導(dǎo)語(yǔ): 在逆向分析android App過(guò)程中,我們時(shí)常用的用的Java層hook框架就是Xposed Hook框架了。一些應(yīng)用程序廠商為了保護(hù)自家android App不被Xposed Hook框架給hook。于是想盡各種方法檢測(cè)自己產(chǎn)品是否被Xposed Hook給Hook。筆者最近逆向分析阿里系的產(chǎn)品,發(fā)現(xiàn)阿里系的產(chǎn)品能夠檢測(cè)自否給Xposed Hook了。本文就帶領(lǐng)給位一起看看官阿里系產(chǎn)品是如何做的這一點(diǎn)的,本文就選擇阿里的支付寶作為我們分析對(duì)象。檢測(cè)現(xiàn)象:1. 編寫(xiě)一個(gè)簡(jiǎn)單的支付寶的Xposed hook 模塊, 模塊代碼如下:
2.安裝XPosed hook mo模塊,重啟設(shè)備,打開(kāi)支付寶,就會(huì)看到如下一個(gè)對(duì)話(huà)框:非法操作的,你的手機(jī)不安全。這說(shuō)明支付寶檢測(cè)自己被Hook了。
分析過(guò)程:0.分析工具和分析對(duì)象樣本:Alipay_wap_main_10.0.18 工具:Androidkiller, JEB2.2.7源碼:XPosed 框架源碼 1. 為了快速找到代碼Xposed的檢測(cè)代碼位置,我們就不從對(duì)話(huà)框作為分析入口啦,我們直接使用androidKiller打開(kāi)文件Alipay_wap_main_10.0.18.apk, 然后在工程中搜索xposed相關(guān)的關(guān)鍵字,例如:xposed
根據(jù)搜索結(jié)果,我們找到看了兩個(gè)security相關(guān)的類(lèi)。我們使用JEB工具對(duì)這兩個(gè)類(lèi)進(jìn)行分析,我們暫且分析CheckInject類(lèi)。
我們看到這里獲得通過(guò)反射獲得一個(gè)類(lèi)de.robv.android.xposed.XposedHelpers 的一個(gè)對(duì)象,于是我們可以確認(rèn)發(fā)現(xiàn)代碼就這里。 3. 由于Smali代碼是經(jīng)過(guò)混淆的代碼,不便于讀者閱讀,于是筆者將代碼整理如下: 
通過(guò)反射獲取de.robv.android.xposed.XposedHelpers類(lèi)的一個(gè)對(duì)象obXposedHelper,然后調(diào)用CheckKeywordInFiled 檢測(cè)obXposedHelper成員fieldCache,methodCache,constructorCache是否有支付寶包的關(guān)鍵字,CheckInject.CheckKeywordInFiled, 這個(gè)函數(shù)代碼 。筆者也這個(gè)函數(shù)整理如下:
fieldCache, methodCache,constructorCache然是XposedHelpers的靜態(tài)成員,類(lèi)型是HashMap<String, Field>
通過(guò)反射遍歷這些HashMap 緩存字段, 如字段項(xiàng)的key中包含支付寶的關(guān)鍵字"alipy" "taobao",等信息, 者認(rèn)為是檢測(cè)有Xposed 注入 4.我們來(lái)繼續(xù)分析Xposed hook框架是如何將hook信息存儲(chǔ)到fieldCache,methodCache,constructorCache這些緩存字段當(dāng)中的(我們需要下載XPosed 源碼分析,github有下載)。我們最通常調(diào)用findAndHookMethod 函數(shù)hook一個(gè)函數(shù), 所以我們分析這個(gè)函數(shù),函數(shù)代碼如下:
這個(gè)函數(shù)我們暫時(shí)還無(wú)法看到存儲(chǔ)相關(guān)的代碼,這個(gè)主要實(shí)現(xiàn)依賴(lài)函數(shù)findMethodExact, 于是我們繼續(xù)分析
我們發(fā)現(xiàn) methodCache.put(fullMethodName, e); 將方法名和方法Method 存儲(chǔ)在方法緩存中嗎。 5.CheckInject類(lèi)類(lèi)中除了有XPosed 檢測(cè), 還有SO注入檢測(cè)機(jī)制的代碼和手機(jī)檢測(cè)是否Root的代碼。筆者也將這些代碼整理分享給各位看官:● Root檢測(cè)代碼如下
檢測(cè)依據(jù)是:獲取default.prop 中文件ro.secure的值1 且 /system/bin/ 或者/system/xbin 有su程序可認(rèn)定程序被root了 ● So注入檢測(cè)由于實(shí)現(xiàn)比較簡(jiǎn)單,就不貼代碼,直接闡述原理吧。SO注入檢測(cè)原理:讀取當(dāng)前進(jìn)程的maps文件, 遍歷每一行, 是否進(jìn)程中使用so名中包含關(guān)鍵"hack|inject|hook|call" 的信息,“hack|inject|hook|call” 字符信息使用Base64加密, 如下:
分析結(jié)論和安全建議:結(jié)論:1.支付寶的Xposed hook 檢測(cè)原理: Xposed Hook 框架將Hook信息存儲(chǔ)在fieldCache, methodCache,constructorCache 中, 利用java 反射機(jī)制獲取這些信息,檢測(cè)Hook信息中是否含有支付寶App中敏感的方法,字段,構(gòu)造方法。2.支付寶的SO檢測(cè)原理: 檢測(cè)進(jìn)程中使用so名中包含關(guān)鍵"hack|inject|hook|call" 的信息。3.支付寶的Root檢測(cè): 是否含有su程序和ro.secure是否為1安全建議:像這些 "de.robv.android.xposed.XposedHelpers","fieldCache","methodCache","constructorCache" 想這些敏感字符串信息可以進(jìn)行一些簡(jiǎn)單加密。防止用戶(hù)直接根據(jù)關(guān)鍵字搜索找到關(guān)鍵函數(shù)。同時(shí)對(duì)dex相關(guān)內(nèi)容進(jìn)行加密,DEX加密之后反編譯的難度大大增加,這里支持下朋友公司幾維安全的APK加密產(chǎn)品,歡迎大家體驗(yàn)他們的移動(dòng)加密產(chǎn)品
| 
