect.Method->invokeNative

java.lang.reflect.Method->invoke

com.android.internal.os.ZygoteInit$MethodAndArgsCaller->run

com.android.internal.os.ZygoteInit->main

com.android.internal.os.ZygoteInit->main

dalvik.system.NativeStart->main

在知道了调用栈的变化之后,就可以在Java层写代码进行检测:

#!java

try {

throw new Exception("blah");

}

catch(Exception e) {

int zygoteInitCallCount = 0;

for(StackTraceElement stackTraceElement : e.getStackTrace()) {

if(stackTraceElement.getClassName().equals("com.android.internal.os.ZygoteInit")) {

zygoteInitCallCount++;

if(zygoteInitCallCount == 2) {

Log.wtf("HookDetection", "Substrate is active on the device.");

}

}

if(stackTraceElement.getClassName().equals("com.saurik.substrate.MS$2") &&

stackTraceElement.getMethodName().equals("invoked")) {

Log.wtf("HookDetection", "A method on the stack trace has been hooked using Substrate.");

}

if(stackTraceElement.getClassName().equals("de.robv.android.xposed.XposedBridge") &&

stackTraceElement.getMethodName().equals("main")) {

Log.wtf("HookDetection", "Xposed is active on the device.");

}

if(stackTraceElement.getClassName().equals("de.robv.android.xposed.XposedBridge") &&

stackTraceElement.getMethodName().equals("handleHookedMethod")) {

Log.wtf("HookDetection", "A method on the stack trace has been hooked using Xposed.");

}

}

}

0x03 检测并不应该native的native方法

Xposed框架会把hook的Java方法类型改为"native",然后把原来的方法替换成自己的代码(调用hookedMethodCallback)。可以查看XposedBridge_hookMethodNative 的实现,是修改后app_process里的方法。

利用Xposed改变hook方法的这个特性(Substrate也使用类似的原理),就可以用来检测是否被hook了。注意这不能用来检测ART运行时的Xposed,因为没必要把方法的类型改为native。

假设有下面这个方法:

#!java

public class DoStuff {

public static String getSecret() {

return "ChangeMePls!!!";

}

}

如果getSecret方法被hook了,在运行的时候就会像下面的定义:

#!java

public class DoStuff {

// calls hookedMethodCallback if hooked using Xposed

public native static String getSecret();

}

基于上面的原理,检测的步骤如下:

定位到应用的DEX文件

枚举所有的class

通过反射机制判断运行时不应该是native的方法

下面的Java展示了这个技巧。这里假设了应用本身没有通过JNI调用本地代码,大多数应用都不需要调用本地方法。不过如果有JNI调用的话,只需要把这些native方法添加到一个白名单中即可。理论上这个方法也可以用于检测Java库或者第三方库,不过需要把第三方库的native方法添加到一个白名单。检测代码如下:

#!java

for (ApplicationInfo applicationInfo : applicationInfoList) {

if (applicationInfo.processName.equals("com.example.hookdetection")) {

Set classes = new HashSet();

DexFile dex;

try {

dex = new DexFile(applicationInfo.sourceDir);

Enumeration entries = dex.entries();

while(entries.hasMoreElements()) {

String entry = entries.nextElement();

classes.add(entry);

}

dex.close();

}

catch (IOException e) {

Log.e("HookDetection", e.toString());

}

for(String className : classes) {

if(className.startsWith("com.example.hookdetection")) {

try {

Class clazz = HookDetection.class.forName(className);

for(Method method : clazz.getDeclaredMethods()) {

if(Modifier.isNative(method.getModifiers())){

Log.wtf("HookDetection", "Native function found (could be hooked by Substrate or Xposed): " + clazz.getCanonicalName() + "->" + method.getName());

}

}

}

catch(ClassNotFoundException e) {

Log.wtf("HookDetection", e.toString());

}

}

}

}

}

0x04 通过/proc/[pid]/maps检测可疑的共享对象或者JAR

/proc/[pid]/maps记录了内存映射的区域和访问权限,首先查看Android应用的映像,第一列是起始地址和结束地址,第六列是映射文件的路径。

#!bash

#cat /proc/5584/maps

40027000-4002c000 r-xp 00000000 103:06 2114 /system/bin/app_process

4002c000-4002d000 r--p 00004000 103:06 2114 /system/bin/app_process

4002d000-4002e000 rw-p 00005000 103:06 2114 /system/bin/app_process

4002e000-4003d000 r-xp 00000000 103:06 246 /system/bin/linker

4003d000-4003e000 r--p 0000e000 103:06 246 /system/bin/linker

4003e000-4003f000 rw-p 0000f000 103:06 246 /system/bin/linker

4003f000-40042000 rw-p 00000000 00:00 0

40042000-40043000 r--p 00000000 00:00 0

40043000-40044000 rw-p 00000000 00:00 0

40044000-40047000 r-xp 00000000 103:06 1176 /system/lib/libNimsWrap.so

40047000-40048000 r--p 00002000 103:06 1176 /system/lib/libNimsWrap.so

40048000-40049000 rw-p 00003000 103:06 1176 /system/lib/libNimsWrap.so

40049000-40091000 r-xp 00000000 103:06 1237 /system/lib/libc.so

... Lots of other memory regions here ...

