[原创] 关于牛头人(nativeTest)的Found Injection(4)的检测-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创] 关于牛头人(nativeTest)的Found Injection(4)的检测

发表于: 2025-4-23 01:20 4801

[原创] 关于牛头人(nativeTest)的Found Injection(4)的检测

无味

2025-4-23 01:20

4801

原由

上一篇关于NativeBridge注入的检测和隐藏 NativeBridge注入后，牛头人还是会显示"Found Injection(4)"
这不得行，先测试：

禁用riru和LSPosed, 正常
随意resetprop ro.dalvik.vm.native.bridge xx后am restart, Found Injection(4)
resetprop为0后正常
得出，检测逻辑应该和上一篇文章一样，只是内存中还有一个特征驻留了。

解决

从头阅读源码，果然找到一个点。AndroidRuntime::addOption
图片描述
 Vector<JavaVMOption> mOptions;

看一下属性的内存位置：

在AndroidRumtime的指针+8(point length)的位置
AndroidRuntime的指针可以通过AndroidRuntime::getRuntime获取
写个小jni测试一下：

logcat

可以看出， Vecrot的结构还在，但值的指针大部分都是野指针，牛头人应该是通过size判断，因为如果加了NativeBridge后会多一个参数。
指针知道了，那这次直接上CE，上传好·ceserver·后，执行su -c ceserver_arm64, 电脑连接上
图片描述
不管了，清零：

启动后奔溃，应该是mOptions->array()不能为nullprt, 指向一个空白区域，正好下面有一块：

再次测试

难道不是？？
其实不然，牛头人应该是同时检测了webview_zygote

用同样方式改一下：

好了再改一上篇说的NativeBridgeError， found Injection(4)没了

结语

牛头人不愧是native的测试，都是内存检测, Futile Hide(8)是我用的一个调试模块导致，正式应该环境不会出现，但Abnomal Environment应该解决一下，而且安装LSPlosed还是会出现Found Inject，等有空搞。睡......

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

最后于 2025-4-23 01:26 被无味编辑，原因：格式

#逆向分析 #其他

收藏・24

免费・14

支持

最新回复 (12)
无味雪币： 79 活跃值： (564) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 38 粉丝 40 关注私信	无味 2 楼我与牛头人不共戴天，点赞评论多的话，我一个一个解决它(当然是解决我能解决的)，并写出过过程。 2025-4-23 01:32 3
珍惜Any 雪币： 4960 活跃值： (14952) 能力值： ( LV9，RANK：230 ) 在线值：发帖 30 回帖 423 粉丝 1449 关注私信	珍惜Any 3 3 楼 hunter 615版本可以看看最后于 2025-4-23 10:48 被珍惜Any编辑，原因： 2025-4-23 10:28 1
无味雪币： 79 活跃值： (564) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 38 粉丝 40 关注私信	无味 4 楼珍惜Any hunter 615版本可以看看 6.1.5升级就闪退, 但6.1.1没问题, 只是bl锁我暂时没管, LSPosed注入了 2025-4-23 11:24 0
珍惜Any 雪币： 4960 活跃值： (14952) 能力值： ( LV9，RANK：230 ) 在线值：发帖 30 回帖 423 粉丝 1449 关注私信	珍惜Any 3 5 楼无味 6.1.5升级就闪退, 但6.1.1没问题, 只是bl锁我暂时没管, LSPosed注入了 github有下载地址。621K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6%4x3U0V1$3y4o6R3^5x3K6t1H3i4K6u0r3d9s2g2F1N6r3g2J5g2i4m8V1j5i4c8W2 2025-4-23 16:07 0
无味雪币： 79 活跃值： (564) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 38 粉丝 40 关注私信	无味 6 楼珍惜Any github有下载地址。925K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6%4x3U0V1$3y4o6R3^5x3K6t1H3i4K6u0r3d9s2g2F1N6r3g2J5g2i4m8V1j5i4c8W2 加了一个odex校验, 应该和`native detector`不一样的方式, 有空研究下 2025-4-23 16:32 0
珍惜Any 雪币： 4960 活跃值： (14952) 能力值： ( LV9，RANK：230 ) 在线值：发帖 30 回帖 423 粉丝 1449 关注私信	珍惜Any 3 7 楼无味加了一个odex校验, 应该和`native detector`不一样的方式, 有空研究下这个是两个文件的inode不一样，跟奇怪。如果没hook理论上不可能存在这个问题的。 2025-4-23 16:36 0
无味雪币： 79 活跃值： (564) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 38 粉丝 40 关注私信	无味 8 楼 hook了呀, lsposed直接注入了的, 不过我多打开几次又没了, 好奇怪. 最后于 2025-4-23 16:43 被无味编辑，原因： 2025-4-23 16:41 0
mb_kgsesxqm 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	mb_kgsesxqm 9 楼无味我与牛头人不共戴天[em_065]，点赞评论多的话，我一个一个解决它([em_065]当然是解决我能解决的[em_065])，并写出过过程。小哥哥，看好你哦 2025-4-23 18:37 0
无味雪币： 79 活跃值： (564) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 38 粉丝 40 关注私信	无味 10 楼珍惜Any 这个是两个文件的inode不一样，跟奇怪。如果没hook理论上不可能存在这个问题的。破案了，是我改odex引起的： https://bbs.kanxue.com/thread-286498.htm 最后于 2025-4-24 01:30 被无味编辑，原因： 2025-4-24 01:29 0
你瞒我瞒雪币： 2860 活跃值： (11724) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 267 粉丝 7 关注私信	你瞒我瞒 11 楼 Abnomal Environment这个是什么异常，好模糊 2025-4-24 09:40 0
无味雪币： 79 活跃值： (564) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 38 粉丝 40 关注私信	无味 12 楼你瞒我瞒 Abnomal Environment这个是什么异常，好模糊应该是和magisk(apatch/ksu之类的)有关, 刚刷上机就报. 2025-4-24 10:32 0
lookaside 雪币： 84 活跃值： (2563) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 56 粉丝 0 关注私信	lookaside 13 楼牛头人怎么知道原始size的大小？ 2025-5-26 17:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

