检测非法键盘hook_反越狱检测解读
抖音系列检测很严格 包括ker fish 等类型的hook 还有签名, 非法模块, 以及非官方dylib检测都有做,想要过汇编语言学一点了……
1、iOS App运行的步骤为:
用户点击App启动
-> load(各种framework和dylib, 包含MobileLoader加载dylib) ->main()-> UIApplicationMain -> AppDelegate -> UIWindow -> ViewControllers -> View...
2、占得先机hook检测函数
对于App厂商而言,App越狱检测可能出现在main或以后的任何环节,
为了掌控一切,占得先机很有必要。
经过实测,发现+[NSObject load]中进行hook居然比dylib的入口函数还快!
static __attribute__((constructor)) void _logosLocalInit() { // TODO: printf("DYLIB START RUNNING.");}
那么,猜想+[NSObject load] hook 可以占得先机。
3、测试
部分代码如下:
+ (void)load{ staticdispatch_once_t once; dispatch_once(&once, ^{ rebind_symbols((structrebinding[9]){ {"fork", replaced_fork, (void*)&original_fork}, {"stat", replaced_stat, (void*)&original_stat}, {"access", replaced_access, (void*)&original_access}, {"fopen", replaced_fopen, (void*)&original_fopen}, {"dlopen", replaced_dlopen, (void*)&original_dlopen}, {"dladdr", replaced_dladdr, (void*)&original_dladdr}, {"dlsym", replaced_dlsym, (void*)&original_dlsym}, {"dlopen_preflight", replaced_dlopen_preflight, (void*)&original_dlopen_preflight}, {"dyld_get_image_name", replaced_dyld_get_image_name, (void*)&original_dyld_get_image_name} },9); printf("NSObject load RUNNING."); });}
判断手机越狱的几种方式:
通过手机越狱后增加的越狱文件判断
// 通过越狱后增加的越狱文件判断 class func isContainJailBreakFiles() -> Bool { let files = [ "/Applications/Cydia.app", "/Applications/limera1n.app", "/Applications/greenpois0n.app", "/Applications/blackra1n.app", "/Applications/blacksn0w.app", "/Applications/redsn0w.app", "/Applications/Absinthe.app", "/Library/MobileSubstrate/MobileSubstrate.dylib", "/bin/bash", "/usr/sbin/sshd", "/etc/apt", "/private/var/lib/apt/" ] for file in files { if FileManager.default.fileExists(atPath: file) { return true } } return false
根据是否能打开cydia判断
/// 根据是否能打开cydia判断
class func canOpenCydia() -> Bool { if let url = URL(string: "cydia://") { return UIApplication.shared.canOpenURL(url) } else { return false }}
3.根据是否能获取所有应用的名称判断,没有越狱的设备是没有读取所有应用名称的权限的
/// 读取应用列表
class func canGetApplicationList() -> Bool { guard FileManager.default.fileExists(atPath: "/User/Applications/") else { return false } do { let appList = try FileManager.default.contentsOfDirectory(atPath: "/User/Applications/") return !appList.isEmpty } catch { print("get app list error \(error)") return false }}
4.根据使用stat方法来判断cydia是否存在来判断
攻击者可能会 hook NSFileManager 的方法,那么,你可以回避 NSFileManager,使用 stat 系列函数检测 Cydia 等工具.
bool checkCydia() { struct stat stat_info; return 0 == stat("/Applications/Cydia.app", &stat_info);}
攻击者可能会利用 Fishhook 原理 hook 了 stat。
那么,你可以看看 stat 是不是出自系统库,有没有被攻击者换掉
bool checkInject() {int ret ;Dl_info dylib_info;char *dylib_name = "/usr/lib/system/libsystem_kernel.dylib";int (*func_stat)(const char *, struct stat *) = stat;if ((ret = dladdr(func_stat, &dylib_info))) { printf("lib :%s", dylib_info.dli_fname); return strcmp(dylib_info.dli_fname, dylib_name) != 0; }return false;}
检索一下应用程序是否被链接了异常动态库
通常情况下,会包含越狱机的输出结果会包含字符串:
Library/MobileSubstrate/MobileSubstrate.dylib
bool checkDylibs() {uint32_t count = _dyld_image_count();for (uint32_t i = 0 ; i < count; ++i) { if (strcmp(_dyld_get_image_name(i), "Library/MobileSubstrate/MobileSubstrate.dylib") == 0) { return true; }}return false;}
通过检测当前程序运行的环境变量
攻击者可能会给 MobileSubstrate 改名,但是原理都是通过 DYLD_INSERT_LIBRARIES注入动态库。
bool checkEnv() { char *env = getenv("DYLD_INSERT_LIBRARIES"); return env != nil; }
检测非法键盘hook_反越狱检测解读相关推荐
- APPLE越狱软件测试,iOS的越狱检测和反越狱检测剖析
iOS的越狱检测和反越狱检测原理剖析 为什么要检测越狱?因为越狱后会大幅降低安全性.对于一些金融类的APP或者游戏类的,因为监管原因.资金安全问题,甚至防止使用越狱分析等,需要进行检测.不过其实越狱与 ...