因此可以写代码检测加载到当前内存区域中的可疑文件:

#!java

try {

Set libraries = new HashSet();

String mapsFilename = "/proc/" + android.os.Process.myPid() + "/maps";

BufferedReader reader = new BufferedReader(new FileReader(mapsFilename));

String line;

while((line = reader.readLine()) != null) {

if (line.endsWith(".so") || line.endsWith(".jar")) {

int n = line.lastIndexOf(" ");

libraries.add(line.substring(n + 1));

}

}

for (String library : libraries) {

if(library.contains("com.saurik.substrate")) {

Log.wtf("HookDetection", "Substrate shared object found: " + library);

}

if(library.contains("XposedBridge.jar")) {

Log.wtf("HookDetection", "Xposed JAR found: " + library);

}

}

reader.close();

}

catch (Exception e) {

Log.wtf("HookDetection", e.toString());

}

Substrate会用到几个so:

#!bash

Substrate shared object found: /data/app-lib/com.saurik.substrate-1/libAndroidBootstrap0.so

Substrate shared object found: /data/app-lib/com.saurik.substrate-1/libAndroidCydia.cy.so

Substrate shared object found: /data/app-lib/com.saurik.substrate-1/libDalvikLoader.cy.so

Substrate shared object found: /data/app-lib/com.saurik.substrate-1/libsubstrate.so

Substrate shared object found: /data/app-lib/com.saurik.substrate-1/libsubstrate-dvm.so

Substrate shared object found: /data/app-lib/com.saurik.substrate-1/libAndroidLoader.so

Xposed会用到一个Jar:

#!bash

Xposed JAR found: /data/data/de.robv.android.xposed.installer/bin/XposedBridge.jar

0x05 绕过检测的方法

上面讨论了几个anti-hooking的方法,不过相信也会有人提出绕过的方法,这里对应每个检测方法如下:

hook PackageManager的getInstalledApplications,把Xposed或者Substrate的包名去掉

hook Exception的getStackTrace,把自己的方法去掉

android框架 xposed

majunzhu

majunzhu

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

在你的Android手机上创建和运行Python应用

使用 Termux 和 Flask 在你的移动设备上创建、开发和运行一个网页应用。学习和使用 Python 是很有趣的。想象一下,只需一个 Android 移动设备和开源工具,就可以构建和运行一个 Python 应用,无论是开发一个命令行工具从互联网上获

huavhuahua 2020-09-05

adb命令

被软件开发工程师用于为特定的软件包、软件框架、硬件平台、操作系统等建立应用软件的开发工具的集合。Android SDK 指的是Android专属的软件开发工具包。3 、在系统变量path中添加 ; %ANDROID_HOME. 3 、在系统变量path加

magic00 2020-08-03

个人技术总结---Android前端界面框架搭建

学习该技术的原因,技术的难点在哪里。编写Android前端界面,搭建基本框架让app界面更加美观。由于本次软件定义为Android方向,所以Android前端界面搭建美观就很重要,在初期考虑使用框架搭建还是自己打的时候,我们在网上查了很多有关Android

风萧萧梦潇 2020-06-14

谷歌正在“放弃”Android 11

就在昨天,谷歌宣布原定于6月3日召开的Android 11 Beta版发布会将延期举办,安卓团队在推特上表示“这不是一个该庆祝的时候”,但也补充道,Android 11的发布并不会拖延很长时间。这场发布会的延期是可见的,黑人弗洛伊德死亡引发的抗议活动,已

jiejie 2020-06-02

ANDROID缓存机制&一个缓存框架推荐

ACache类似于SharedPreferences,但是比SharedPreferences功能更加强大,SharedPreferences只能保存一些基本数据类型、Serializable、Bundle等数据,普通的字符串、JsonObject、Jso

pengjin 2020-05-14

(转)Android框架之路——EventBus的使用

EventBus是一个Android端优化的publish/subscribe消息总线,简化了应用程序内各组件间、组件与后台线程间的通信。比如请求网络,等网络返回时通过Handler或Broadcast通知UI,两个Fragment之间需要通过Listen

kururunga 2020-05-07

华为Android三面成功通过,面试官都问了什么?

