12下一页
返回列表 发新帖

关于腾讯乐固2.9.1.2版本Xposed反检测方法!

[复制链接]

14

主题

571

帖子

2596

积分

大学生

Rank: 5Rank: 5

金币
388
好评
3
贡献
0
发表于 2019-8-9 20:48:58 | 显示全部楼层 | 阅读模式
目前发现好多软件都在使用2.9.1.2这个版本的腾讯乐固加固,脱壳时软件在vxp里一直加载中或者闪退,没法用Fdex2脱壳!

打开加固的应用你会发现一个类,如下图,他就是检测xp环境的!

对于反检测,我试过好几款反检测软件,都没有效果,如xposed hider、GGtools、ANRC、zuper等都没有效果!

PS:检测是否有效果可以用酷安xposed checker这款软件!




它的原理如下图,主要是检测两个类,XposedBridge和XposedHelpers是否被加载!
写过xp插件的都知道,这是插件开发必用库。

  1. package com.tencent.StubShell;

  2. import java.lang.reflect.Field;

  3. public class XposedCheck {
  4.    private static final String XPOSED_BRIDGE = "de.robv.android.xposed.XposedBridge";
  5.    private static final String XPOSED_HELPERS = "de.robv.android.xposed.XposedHelpers";

  6.    private static boolean isXposedExistByThrow() {
  7.       try {
  8.          throw new Exception("exe xp");
  9.       } catch (Exception e) {
  10.          for (StackTraceElement className : e.getStackTrace()) {
  11.             if (className.getClassName().contains(XPOSED_BRIDGE)) {
  12.                return true;
  13.             }
  14.          }
  15.          return false;
  16.       }
  17.    }

  18.    private static boolean isXposedExists() {
  19.       try {
  20.          ClassLoader.getSystemClassLoader().loadClass(XPOSED_HELPERS).newInstance();
  21.          try {
  22.             ClassLoader.getSystemClassLoader().loadClass(XPOSED_BRIDGE).newInstance();
  23.             return true;
  24.          } catch (InstantiationException e) {
  25.             e.printStackTrace();
  26.             return true;
  27.          } catch (IllegalAccessException e2) {
  28.             e2.printStackTrace();
  29.             return true;
  30.          } catch (ClassNotFoundException e3) {
  31.             e3.printStackTrace();
  32.             return false;
  33.          }
  34.       } catch (InstantiationException e4) {
  35.          e4.printStackTrace();
  36.          return true;
  37.       } catch (IllegalAccessException e22) {
  38.          e22.printStackTrace();
  39.          return true;
  40.       } catch (ClassNotFoundException e32) {
  41.          e32.printStackTrace();
  42.          return false;
  43.       }
  44.    }

  45.    public static boolean tryShutdownXposed() {
  46.       if (!isXposedExistByThrow()) {
  47.          return true;
  48.       }
  49.       try {
  50.          Field declaredField = ClassLoader.getSystemClassLoader().loadClass(XPOSED_BRIDGE).getDeclaredField("disableHooks");
  51.          declaredField.setAccessible(true);
  52.          declaredField.set(null, Boolean.valueOf(true));
  53.          return true;
  54.       } catch (NoSuchFieldException e) {
  55.          e.printStackTrace();
  56.          return false;
  57.       } catch (ClassNotFoundException e2) {
  58.          e2.printStackTrace();
  59.          return false;
  60.       } catch (IllegalAccessException e3) {
  61.          e3.printStackTrace();
  62.          return false;
  63.       }
  64.    }
  65. }
复制代码


所以,我们只要把vxp和它的插件Fdex2里的这两个类给更换个名字,也就能绕开这个检测了。

此外有兴趣可以参考这里 https://www.jianshu.com/p/68b3f6bb0e32
自己写个反检测软件!

有个疑问:为什么通过虚拟大师+xp+反射大师的组合可以正常脱2.9.1.2的壳!
不是会检测到xp存在吗?

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
已有1人评分金币 理由
userr + 1 很给力!

查看全部评分 总评分:金币 +1 

回复

使用道具 举报

39

主题

1284

帖子

4638

积分

大学生

...