无味

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (12)
无味雪币： 79 活跃值： (564) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 38 粉丝 40 关注私信	无味 2 楼我与牛头人不共戴天，点赞评论多的话，我一个一个解决它(当然是解决我能解决的)，并写出过过程。 2025-4-23 01:32 3
珍惜Any 雪币： 4960 活跃值： (14952) 能力值： ( LV9，RANK：230 ) 在线值：发帖 30 回帖 423 粉丝 1449 关注私信	珍惜Any 3 3 楼 hunter 615版本可以看看最后于 2025-4-23 10:48 被珍惜Any编辑，原因： 2025-4-23 10:28 1
无味雪币： 79 活跃值： (564) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 38 粉丝 40 关注私信	无味 4 楼珍惜Any hunter 615版本可以看看 6.1.5升级就闪退, 但6.1.1没问题, 只是bl锁我暂时没管, LSPosed注入了 2025-4-23 11:24 0
珍惜Any 雪币： 4960 活跃值： (14952) 能力值： ( LV9，RANK：230 ) 在线值：发帖 30 回帖 423 粉丝 1449 关注私信	珍惜Any 3 5 楼无味 6.1.5升级就闪退, 但6.1.1没问题, 只是bl锁我暂时没管, LSPosed注入了 github有下载地址。621K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6%4x3U0V1$3y4o6R3^5x3K6t1H3i4K6u0r3d9s2g2F1N6r3g2J5g2i4m8V1j5i4c8W2 2025-4-23 16:07 0
无味雪币： 79 活跃值： (564) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 38 粉丝 40 关注私信	无味 6 楼珍惜Any github有下载地址。925K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6%4x3U0V1$3y4o6R3^5x3K6t1H3i4K6u0r3d9s2g2F1N6r3g2J5g2i4m8V1j5i4c8W2 加了一个odex校验, 应该和`native detector`不一样的方式, 有空研究下 2025-4-23 16:32 0
珍惜Any 雪币： 4960 活跃值： (14952) 能力值： ( LV9，RANK：230 ) 在线值：发帖 30 回帖 423 粉丝 1449 关注私信	珍惜Any 3 7 楼无味加了一个odex校验, 应该和`native detector`不一样的方式, 有空研究下这个是两个文件的inode不一样，跟奇怪。如果没hook理论上不可能存在这个问题的。 2025-4-23 16:36 0
无味雪币： 79 活跃值： (564) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 38 粉丝 40 关注私信	无味 8 楼 hook了呀, lsposed直接注入了的, 不过我多打开几次又没了, 好奇怪. 最后于 2025-4-23 16:43 被无味编辑，原因： 2025-4-23 16:41 0
mb_kgsesxqm 雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	mb_kgsesxqm 9 楼无味我与牛头人不共戴天[em_065]，点赞评论多的话，我一个一个解决它([em_065]当然是解决我能解决的[em_065])，并写出过过程。小哥哥，看好你哦 2025-4-23 18:37 0
无味雪币： 79 活跃值： (564) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 38 粉丝 40 关注私信	无味 10 楼珍惜Any 这个是两个文件的inode不一样，跟奇怪。如果没hook理论上不可能存在这个问题的。破案了，是我改odex引起的： https://bbs.kanxue.com/thread-286498.htm 最后于 2025-4-24 01:30 被无味编辑，原因： 2025-4-24 01:29 0
你瞒我瞒雪币： 2860 活跃值： (11724) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 267 粉丝 7 关注私信	你瞒我瞒 11 楼 Abnomal Environment这个是什么异常，好模糊 2025-4-24 09:40 0
无味雪币： 79 活跃值： (564) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 38 粉丝 40 关注私信	无味 12 楼你瞒我瞒 Abnomal Environment这个是什么异常，好模糊应该是和magisk(apatch/ksu之类的)有关, 刚刷上机就报. 2025-4-24 10:32 0
lookaside 雪币： 84 活跃值： (2563) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 56 粉丝 0 关注私信	lookaside 13 楼牛头人怎么知道原始size的大小？ 2025-5-26 17:34 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复