开发者社区> 问答> 正文

阿里系产品Xposed Hook检测机制原理分析

花儿17 2017-06-29 14:18:27 4524


导语:


[font="][size=; font-size: 10.5pt,10.5pt]在逆向分析[size=; font-size: 10.5pt,10.5pt]android App[size=; font-size: 10.5pt,10.5pt]过程中,我们时常用的用的[size=; font-size: 10.5pt,10.5pt]Java[size=; font-size: 10.5pt,10.5pt]层[size=; font-size: 10.5pt,10.5pt]hook[size=; font-size: 10.5pt,10.5pt]框架就是[size=; font-size: 10.5pt,10.5pt]Xposed Hook[size=; font-size: 10.5pt,10.5pt]框架了。一些应用程序厂商为了保护自家[size=; font-size: 10.5pt,10.5pt]android App[size=; font-size: 10.5pt,10.5pt]不被[size=; font-size: 10.5pt,10.5pt]Xposed Hook[size=; font-size: 10.5pt,10.5pt]框架给[size=; font-size: 10.5pt,10.5pt]hook[size=; font-size: 10.5pt,10.5pt]。于是想尽各种方法检测自己产品是否被[size=; font-size: 10.5pt,10.5pt]Xposed Hook[size=; font-size: 10.5pt,10.5pt]给[size=; font-size: 10.5pt,10.5pt]Hook[size=; font-size: 10.5pt,10.5pt]。笔者最近逆向分析阿里系的产品,发现阿里系的产品能够检测自否给[size=; font-size: 10.5pt,10.5pt]Xposed Hook[size=; font-size: 10.5pt,10.5pt]了。本文就带领给位一起看看官阿里系产品是如何做的这一点的,本文就选择阿里的支付宝作为我们分析对象。

检测现象:


[font="][size=; font-size: 10.5pt,10.5pt]1. [size=; font-size: 10.5pt,10.5pt]编写一个简单的支付宝的[size=; font-size: 10.5pt,10.5pt]Xposed hook [size=; font-size: 10.5pt,10.5pt]模块,[size=; font-size: 10.5pt,10.5pt] [size=; font-size: 10.5pt,10.5pt]模块代码如下:

[font="][size=; font-size: 10.5pt,10.5pt]2.[size=; font-size: 10.5pt,10.5pt]安装[size=; font-size: 10.5pt,10.5pt]XPosed hook mo[size=; font-size: 10.5pt,10.5pt]模块,重启设备,打开支付宝,就会看到如下一个对话框:非法操作的,你的手机不安全。这说明支付宝检测自己被[size=; font-size: 10.5pt,10.5pt]Hook[size=; font-size: 10.5pt,10.5pt]了。


分析过程:


[font="]0.分析工具和分析对象
[font="][size=; font-size: 10.5pt,10.5pt]样本:[size=; font-size: 10.5pt,10.5pt]Alipay_wap_main_10.0.18[size=; font-size: 10.5pt,10.5pt]
[font="][size=; font-size: 10.5pt,10.5pt]工具:[size=; font-size: 10.5pt,10.5pt]AndroidKiller, JEB2.2.7
[font="][size=; font-size: 10.5pt,10.5pt]源码:[size=; font-size: 10.5pt,10.5pt]XPosed [size=; font-size: 10.5pt,10.5pt]框架源码