Rank: 5Rank: 5

金币
1250
好评
3
贡献
0

MT论坛帅哥考神MT论坛最佳新人

发表于 2019-8-9 21:03:23 来自手机  | 显示全部楼层
一楼
回复

使用道具 举报

8

主题

2056

帖子

7679

积分

硕士生

Rank: 6Rank: 6

金币
3705
好评
13
贡献
0

2018国庆快乐2018国庆节MT论坛帅哥考神

发表于 2019-8-9 21:08:17 来自手机  | 显示全部楼层
二楼
回复

使用道具 举报

12

主题

1871

帖子

4222

积分

大学生

Rank: 5Rank: 5

金币
1921
好评
1
贡献
0
发表于 2019-8-9 21:08:54 来自手机  | 显示全部楼层
默默地占了三楼
回复

使用道具 举报

60

主题

2295

帖子

9903

积分

硕士生

我爱学习

Rank: 6Rank: 6

金币
2528
好评
43
贡献
1

考神MT论坛帅哥MT论坛最佳新人MT论坛活跃会员

发表于 2019-8-9 21:11:00 来自手机  | 显示全部楼层
四楼
回复

使用道具 举报

4

主题

285

帖子

1443

积分

高中生

Rank: 4

金币
515
好评
1
贡献
0
发表于 2019-8-9 21:23:19 | 显示全部楼层
五楼                                 
回复

使用道具 举报

47

主题

1746

帖子

1万

积分

管理员

Rank: 9Rank: 9Rank: 9

金币
2709
好评
347
贡献
29

小明星MT论坛优秀版主MT论坛侠客2018MT论坛优秀成员MT论坛最佳新人MT论坛帅哥MT论坛活跃会员2019-5.1节快乐考神

QQ
发表于 2019-8-9 21:28:20 来自手机  | 显示全部楼层
证实 不检测xp 我root xp的手机 完美打开 dump
回复

使用道具 举报

1

主题

1180

帖子

2704

积分

大学生

Rank: 5Rank: 5

金币
505
好评
0
贡献
0
发表于 2019-8-9 21:36:44 来自手机  | 显示全部楼层
凑个热闹
回复

使用道具 举报

29

主题

5378

帖子

1万

积分

博士生

Rank: 7Rank: 7Rank: 7

金币
3986
好评
38
贡献
0

考神

发表于 2019-8-9 22:37:42 来自手机  | 显示全部楼层
学习一下
回复

使用道具 举报

278

主题

1万

帖子

3万

积分

版主

一个水怪

Rank: 7Rank: 7Rank: 7

金币
9493
好评
148
贡献
2

MT论坛灌水老大MT论坛最佳新人2019-5.1节快乐考神MT论坛侠客MT论坛活跃会员

发表于 2019-8-9 23:02:38 来自手机  | 显示全部楼层
其实吧xp换个包名就ok了
回复

使用道具 举报

14

主题

571

帖子

2596

积分

大学生

Rank: 5Rank: 5

金币
388
好评
3
贡献
0
发表于 2019-8-10 02:02:43 来自手机  | 显示全部楼层
尼斯湖水怪 发表于 2019-8-9 23:02
其实吧xp换个包名就ok了

要换检测的那个包名才可以,原理都是破坏检测特征!
回复

使用道具 举报

9

主题

812

帖子

2764

积分

大学生

Rank: 5Rank: 5

金币
1768
好评
0
贡献
0

考神

发表于 2019-8-10 03:37:31 来自手机  | 显示全部楼层
不错不错,今天刚搞一个app闪退,猜的就是检测xposed,但没具体研究,刚好又看到了这里
回复

使用道具 举报

278

主题

1万

帖子

3万

积分

版主

一个水怪

Rank: 7Rank: 7Rank: 7

金币
9493
好评
148
贡献
2

MT论坛灌水老大MT论坛最佳新人2019-5.1节快乐考神MT论坛侠客MT论坛活跃会员

发表于 2019-8-10 08:42:05 来自手机  | 显示全部楼层
hayden 发表于 2019-8-10 02:02
要换检测的那个包名才可以,原理都是破坏检测特征!

对呀,所以有些检测都是徒劳的
回复

使用道具 举报

130

主题

4626

帖子

1万

积分

版主

Rank: 7Rank: 7Rank: 7

金币
4250
好评
96
贡献
0

考神MT论坛活跃会员MT论坛侠客

发表于 2019-8-10 09:11:50 | 显示全部楼层
感谢分享
回复

使用道具 举报

85

主题

2305

帖子

1万

积分

博士生

校长

Rank: 7Rank: 7Rank: 7

金币
876
好评
93
贡献
0

MT论坛帅哥MT论坛最佳新人考神MT论坛活跃会员

发表于 2019-8-10 09:27:59 来自手机  | 显示全部楼层
虚拟大师+xp+反射大师的组合不可以正常脱2.9.1.2的壳,会少一个dex
回复

使用道具 举报

发表回复

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表