最近一段时间一直在研究如何防止应用被 Xposed 劫持...
这个问题还真的头疼,目前已有的上Magisk Hide
、随机包名
、RootCloak
等反 Xposed 检测的措施已经非常成熟了。退一万步来说,就算找到了新的检测方案,检测方法本身也可能被劫持而失去作用。
经过三番五次的寻找和反复推敲,最终还是决定在Native
和Java
层同时实现检测,
于是就有了这个终极版解决方案,融合了目前能够通过反编译在各大应用中找到的 11 种检测方式。
目前已经在不同机型测试过,误杀率几乎为 0,可以完美检测市面上已有的各种版本 Xposed 。
(不包括Taichi一类的通过插入原生库到 APP 中的 Xposed 框架,这些框架只要加入签名验证就可以完美反制,检测无意义)
Github 地址在这里,欢迎使用: https://github.com/w568w/XposedDetectLib
你也可以在这里下载 GUI 版本,在自己手机上调试: https://www.coolapk.com/apk/190247
1
iFlicker 2020-08-09 10:08:09 +08:00 via Android
赞
|
2
hicdn 2020-08-09 10:33:18 +08:00 2
Xposed 安装后会导致 SafetyNet 检测不能通过,这个可以做为关键检测点。
|
3
7LilUM0c66MGtJTD 2020-08-09 10:35:42 +08:00
原来是两年不见诈尸更新了,不过还是赞
|
5
littiefish 2020-08-09 10:57:43 +08:00 via iPhone 45
禁止用 xp 的 APP 都被我卸载拉黑了
|
7
w568w OP @littiefish 我知道那些一用 Xposed 就闪退的 app 有多让人恼火,但是对个人开发者来说并不是这样...
如果你是个人开发者,并且有付费应用,除非你也想遭遇像这位老哥一样的处境: https://www.v2ex.com/t/696607 否则对于 Hook 这样的行为还是敏感点的好。倘若服务端身份验证没做好,被 Xposed 偷库闹出隐私问题,就更麻烦了。 毕竟,工具怎么用在于人,工具本身没有错。 |
8
luckycatio 2020-08-09 11:56:06 +08:00 via Android
@w568w 被用 xp 的人拉黑对开发者来说是好事吧,不必在意那些少得可怜的用户。
|
10
yongligua 2020-08-09 12:00:57 +08:00 via Android
我装 xp 只是为了状态栏能同时显示上行下行的网速…然而一些软件就不能用了,简直了
|
12
Lightbright 2020-08-09 12:09:59 +08:00 via Android
内核查找 xposed 链接库在我这里有误报
|
13
Kagari 2020-08-09 12:11:20 +08:00 via Android 2
“毕竟,工具怎么用在于人,工具本身没有错。”
毕竟,xp 怎么用在于人,xp 本身没有错。 |
14
Jirajine 2020-08-09 12:21:38 +08:00 via Android
@luckycatio @MePride
之前在 sof 上看到一个关于反破解的问题下面的回复,大概意思是:如果你到检测 root/xp 就禁止使用,那么对你的软件的破解就可以说是正当的,we won't blame them. |
15
c2const 2020-08-09 12:36:49 +08:00 via iPhone
攻防方面,硬钢就完事了,双方见招拆招。
|
16
azhangbing 2020-08-09 13:11:40 +08:00 via iPhone
赞 马克一下
|
17
canyie 2020-08-09 13:41:47 +08:00
@hicdn 我自己写了个叫梦境的框架(用 riru ),在我的 pixel3 ( android 10)上完美通过 safetynet 检测。
|
18
slamDunkLINk 2020-08-09 13:53:14 +08:00
我装 xp 也只是为了防止流氓应用,为什么不让用户本身选择呢?装了 xp 连应用都打不开真是太骚了.
