【安卓软件】各种框架检测

内容均为采集!如内容有广告于本站无关

编辑搜图

注意

这只是用来检测你手机上是否存在Magisk、Riru、LSPosed等,并不能用来隐藏它们!如果要隐藏它们你可能还需要

 

目录

1:Magisk检测应用

2:应用列表检测器

3:Native_Detector

4:Momo

5:Riru_detector

 

Momo

此应用使用正确的方法检测 root 及 Xposed,但是目的并不是反对 root 或 Xposed。

编辑搜图

编辑搜图

通过公开检测方法,我们的目标是提高用户的知识水平,并且迫使社区做出正确的改进。 

 

为什么越来越多的应用开始检测 root(和 Xposed)?最大的原因是不正确使用 root(尤其是 Xposed)给它们带来了意外情况和安全问题。

 

我们作出以下倡议,这些变化旨在使非目标应用的环境完全不被修改。最终,将有利于整个 Android 生态体系。

 

1. 让 su 挂载到需要 root 的应用上,而不是所有应用。或者,使用无需 su 可执行程序的超级用户实现(例如 Sui)。

 

2. 杜绝关闭 SELinux 强制模式,只在必要时最小化添加允许规则。并且,不应添加来源为 untrusted_app 系列域的允许规则(目标域为 root 域时除外)。

 

3. 为了避免给无关应用带来问题,Xposed 必须只注入目标进程。杜绝不加分辨地注入所有应用。 

 

Magisk检测应用

Magisk Hide的核心是挂载命名空间,magiskd等待zygote子进程的挂载命名空间与父进程分离后,对子进程卸载所有Magisk挂载的内容。由于挂载命名空间的特性,卸载操作会影响这个子进程的子进程,但不会影响zygote。zygote是所有应用程序进程的父进程,如果zygote被Magisk Hide处理,所有应用都会丢失root。zygote启动新进程时有一个MountMode参数,当它是Zygote.MOUNT_EXTERNAL_NONE时,新进程不挂载存储空间,也就没有挂载命名空间分离步骤。

编辑搜图

符合的情况有两种,一个是应用appops的读取存储空间op为忽略,一个是该进程为隔离进程。前者应用本身无法操作,后者自Android4.1开始支持。另外,隔离进程还有一个有趣的特性,就是随机UID,它每次运行时的UID都不一样。这个有趣的特性导致了在检测挂载命名空间之前,Magisk Hide就跳过了这个进程,不会处理它。

 

检测Magisk模块

Magisk模块虽然能在文件系统上隐藏,但修改内容已经载入进程内存,检查进程的maps就能发现。maps显示的数据包含载入文件所在的设备。Magisk模块会导致某些文件的路径在system分区或vendor分区,但显示的设备位置却是data分区。

 

检测MagiskSU

正常情况下,应用不能连接不是自己建立的socket,但Magisk修改了SELinux。所有应用都能连接magisk域的socket。每个Magisk的su进程都会建立一个socket,尝试连接所有socket,没有被SELinux拒绝的socket数量,就是su进程的数量。此检测方法可靠程度完全取决于SELinux规则的严格程度,Android版本太低或太高都会出问题。

 

测试SELinux政策

SU软件在修改SELinux政策时一定要注意以下原则,否则会留下安全漏洞和被检测的途径。

 

来源域和目标域,有一方是su程序自定义域,添加规则是安全的;

双方都是非应用程序域的,需要有合理且必要的原因;

有一方是应用域,添加规则非常危险。如果是来源域,应该拒绝添加。

检测init.rc修改

随机只有在无法遍历的情况下才有效。如果可以遍历,使用统计方法即可准确找出每次都不一样的东西。

 

应用列表检测器

应用列表隐藏的配套程序,用来检测隐藏效果是否可以

编辑搜图

Riru_detector

检测手机中是否存在Riru

编辑搜图

 

Native_Detector

检测是否存在zygisk

编辑搜图

 

如果你觉得不错可以分享给你的小伙伴

https://wonderfulapp.lanzoui.com/b0d2xovrg   密码  e4eg

作者:站长
世界都一样!风都一样!区别在于你跟谁
返回列表:玩机教程
上一篇:Magisk模块-神仙自动救砖-防冻版(玩机必备)
下一篇:没有了