V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
exiahan
V2EX  ›  Android

扯一下这两天比较火的 Xposed/SU Detect

  •  2
     
  •   exiahan · 2018-06-17 21:49:24 +08:00 · 13660 次点击
    这是一个创建于 2356 天前的主题,其中的信息可能已经有所发展或是发生改变。

    先说明我感觉 xposed 肯定是要用的,因为 Google 本身对 Android 权限管理放水严重,没有 xposed 和 root 那基本上国内 Android 就没法用了。

    先说一个不好的结论:

    如果这玩意真想检测,方法很多,而且基本上大部分方法都和读取 Package List 无关,所以你们给不给这个权限它一样是可以 detect 出来。所以这次如果确实是针对 xposed 进行处理的话,没被 ban 只能说运气好。

    1. Xposed 这个玩意到底怎么工作,稍微看过 android 源码,搞过 Framework 的或者看过 xposed 源码的应该都清楚。你刷到手机里后是替换了系统文件的,造成的结果是 xposed 本身永久存于每个 app 的 runtime 虚拟机里(成为虚拟机组件的一部分),所以实际上想检测 xposed 完全不需要去读你有没有安装管理器,在自身环境里做做手脚就好了,而且方法很多,可以从 java 层搞,也能从 native 层搞。。。
    2. root 类似,在有些设备上甚至于只要摸一下你 /system/sbin , /sbin 看看你这俩目录下面有没有 su 就 ok,当然并不是全部的设备都能这样去测有无 root,但是依然有其他方法检测。

    PS:就目前来说,检测方法里面有很多是 module anti 不了的,要完全躲过去可能要改源码自己 Build ROM。所以如果真的 Ban Xposed 话那就只能买个备机专门伺候国内老流氓们了。。

    PPS: 刚刚看到了这个帖子 https://www.v2ex.com/t/463769,在这里说一下,刚刚稍微看了下,不要装,这玩意有恶意行为,内部混淆代码且会搞你的 狗 dong,XBao 之类的 app (看球中。。。晚点时间给个分析说明下为啥认为有恶意。不过如果看了我上面说的两点,大家应该都能明白基本上没有通用方法防检测了哈。不过我记得 ADUI 自己是有集成一个修改版的 Xposed 的?如果是的话,ADUI 用户群这么大,应该会给 ADUI 开口子吧,这样以后说不定可以用这个口子来绕过)