[font="][size=; font-size: 10.5pt,10.5pt]1. [size=; font-size: 10.5pt,10.5pt]为了快速找到代码[size=; font-size: 10.5pt,10.5pt]Xposed[size=; font-size: 10.5pt,10.5pt]的检测代码位置,我们就不从对话框作为分析入口啦,我们直接使用[size=; font-size: 10.5pt,10.5pt]androidKiller[size=; font-size: 10.5pt,10.5pt]打开文件[size=; font-size: 10.5pt,10.5pt]Alipay_wap_main_10.0.18.apk, [size=; font-size: 10.5pt,10.5pt]然后在工程中搜索[size=; font-size: 10.5pt,10.5pt]xposed[size=; font-size: 10.5pt,10.5pt]相关的关键字,例如:[size=; font-size: 10.5pt,10.5pt]xposed
[size=; font-size: 12pt,12pt][font="]
[font="][size=; font-size: 10.5pt,10.5pt]根据搜索结果,我们找到看了两个[size=; font-size: 10.5pt,10.5pt]security[size=; font-size: 10.5pt,10.5pt]相关的类。我们使用[size=; font-size: 10.5pt,10.5pt]JEB[size=; font-size: 10.5pt,10.5pt]工具对这两个类进行分析,我们暂且分析[size=; font-size: 10.5pt,10.5pt]CheckInject[size=; font-size: 10.5pt,10.5pt]类。
[font="][size=; font-size: 12pt,12pt]
[font="][size=; font-size: 10.5pt,10.5pt]我们看到这里获得通过反射获得一个类[size=; font-size: 10.5pt,10.5pt]de.robv.android.xposed.XposedHelpers [size=; font-size: 10.5pt,10.5pt]的一个对象,于是我们可以确认发现代码就这里。[size=; font-size: 10.5pt,10.5pt]
[size=; font-size: 10.5pt,10.5pt][font="]
[font="][size=; font-size: 10.5pt,10.5pt]3. [size=; font-size: 10.5pt,10.5pt]由于[size=; font-size: 10.5pt,10.5pt]Smali[size=; font-size: 10.5pt,10.5pt]代码是经过混淆的代码,不便于读者阅读,于是笔者将代码整理如下:
[font="]
[font="]通过反射获取de.robv.android.xposed.XposedHelpers类的一个对象obXposedHelper,然后调用CheckKeywordInFiled 检测obXposedHelper成员fieldCache,methodCache,constructorCache是否有支付宝包的关键字,CheckInject.CheckKeywordInFiled, 这个函数代码 。笔者也这个函数整理如下:
[font="]
[font="][size=; font-size: 10.5pt,10.5pt]fieldCache, methodCache,constructorCache[size=; font-size: 10.5pt,10.5pt]然是[size=; font-size: 10.5pt,10.5pt]XposedHelpers[size=; font-size: 10.5pt,10.5pt]的静态成员,类型是[size=; font-size: 10.5pt,10.5pt]HashMap<String, Field>[font="]  
[font="]
[font="][size=; font-size: 10.5pt,10.5pt]通过反射遍历这些[size=; font-size: 10.5pt,10.5pt]HashMap [size=; font-size: 10.5pt,10.5pt]缓存字段, 如字段项的[size=; font-size: 10.5pt,10.5pt]key[size=; font-size: 10.5pt,10.5pt]中包含支付宝的关键字[size=; font-size: 10.5pt,10.5pt]"alipy" "taobao",[size=; font-size: 10.5pt,10.5pt]等信息, 者认为是检测有[size=; font-size: 10.5pt,10.5pt]Xposed [size=; font-size: 10.5pt,10.5pt]注入
[size=; font-size: 10.5pt,10.5pt][font="]
[font="][size=; font-size: 10.5pt,10.5pt]4.[size=; font-size: 10.5pt,10.5pt]我们来继续分析[size=; font-size: 10.5pt,10.5pt]Xposed hook[size=; font-size: 10.5pt,10.5pt]框架是如何将[size=; font-size: 10.5pt,10.5pt]hook[size=; font-size: 10.5pt,10.5pt]信息存储到[size=; font-size: 10.5pt,10.5pt]fieldCache,methodCache,constructorCache[size=; font-size: 10.5pt,10.5pt]这些缓存字段当中的(我们需要下载[size=; font-size: 10.5pt,10.5pt]XPosed [size=; font-size: 10.5pt,10.5pt]源码分析,[size=; font-size: 10.5pt,10.5pt]github[size=; font-size: 10.5pt,10.5pt]有下载)。我们最通常调用[size=; font-size: 10.5pt,10.5pt]findAndHookMethod [size=; font-size: 10.5pt,10.5pt]函数[size=; font-size: 10.5pt,10.5pt]hook[size=; font-size: 10.5pt,10.5pt]一个函数, 所以我们分析这个函数,函数代码如下:
[font="]
[font="][size=; font-size: 10.5pt,10.5pt]这个函数我们暂时还无法看到存储相关的代码,这个主要实现依赖函数[size=; font-size: 10.5pt,10.5pt]findMethodExact[size=; font-size: 10.5pt,10.5pt], 于是我们继续分析[size=; font-size: 10.5pt,10.5pt]
[font="][size=; font-size: 12pt,12pt]
[font="][size=; font-size: 10.5pt,10.5pt]我们发现[size=; font-size: 10.5pt,10.5pt] methodCache.put(fullMethodName, e);[size=; font-size: 10.5pt,10.5pt] [size=; font-size: 10.5pt,10.5pt]将方法名和方法[size=; font-size: 10.5pt,10.5pt]Method [size=; font-size: 10.5pt,10.5pt]存储在方法缓存中吗。
[size=; font-size: 10.5pt,10.5pt][font="]
[font="][size=; font-size: 10.5pt,10.5pt]5.[size=; font-size: 10.5pt,10.5pt]CheckInject[size=; font-size: 10.5pt,10.5pt]类类中除了有[size=; font-size: 10.5pt,10.5pt]XPosed [size=; font-size: 10.5pt,10.5pt]检测, 还有[size=; font-size: 10.5pt,10.5pt]SO[size=; font-size: 10.5pt,10.5pt]注入检测机制的代码和手机检测是否[size=; font-size: 10.5pt,10.5pt]Root[size=; font-size: 10.5pt,10.5pt]的代码。笔者也将这些代码整理分享给各位看官:
[font="][size=; font-size: 10.5pt,10.5pt]● [size=; font-size: 10.5pt,10.5pt]Root[size=; font-size: 10.5pt,10.5pt]检测代码如下
[font="]
[font="][size=; font-size: 10.5pt,10.5pt]检测依据是:[size=; font-size: 11pt,11pt]获取[size=; font-size: 11pt,11pt]default.prop [size=; font-size: 11pt,11pt]中文件[size=; font-size: 11pt,11pt]ro.secure[size=; font-size: 11pt,11pt]的值[size=; font-size: 11pt,11pt]1 [size=; font-size: 11pt,11pt]且 [size=; font-size: 11pt,11pt]/system/bin/ [size=; font-size: 11pt,11pt]或者[size=; font-size: 11pt,11pt]/system/xbin [size=; font-size: 11pt,11pt]有[size=; font-size: 11pt,11pt]su[size=; font-size: 11pt,11pt]程序可认定程序被[size=; font-size: 11pt,11pt]root[size=; font-size: 11pt,11pt]了
[size=; font-size: 10.5pt,10.5pt][font="]
[font="][size=; font-size: 10.5pt,10.5pt]● [size=; font-size: 10.5pt,10.5pt]So[size=; font-size: 10.5pt,10.5pt]注入检测
[font="][size=; font-size: 10.5pt,10.5pt]由于实现比较简单,就不贴代码,直接阐述原理吧。[size=; font-size: 10.5pt,10.5pt]SO[size=; font-size: 10.5pt,10.5pt]注入检测原理:读取当前进程的[size=; font-size: 10.5pt,10.5pt]maps[size=; font-size: 10.5pt,10.5pt]文件, 遍历每一行, 是否进程中使用[size=; font-size: 10.5pt,10.5pt]so[size=; font-size: 10.5pt,10.5pt]名中包含关键[size=; font-size: 10.5pt,10.5pt]"hack|inject|hook|call" [size=; font-size: 10.5pt,10.5pt]的信息,[size=; font-size: 10.5pt,10.5pt]“[size=; font-size: 10.5pt,10.5pt]hack|inject|hook|call[size=; font-size: 10.5pt,10.5pt]”[size=; font-size: 10.5pt,10.5pt] 字符信息使用[size=; font-size: 10.5pt,10.5pt]Base64[size=; font-size: 10.5pt,10.5pt]加密, 如下:
[font="]

