導(dǎo)語: 在逆向分析android App過程中,我們時(shí)常用的用的Java層hook框架就是Xposed Hook框架了。一些應(yīng)用程序廠商為了保護(hù)自家android App不被Xposed Hook框架給hook。于是想盡各種方法檢測自己產(chǎn)品是否被Xposed Hook給Hook。筆者最近逆向分析阿里系的產(chǎn)品,發(fā)現(xiàn)阿里系的產(chǎn)品能夠檢測自否給Xposed Hook了。本文就帶領(lǐng)給位一起看看官阿里系產(chǎn)品是如何做的這一點(diǎn)的,本文就選擇阿里的支付寶作為我們分析對象。檢測現(xiàn)象:1. 編寫一個(gè)簡單的支付寶的Xposed hook 模塊, 模塊代碼如下:
2.安裝XPosed hook mo模塊,重啟設(shè)備,打開支付寶,就會看到如下一個(gè)對話框:非法操作的,你的手機(jī)不安全。這說明支付寶檢測自己被Hook了。
分析過程:0.分析工具和分析對象樣本:Alipay_wap_main_10.0.18 工具:Androidkiller, JEB2.2.7源碼:XPosed 框架源碼 1. 為了快速找到代碼Xposed的檢測代碼位置,我們就不從對話框作為分析入口啦,我們直接使用androidKiller打開文件Alipay_wap_main_10.0.18.apk, 然后在工程中搜索xposed相關(guān)的關(guān)鍵字,例如:xposed
根據(jù)搜索結(jié)果,我們找到看了兩個(gè)security相關(guān)的類。我們使用JEB工具對這兩個(gè)類進(jìn)行分析,我們暫且分析CheckInject類。
我們看到這里獲得通過反射獲得一個(gè)類de.robv.android.xposed.XposedHelpers 的一個(gè)對象,于是我們可以確認(rèn)發(fā)現(xiàn)代碼就這里。 3. 由于Smali代碼是經(jīng)過混淆的代碼,不便于讀者閱讀,于是筆者將代碼整理如下: 
通過反射獲取de.robv.android.xposed.XposedHelpers類的一個(gè)對象obXposedHelper,然后調(diào)用CheckKeywordInFiled 檢測obXposedHelper成員fieldCache,methodCache,constructorCache是否有支付寶包的關(guān)鍵字,CheckInject.CheckKeywordInFiled, 這個(gè)函數(shù)代碼 。筆者也這個(gè)函數(shù)整理如下:
fieldCache, methodCache,constructorCache然是XposedHelpers的靜態(tài)成員,類型是HashMap<String, Field>
通過反射遍歷這些HashMap 緩存字段, 如字段項(xiàng)的key中包含支付寶的關(guān)鍵字"alipy" "taobao",等信息, 者認(rèn)為是檢測有Xposed 注入 4.我們來繼續(xù)分析Xposed hook框架是如何將hook信息存儲到fieldCache,methodCache,constructorCache這些緩存字段當(dāng)中的(我們需要下載XPosed 源碼分析,github有下載)。我們最通常調(diào)用findAndHookMethod 函數(shù)hook一個(gè)函數(shù), 所以我們分析這個(gè)函數(shù),函數(shù)代碼如下:
這個(gè)函數(shù)我們暫時(shí)還無法看到存儲相關(guān)的代碼,這個(gè)主要實(shí)現(xiàn)依賴函數(shù)findMethodExact, 于是我們繼續(xù)分析
我們發(fā)現(xiàn) methodCache.put(fullMethodName, e); 將方法名和方法Method 存儲在方法緩存中嗎。 5.CheckInject類類中除了有XPosed 檢測, 還有SO注入檢測機(jī)制的代碼和手機(jī)檢測是否Root的代碼。筆者也將這些代碼整理分享給各位看官:● Root檢測代碼如下
檢測依據(jù)是:獲取default.prop 中文件ro.secure的值1 且 /system/bin/ 或者/system/xbin 有su程序可認(rèn)定程序被root了 ● So注入檢測由于實(shí)現(xiàn)比較簡單,就不貼代碼,直接闡述原理吧。SO注入檢測原理:讀取當(dāng)前進(jìn)程的maps文件, 遍歷每一行, 是否進(jìn)程中使用so名中包含關(guān)鍵"hack|inject|hook|call" 的信息,“hack|inject|hook|call” 字符信息使用Base64加密, 如下:
分析結(jié)論和安全建議:結(jié)論:1.支付寶的Xposed hook 檢測原理: Xposed Hook 框架將Hook信息存儲在fieldCache, methodCache,constructorCache 中, 利用java 反射機(jī)制獲取這些信息,檢測Hook信息中是否含有支付寶App中敏感的方法,字段,構(gòu)造方法。2.支付寶的SO檢測原理: 檢測進(jìn)程中使用so名中包含關(guān)鍵"hack|inject|hook|call" 的信息。3.支付寶的Root檢測: 是否含有su程序和ro.secure是否為1安全建議:像這些 "de.robv.android.xposed.XposedHelpers","fieldCache","methodCache","constructorCache" 想這些敏感字符串信息可以進(jìn)行一些簡單加密。防止用戶直接根據(jù)關(guān)鍵字搜索找到關(guān)鍵函數(shù)。同時(shí)對dex相關(guān)內(nèi)容進(jìn)行加密,DEX加密之后反編譯的難度大大增加,這里支持下朋友公司幾維安全的APK加密產(chǎn)品,歡迎大家體驗(yàn)他們的移動加密產(chǎn)品
| 