2020年的春招太难了,很多小伙伴说不知道怎样才能顺利通过面试,明明这些技术性问题自己也清楚,但是每次面试官问到的时候还是答不上来,再或者说,之前有学过这一类的,或者做过同类型的项目,但是就是很担心,不知道大厂到底问的一些什么问题,今天我就将我的经历整理出

fengyeezju 2020-04-26

Android连载6-碎片

1.碎片:是一种可以在嵌入在活动当中的UI片段,他能让程序更加合理和充分的利用大屏幕空间,因为在平板电脑上应用的非常广泛。

sgafdsg 2020-04-20

Android 多线程技术哪家强?

今天我想先说一个英文单词,叫Trade Off。中文翻译过来可以说叫权衡,妥协,但是这么干巴巴的翻译可能不能体现这个词的牛逼之处,我来举个例子。比如迪丽热巴和谢娜同时追求我,虽然迪丽热巴颜值更高,但是考虑到谢娜在湖南台的地位以及和她在一起之后能给我带来的

PrisonJoker 2020-04-16

飞凌干货丨OK-xx18 Android实时时钟框架介绍

RTC实时时钟为操作系统提供了一个可靠的时间,并且在断电的情况下,RTC实时时钟也可以通过电池供电,一直运行下去。本文以OK-4418-C为例,介绍在Android实时时钟框架。板子上电以后,内核驱动会初始化rtc芯片rx8010,并生成/dev/rtc0

fengyeezju 2020-04-07

Android中网络框架的简单封装

Android作为一款主要应用在移动终端的操作系统,访问网络是必不可少的功能。访问网络,最基本的接口有:HttpUrlConnection,HttpClient,而在后续的发展中,出现了Volley,OkHttp,Retrofit等网络封装库。由于各种原因

hqulyc 2020-03-05

GUI的基本组成----Android GWES之基本原理篇

我这里的GWES这个术语实际上从Microsoft 的Window上移植过来的,用GWES来表示Android的窗口事件系统不是那么准确,在Android中Window是个弱化了的概念,更多的表现在View这个概念上。在很大程度上,Android的View

fengyeezju 2020-02-09

Android 的UI基础布局的学习

    一、  今天学习了Android 的UI基础布局的部分,绝大多数的布局都在Androidstudio的这个界面里,如下:。      UI布局共有三种方法,xml文件进行布局,java编译进行布局,xml+java同时布局;      xml文件布

fengyeezju 2020-02-02

敢问路在何方?Android原生开发现状剖析

Android原生开发的生态一直在不断地发展变化,过去5年从事android开发的经历让我深刻的体会到了这一点。每隔2到3年,谷歌就会发布一些的新的开发指导建议、libraries、frameworks,我花了很多时间来认真审查这些变化并从中找出可能存在的

Urchindong 2020-01-21

Android的四大组件及Activity 的生命周期 及五种布局

Activity: 是Android与用户交互的窗口,Service: 后台服务于Activity , 封装有一个完整的逻辑功能,Content Provider : 是Android 提供的第三方应用数据的访问方案,创建activity时调用 , 设置在

fengyeezju 2020-01-11

上拉更新,下拉刷新

如果第一次进入没有刷新那没就没有刷新时间那就用现在获取到的 否则就需要用现在获取到的时间和上次刷新的时间做减法算出上次是什么时间刷新的

csdnuuu 2020-01-10

Android studio 使用 ImageView 加载 gif 文件

使用一个开源的图片加载和缓存的第三方框架 Android Glide 。将 jar 包放进 libs 文件夹中,再导进工程中。是为了适应屏幕,充满整个屏幕,android:scaleType 还有很多其他取值。

绿豆饼 2020-01-05

Android 调起系统相机拍照

最近在看 nanChen 写的图片选择器 ImagePicker,感觉写得很不错,也打算把从中学到的东西写下来。很多时候,遇到一个好的框架能够降低开发成本这是好事。但是也要去了解其内部具体实现逻辑,说不定哪天你需要完成一个类似的小功能,你知道原理就能快速写

csdnuuu 2019-12-27

Android示例应用:开源框架Glide的使用

创建RecyclerView的每个item的布局?GankFragment.java主要的显示逻辑如下:

pengjin 2019-12-25

Android校招:一位双非本科拿到了头条,小米,京东的offer

今天分享一位应届毕业生的校招面经,大家可以看看查漏补缺。谢谢那些曾经帮助过我的人。很多忘记了,能回忆起来的就尽量写多一些。虽然 Android 没有前几年火热了,已经过去了会四大组件就能找到高薪职位的时代了。

pengjin 2019-12-21
majunzhu

majunzhu

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号