扯一下这两天比较火的 Xposed/SU Detect

2018-06-17 21:49:24 +08:00
 exiahan

先说明我感觉 xposed 肯定是要用的,因为 Google 本身对 Android 权限管理放水严重,没有 xposed 和 root 那基本上国内 Android 就没法用了。

先说一个不好的结论:

如果这玩意真想检测,方法很多,而且基本上大部分方法都和读取 Package List 无关,所以你们给不给这个权限它一样是可以 detect 出来。所以这次如果确实是针对 xposed 进行处理的话,没被 ban 只能说运气好。

  1. Xposed 这个玩意到底怎么工作,稍微看过 android 源码,搞过 Framework 的或者看过 xposed 源码的应该都清楚。你刷到手机里后是替换了系统文件的,造成的结果是 xposed 本身永久存于每个 app 的 runtime 虚拟机里(成为虚拟机组件的一部分),所以实际上想检测 xposed 完全不需要去读你有没有安装管理器,在自身环境里做做手脚就好了,而且方法很多,可以从 java 层搞,也能从 native 层搞。。。
  2. root 类似,在有些设备上甚至于只要摸一下你 /system/sbin , /sbin 看看你这俩目录下面有没有 su 就 ok,当然并不是全部的设备都能这样去测有无 root,但是依然有其他方法检测。

PS:就目前来说,检测方法里面有很多是 module anti 不了的,要完全躲过去可能要改源码自己 Build ROM。所以如果真的 Ban Xposed 话那就只能买个备机专门伺候国内老流氓们了。。

PPS: 刚刚看到了这个帖子 https://www.v2ex.com/t/463769,在这里说一下,刚刚稍微看了下,不要装,这玩意有恶意行为,内部混淆代码且会搞你的 狗 dong,XBao 之类的 app (看球中。。。晚点时间给个分析说明下为啥认为有恶意。不过如果看了我上面说的两点,大家应该都能明白基本上没有通用方法防检测了哈。不过我记得 ADUI 自己是有集成一个修改版的 Xposed 的?如果是的话,ADUI 用户群这么大,应该会给 ADUI 开口子吧,这样以后说不定可以用这个口子来绕过)

14175 次点击
所在节点    Android
37 条回复
ohmyzsh
2018-06-17 21:55:29 +08:00
很 nice 的科普!
snail1988
2018-06-17 22:09:56 +08:00
我也同意 只要微信想封 xp,那就没得跑
我还是用我的 iPhone 吧
winterbells
2018-06-17 22:14:34 +08:00
每次打开应用都能看到 xp 报的一堆错。。所以能读 log 就能检测
Mexion
2018-06-17 22:15:44 +08:00
暂时还没被封,继续用,腾讯想封就封了
liangzi
2018-06-17 22:19:45 +08:00
卸载 XP 了 本来就用个指纹 现在人心慌慌的。。。。。去小米体验店看看 625U 的机器 把这些流氓准备仍进去。。。
tetora
2018-06-17 22:29:02 +08:00
EFB 转发微信消息,他怎么流氓都不关我事
imn1
2018-06-17 22:42:03 +08:00
结论就一个
要么做「守法公民」,守腾讯法
要么不做腾讯公民
二选一
ysc3839
2018-06-17 22:43:42 +08:00
请问一下 MagiskHide 也有办法检测吗?如果有的话是什么办法呢?
8023lsy
2018-06-17 22:47:56 +08:00
@tetora 这个不是说也容易被封么
tetora
2018-06-17 22:53:50 +08:00
@8023lsy 已经一个月了,没被封过,以后会不会封不知道
8023lsy
2018-06-17 22:57:05 +08:00
@tetora 以前也折腾过…各种出问题,就放弃了
exiahan
2018-06-17 23:21:56 +08:00
@ysc3839 刚刚看了下 magiskHide 的源码,感觉扫尾工作做的挺全的,我暂时没想到怎么去在 hide 后检测 magisksu 是否存在。不过也可能是我水平菜,有方法但是我不知道。
fetich
2018-06-17 23:25:18 +08:00
@tetora 我这儿前几个版本存在自动登出的情况,请问你遇到过么?
2Go
2018-06-17 23:59:31 +08:00
这贴科普的很 ok,有点意思
tetora
2018-06-18 00:00:37 +08:00
@fetich 10.0.1 和 10.1.0 我都没这种情况,你可能是个案?
leaves7i
2018-06-18 01:34:55 +08:00
@ysc3839 tx 有足够动力的话,都可以被检测到(摊手)
这些程序( xp 等等)都会有一定的漏洞或特征
最好的方法还是物理隔离(备用机)(多系统可能也可以)
yukiww233
2018-06-18 02:21:08 +08:00
我也反编看了下。。
那个模块里确实有劫持 jd/taobao 返利链接的相关代码
不过应用里有个所谓“找券助手”的开关,所以应该只是一个默认打开的推广
有没有其他私货就不知道了
yukiww233
2018-06-18 03:02:35 +08:00
觉得不太对劲,又仔细查了查,果然还是有猫腻
inframe
2018-06-18 03:51:29 +08:00
如果都修改 Android 源代码了,那使用 xposed 的必要性就不明显了,直接把 xposed 集成到系统里得了
gmywq0392
2018-06-18 05:32:27 +08:00
还有的挖

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/463778

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX