-
-
[原创]关于NativeDetector中的检测到Umount
-
发表于: 2025-4-28 19:05
-
检测
Native Detector中能检测到:'/debug_rakdisk/.magisk/modules/xx/riru/lib64'
猜测
还是直接上ce搜索:
对一下区块, 最可疑的就是[anon:stack_and_tls:main]
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 | redmi:/ # cat /proc/1097/maps | grep 7a0777a076a0000-7a07768000 r--p 00000000 00:00 0 [anon:linker_alloc]7a07768000-7a07788000 r--s 00000000 00:11 13760 /dev/__properties__/u:object_r:vndk_prop:s07a07788000-7a0778b000 rw-p 00000000 00:00 0 [anon:bionic_alloc_small_objects]7a0778b000-7a0778d000 r--p 00041000 07:78 53 /apex/com.android.art/javalib/arm64/boot-core-icu4j.art7a0778d000-7a07791000 rw-p 00000000 00:00 0 [anon:bionic_alloc_small_objects]7a07791000-7a07792000 r--p 0001d000 07:78 56 /apex/com.android.art/javalib/arm64/boot-core-libart.art7a07792000-7a07794000 rw-p 00000000 00:00 0 [anon:bionic_alloc_small_objects]7a07794000-7a07795000 rw-p 00000000 00:00 0 [anon:bionic_alloc_lob]7a07795000-7a0779a000 rw-p 00000000 00:00 0 [anon:System property context nodes]7a0779a000-7a0779b000 ---p 00000000 00:00 0 7a0779b000-7a0779f000 rw-p 00000000 00:00 0 [anon:stack_and_tls:main]7a0779f000-7a077a0000 ---p 00000000 00:00 0 7a077a0000-7a077a4000 rw-p 00000000 00:00 0 [anon:bionic_alloc_small_objects]7a077a4000-7a077a5000 rw-p 00000000 00:00 0 [anon:ReadFileToBuffer]7a077a5000-7a077ab000 rw-p 00000000 00:00 0 [anon:bionic_alloc_small_objects]7a077ab000-7a0780f000 r--p 00000000 00:00 0 [anon:linker_alloc] |
找到内存区块后, 难道是通过哪个指针泄露的?
随便改点字符就没有了, 再下面随便复制一下是相同的字符串, 又能搜索到了, 证明只是通过[anon:stack_and_tls:main]的字符串/debug_ramdisk/.magisk/搜索
探索
这个指针是从哪来的呢?
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 | if (android_prop::GetApiLevel() >= __ANDROID_API_O__) { auto *dir = dirname(path); auto *ns = &__loader_android_create_namespace == nullptr ? nullptr : __loader_android_create_namespace(path, dir, nullptr, 2/*ANDROID_NAMESPACE_TYPE_SHARED*/, nullptr, nullptr, reinterpret_cast<void *>(&DlopenExt)); if (ns) { info.flags = ANDROID_DLEXT_USE_NAMESPACE; info.library_namespace = ns; LOGD("open %s with namespace %p, dir: %p", path, ns, dir); } else { LOGD("cannot create namespace for %s", path); } } |
就是android的DlopenExt方法里的, 当要__loader_android_create_namespace时会有一个dirname查询目录.
结论
可以在每次open之后直接清除这个字符串
1 2 | // 直接清除memset(dir, 0, strlen(dir)); |
也可以随便改一下关键字, 或者自己也搜索内存改下算了.
最后于 2025-4-29 09:55
被无味编辑
,原因: 优化
|
|
|---|---|
|
|
|
|
|
包名检测无意义,开源的直接改名,不开源的在android进程中hook packageManager |
|
|
|
|
|
android应用是通过Binder(aidl)向android(system_server)进程获取包名的,直接在内存中操作应该是没有办法的。 |
|
|
我怎么感觉这个是通过命令 检测data目录下包名是否存在是返回文件不存在还是permission denied? |
|
|
/data/data并不能判断,/data/app无法判断 |
|
|
以前可以隐藏,自己看了一些帖子,有人在隐藏应用列表中打开数据隔离可以 |
|
|
和安卓版本有很大关系, 再者包名的风险等级也算最低, 所以我认为检测包名无意义
最后于 2025-4-29 09:57
被无味编辑
,原因:
|
|
|
|
|
|
现在有部分软件已经把mt列为风险app,检查针对用户安装了什么app,然后认为用户有可疑,这个还是有在商业app上面这么搞。存在这么搞肯定有对抗的需求了。 
|
|
|
它怎么检测的?
最后于 2025-4-29 16:31
被hacker521编辑
,原因:
|
|
|
检测确实很厉害, 我对包名隐藏了解不多, 无能为力了 
|
|
|
你分析下 他so层的逻辑呀~ |
|
|
Ruru也能检测出来: bf0K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6T1P5i4S2A6j5h3!0J5N6h3&6Q4x3V1k6d9N6i4u0#2i4K6u0r3N6s2u0W2k6g2)9J5c8X3#2S2M7%4c8W2M7W2)9J5c8X3I4A6j5Y4u0S2M7Y4W2Q4x3V1k6K6M7X3y4Q4x3V1k6E0j5h3W2F1i4K6u0r3K9X3q4$3j5g2)9J5c8X3W2U0N6g2)9J5c8X3&6#2L8r3I4H3N6s2u0Q4x3V1k6S2M7s2m8D9K9i4y4@1k6r3g2@1k6h3y4@1L8%4t1`. |
|
|
Ruru没法检测隐藏应用列表 开启隐藏以后得,但是NativeDetector 会,你看我截图,懂? |
|
|
你自己研究研究吧, 我对隐藏应用没兴趣 |