分析结论和安全建议:


[size=; font-size: 10.5pt,10.5pt][font="]结论:
[font="][size=; font-size: 10.5pt,10.5pt]1.[size=; font-size: 10.5pt,10.5pt]支付宝的[size=; font-size: 10.5pt,10.5pt]Xposed hook [size=; font-size: 10.5pt,10.5pt]检测原理:[size=; font-size: 10.5pt,10.5pt] [size=; font-size: 10.5pt,10.5pt]Xposed Hook [size=; font-size: 10.5pt,10.5pt]框架将[size=; font-size: 10.5pt,10.5pt]Hook[size=; font-size: 10.5pt,10.5pt]信息存储在[size=; font-size: 10.5pt,10.5pt]fieldCache, methodCache,constructorCache[size=; font-size: 10.5pt,10.5pt] 中, 利用[size=; font-size: 10.5pt,10.5pt]java [size=; font-size: 10.5pt,10.5pt]反射机制获取这些信息,检测[size=; font-size: 10.5pt,10.5pt]Hook[size=; font-size: 10.5pt,10.5pt]信息中是否含有支付宝[size=; font-size: 10.5pt,10.5pt]App[size=; font-size: 10.5pt,10.5pt]中敏感的方法,字段,构造方法。
[font="][size=; font-size: 10.5pt,10.5pt]2.[size=; font-size: 10.5pt,10.5pt]支付宝的[size=; font-size: 10.5pt,10.5pt]SO[size=; font-size: 10.5pt,10.5pt]检测原理[size=; font-size: 10.5pt,10.5pt]: [size=; font-size: 10.5pt,10.5pt]检测进程中使用[size=; font-size: 10.5pt,10.5pt]so[size=; font-size: 10.5pt,10.5pt]名中包含关键[size=; font-size: 10.5pt,10.5pt]"hack|inject|hook|call" [size=; font-size: 10.5pt,10.5pt]的信息。
[font="][size=; font-size: 10.5pt,10.5pt]3.[size=; font-size: 10.5pt,10.5pt]支付宝的[size=; font-size: 10.5pt,10.5pt]Root[size=; font-size: 10.5pt,10.5pt]检测: 是否含有[size=; font-size: 10.5pt,10.5pt]su[size=; font-size: 10.5pt,10.5pt]程序和[size=; font-size: 11pt,11pt]ro.secure[size=; font-size: 11pt,11pt]是否为[size=; font-size: 11pt,11pt]1
[size=; font-size: 10.5pt,10.5pt][font="]安全建议:
[font="][size=; font-size: 10.5pt,10.5pt]像[size=; font-size: 10.5pt,10.5pt]这些 [size=; font-size: 10.5pt,10.5pt]"de.robv.android.xposed.XposedHelpers","fieldCache","methodCache","constructorCache" [size=; font-size: 10.5pt,10.5pt]想这些敏感字符串信息可以进行一些简单加密。防止用户直接根据关键字搜索找到关键函数。
[font="][size=; font-size: 10.5pt,10.5pt]同时对[size=; font-size: 10.5pt,10.5pt]dex[size=; font-size: 10.5pt,10.5pt]相关内容进行加密,[size=; font-size: 10.5pt,10.5pt]DEX[size=; font-size: 10.5pt,10.5pt]加密之后反编译的难度大大增加,这里支持下朋友公司几维安全的[size=; font-size: 10.5pt,10.5pt]APK[size=; font-size: 10.5pt,10.5pt]加密产品,欢迎大家体验他们的移动加密产品 kiwisec.com/product/compiler.shtml(选中打开链接,或者百度搜索:几维安全)
存储 缓存 安全 Java 数据安全/隐私保护 Android开发
分享到
取消 提交回答
全部回答(0)
+ 订阅

云安全开发者的大本营

推荐文章
相似问题