|
19
w568w OP |
20
RiESA 2020-08-09 17:07:06 +08:00
防止被 Xposed 劫持修改 √
检测到 Xposed 就闪退或者禁止使用 × |
22
FlyPuff 2020-08-09 18:46:44 +08:00 via Android
看了下自己的机机,装了微 x/qx 围脖去广告,去启动页广告,还有个 miui 麻醉师~
我觉得大部分人都是用 xp 来给自己的手机提供(针对大部分流氓 app 行为)各种便利性的吧 |
23
lmslly 2020-08-09 22:09:23 +08:00
xp 已经不常用了 面具挺好的
|
24
greed1is9good 2020-08-09 23:13:00 +08:00 via Android
如果你的应用不耍流氓,你怕什么 xposed,既然你这么关心用户安全隐私那你应该去开发反流氓软件,而不是研究反反流氓。。。
|
25
wtdd 2020-08-10 02:15:23 +08:00
用 xposed 劫持小众软件干什么,很少人做的过分,基本就是干掉过分的广告而已。要针对性破解甚至复制的话,哪会用 xposed 呢
|
26
251 2020-08-10 03:03:37 +08:00 via Android
什么意思?我不能 hook 你这个方法,返回一个 false 吗
|
27
w568w OP @251 后面会考虑完全迁移到 Native C 部分。
@greed1is9good 你的关注点在用户隐私上,然而那只是一方面。首先 V 站个人开发者有一定比例,这一部分基本上不会太 care 用户隐私;另外大厂自有检测方案也轮不到我干预;所以我认为这个库的用途主要还是防破解。 @wtdd Xposed 提供了一种非侵入式修改代码的机会,这种机会无论放在哪里都是有风险的。不妨了解一下: https://www.zhihu.com/question/265550793 另外,用 xposed 脱壳 /破解已经是常规操作了。 |
28
canyie 2020-08-10 08:36:07 +08:00
|
29
Blanke 2020-08-10 09:29:01 +08:00
直接 hook detectXposed 返回 false 不就行了。。。
|
30
InkStone 2020-08-10 09:41:31 +08:00
其实这种程度的反制措施只能略微提高门槛,没法真正反制破解。
我大致看了下代码,你似乎没做针对 VirtualXposed 之类基于 VA 的 xposed 的对抗。 |
31
InkStone 2020-08-10 09:43:43 +08:00
你提到了太极,但这类 VA 软件跟太极不一样,是没法通过签名校验来对抗的。
而且除了 VA 之外,脱壳还可以用 frida 或者定制系统,只要脱了壳,在软件层面做的 xposed 对抗仍然是很容易绕过的。 |
32
zgzb 2020-08-10 10:02:29 +08:00
xposed 就是来造福人类的,都想避免 xposed 被检测,楼主搞了个强力检测的...,这是不给人卸载垃圾软件节省内存留余地啊。
|
33
lwlizhe 2020-08-10 10:02:55 +08:00
如果用 flutter 是不是会好很多,目前差不多也只能破解 native 层面的东西……
|
34
GeT1t 2020-08-10 10:12:12 +08:00
作为一个第三方 SDK 提供 XPOSED 闪退的开发者路过。
|
35
newmlp 2020-08-10 10:27:01 +08:00
hook 掉你的方法,然后返回 false
|
36
weishu 2020-08-10 14:11:03 +08:00
无法检测到魔改过的 Xposed,所以我觉得称不上终极方法。提个建议,检测 Xposed 的本质特征,而不是去看特定名字的 jar / so 或者符号。
|
37
qihehulian 2020-08-11 10:48:35 +08:00 via Android 1
@weishu 如果已经魔改了,那么已经不考虑兼容性了,为何不直接花式挂钩?例如用你的 epic 直接钩上即可,不考虑接口兼容性。检测 Xposed 其实是检测少数人里面的大多数,少数人里面的极少数没必要各种方案检测了。最好还是在业务逻辑里面做好安全,本身就不怕被修改。
|
38
weishu 2020-08-11 13:23:57 +08:00 1
@qihehulian 大多数普通用户用的都是公开的 Xposed,那些需要魔改的可以说绝大部分都是非正常用户。用这种方式去检测 Xposed,会误伤到普通人而真正作恶的却逍遥法外。我觉得魔改 Xposed 检测应该当作重点而不是把他们当作极少数置之不理。
|
39
hyperdak288 2020-08-13 14:34:57 +08:00
@weishu 那么 xposed 的本质特征可以从哪些方面来检测呢?
|
40
litaomn 2020-10-17 13:08:04 +08:00
一点用没有,定制版 xposed 直接秒杀
|
41
ko1haha 2022-01-03 18:09:40 +08:00
对某些人无语啦。你买的手机,需需要某些“正规”的功能,不去请求生产手机的人,反而要求其他发者给你买单、在安全和隐私方面为你让步、给 xp 和逆向开方便之门。
|