    37 条回复    2018-06-20 20:36:53 +08:00
    ohmyzsh
        1
    ohmyzsh  
       2018-06-17 21:55:29 +08:00
    很 nice 的科普!
    snail1988
        2
    snail1988  
       2018-06-17 22:09:56 +08:00
    我也同意 只要微信想封 xp,那就没得跑
    我还是用我的 iPhone 吧
    winterbells
        3
    winterbells  
       2018-06-17 22:14:34 +08:00
    每次打开应用都能看到 xp 报的一堆错。。所以能读 log 就能检测
    Mexion
        4
    Mexion  
       2018-06-17 22:15:44 +08:00
    暂时还没被封,继续用,腾讯想封就封了
    liangzi
        5
    liangzi  
       2018-06-17 22:19:45 +08:00 via Android
    卸载 XP 了 本来就用个指纹 现在人心慌慌的。。。。。去小米体验店看看 625U 的机器 把这些流氓准备仍进去。。。
    tetora
        6
    tetora  
       2018-06-17 22:29:02 +08:00 via Android
    EFB 转发微信消息,他怎么流氓都不关我事
    imn1
        7
    imn1  
       2018-06-17 22:42:03 +08:00   ❤️ 6
    结论就一个
    要么做「守法公民」,守腾讯法
    要么不做腾讯公民
    二选一
    ysc3839
        8
    ysc3839  
       2018-06-17 22:43:42 +08:00
    请问一下 MagiskHide 也有办法检测吗?如果有的话是什么办法呢?
    8023lsy
        9
    8023lsy  
       2018-06-17 22:47:56 +08:00 via Android
    @tetora 这个不是说也容易被封么
    tetora
        10
    tetora  
       2018-06-17 22:53:50 +08:00 via Android
    @8023lsy 已经一个月了,没被封过,以后会不会封不知道
    8023lsy
        11
    8023lsy  
       2018-06-17 22:57:05 +08:00 via Android
    @tetora 以前也折腾过…各种出问题,就放弃了
    exiahan
        12
    exiahan  
    OP
       2018-06-17 23:21:56 +08:00
    @ysc3839 刚刚看了下 magiskHide 的源码,感觉扫尾工作做的挺全的,我暂时没想到怎么去在 hide 后检测 magisksu 是否存在。不过也可能是我水平菜,有方法但是我不知道。
    fetich
        13
    fetich  
       2018-06-17 23:25:18 +08:00
    @tetora 我这儿前几个版本存在自动登出的情况,请问你遇到过么?
    2Go
        14
    2Go  
       2018-06-17 23:59:31 +08:00 via Android
    这贴科普的很 ok,有点意思
    tetora
        15
    tetora  
       2018-06-18 00:00:37 +08:00 via Android
    @fetich 10.0.1 和 10.1.0 我都没这种情况,你可能是个案?
    leaves7i
        16
    leaves7i  
       2018-06-18 01:34:55 +08:00 via Android
    @ysc3839 tx 有足够动力的话,都可以被检测到(摊手)
    这些程序( xp 等等)都会有一定的漏洞或特征
    最好的方法还是物理隔离(备用机)(多系统可能也可以)
    yukiww233
        17
    yukiww233  
       2018-06-18 02:21:08 +08:00 via Android
    我也反编看了下。。
    那个模块里确实有劫持 jd/taobao 返利链接的相关代码
    不过应用里有个所谓“找券助手”的开关,所以应该只是一个默认打开的推广
    有没有其他私货就不知道了
    yukiww233
        18
    yukiww233  
       2018-06-18 03:02:35 +08:00   ❤️ 2
    觉得不太对劲,又仔细查了查,果然还是有猫腻
    inframe
        19
    inframe  
       2018-06-18 03:51:29 +08:00 via Android
    如果都修改 Android 源代码了,那使用 xposed 的必要性就不明显了,直接把 xposed 集成到系统里得了
    gmywq0392
        20
    gmywq0392  
       2018-06-18 05:32:27 +08:00 via Android
    还有的挖
    Mirage09
        21
    Mirage09  
       2018-06-18 06:53:34 +08:00 via iPhone
    @tetora EFB 腾讯要封也是很简单的事情,治本的做法就是脱离腾讯。很难,但是没有办法。
    Admin8012
        22
    Admin8012  
       2018-06-18 10:36:01 +08:00 via Android
    @tetora +1 就是梯子经常抽风 你有好梯子吗
    exiahan
        23
    exiahan  
    OP
       2018-06-18 13:10:49 +08:00 via Android
    @yukiww233 赞,你已经搞了,那我就不搞了,省事了 233~还是看球重要~
    hanqian
        24
    hanqian  
       2018-06-18 17:43:47 +08:00
    只 root 不可能封吧,root 用户应该不少,我记得 MIUI 开发版就自带 root
    fetich
        25
    fetich  
       2018-06-18 20:14:08 +08:00
    @tetora 版本号已经到 10 了?文档里仍然是 2.0.0b10
    tetora
        26
    tetora  
       2018-06-18 21:24:53 +08:00 via Android
    @fetich 说的是 bot 的版本
    tetora
        27
    tetora  
       2018-06-18 22:06:14 +08:00 via Android
    @fetich 刚刚发现和 python-telegram-bot 搞混了,尴尬
    mario85
        28
    mario85  
       2018-06-18 23:07:24 +08:00
    play 微信 6.6.2+systemless xposed v90.2b3 ,暂时没事
    有微信插件也有 xprivacylua,权限几乎全禁止,外加写轮眼禁用 tinker 热更新相关组件,rootcloak+magiskhide 限制 root
    神通再大,我不更新,你也没法把没有检测的代码变成有检测吧,希望是这样
    wwwxxxfr
        29
    wwwxxxfr  
       2018-06-18 23:52:54 +08:00
    @mario85 你错了,so 文件可以检测呀,你还需要破解 so,并不只是 smail 代码和热更新代码
    mario85
        30
    mario85  
       2018-06-18 23:59:33 +08:00
    @wwwxxxfr 你错了,既然旧版没有检测,那么即使 so 文件有检测逻辑,你也需要通过热更新来知道“腾讯公司决定检测了”这个信息,所以如果原始代码没有检测且禁止热更新的话,应该就可以避免
    以后的版本很可能会玩阴的,那基本上应该就像楼主说的没有固定的防检测方法。但是,我尽量不更新总行了吧,反正现在微信里已经没几个常联系了,收到这个消息之后把零钱全体现了,然后以后逐步停用微信就是了
    wwwxxxfr
        31
    wwwxxxfr  
       2018-06-19 07:04:02 +08:00
    @mario85 你又错了,so 文件完全可以一直在检测上报,只是没有封号而已。你的意思只是决定这个动作
    mario85
        32
    mario85  
       2018-06-19 11:06:36 +08:00
    @wwwxxxfr 你又错了,我的逻辑是建立在我至今仍未被封号的基础上。如果如你所说一直在检测上报,我的号应该立地 GG 了
    wwwxxxfr
        33
    wwwxxxfr  
       2018-06-19 12:03:07 +08:00
    @mario85 那不一定,即使是相同的状态,有的封号有的没封号,你怎么解释?
    wwwxxxfr
        34
    wwwxxxfr  
       2018-06-19 12:06:16 +08:00
    @mario85 不能说你的没封号就没有上报,你看一下酷安的评论下面,有多少没有封号的,有多少封号的,同样的环境,你就能理解了。
    ArimaKousei
        35
    ArimaKousei  
       2018-06-19 14:51:09 +08:00
    备机是需要的,以后工作了买个备机,注册微信工作用,免得只有一个微信加同事还得屏蔽朋友圈尴尬
    janus77
        36
    janus77  
       2018-06-19 15:45:01 +08:00
    老哥能不能稍微科普一下检测 xp 除了读取应用列表还有那些常规方法,java 层的。给个思路也许,想自己去研究一下
    wwwxxxfr
        37
    wwwxxxfr  
       2018-06-20 20:36:53 +08:00   ❤️ 1
    @janus77 参考 sudohide,同时 hook stacktrace
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1312 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 17:57 · PVG 01:57 · LAX 09:57 · JFK 12:57
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.