- 越狱检测/越狱检测绕过
越狱检测/越狱检测绕过--xCon 一直忽略了越狱检测与越狱检测绕过的问题,因为我认为在app争抢装机率的环境下,是不会在乎对方的设备越狱与否的.但很显然,我忽略了一个问题,app在设计的时候或许会依 ...
- 越狱检测/越狱检测绕过—xCon
http://www.freebuf.com/articles/wireless/6318.html 一直忽略了越狱检测与越狱检测绕过的问题,因为我认为在app争抢装机率的环境下,是不会在乎对方的设备 ...
- 越狱检测/越狱检测绕过——xCon
原文http://blog.csdn.net/zkdemon/article/details/8242064 越狱检测/越狱检测绕过--xCon 一直忽略了越狱检测与越狱检测绕过的问题,因为我认为在a ...
- iOS安全防护---越狱检测、二次打包检测、反调试
最近在调研越狱设备的检测.防止APP被二次打包.防止反调试以及逆向工程,调研期间做了大量的测试来验证方案的可行性,花费了很多时间.所以,在此将调研结果总结一下,供大家参考. 一.越狱环境下,提高App ...
- android 反调试 方案,Android Native反调试—检测TracerPid值
8种机械键盘轴体对比 本人程序员,要买一个写代码的键盘,请问红轴和茶轴怎么选? /proc/$pid/status中显示程序的pid等信息,程序正常运行时TracerPid为0.程序被调试后,Trac ...
- 【待继续研究】如何运用机器学习技术构建可行的反欺诈检测方案?
反欺诈方向的实际应用很多,我有做过保险业反欺诈和零售快消业的欺诈检测,抛砖引玉的谈谈反欺诈项目的"道"和"术". 1.背景 - 为什么反欺诈检测难度很高? 反欺 ...
- 处理veh调试器检测_越狱检测抖音逻辑???
对于应用安全甲方一般会在这三个方面做防御.按逻辑分类的话应该应该分为这几类, 但如果从实现原理的话, 应该分为两类, 用API实现的 和 不用API实现的(这说的不用 API 实现, 不是指换成 in ...
- ios最新防越狱检测插件_-一份从零开始的iOS插件分享-
最近我分享了很多关于越狱的插件,在这个文里我会一步一步告诉大家我是如何实现的. 在前面各位需要了解的是,这一切都建立在越狱之上,得益于P大以及众多大佬的努力,目前所有的iOS设备都可以越狱,并且使用极 ...
最新文章
- jQuery选择器之可见性过滤选择器
- Ubuntu16.04 搭建SVN服务器(建立版本仓及import和checkout代码)
- javascript 网页设计 怎么在同一位置显示几张不同的图片(图片自动变换)
- ML之xgboost:绘制xgboost的二叉树graphviz的两种方法代码实现
- Mybatis拦截器 mysql load data local 内存流处理
- 腾讯Angel成世界顶级AI项目!中国首个从LF AI基金会的毕业项目
- cf1555D. Say No to Palindromes
- javascript面向对象5
- php 参数 只用一次,php中,用函数,如果有很多个参数,只使用最后一个参数,有什么优雅的写法?...
- app软件测试是否强制升级_这些测试方法对于任何软件都必须是强制性的
- 常用验证函数isset()/empty()/is_numeric()函数
- 洛谷P1079 Vigenère 密码
- 71. MVC 改进
- 思维转换感悟与区块链视频资料分享
- BC26 电信IOT平台 MCU软件升级
- 分享一个电脑截动图的软件LICEcap
- 声纹识别demo_科学网—声纹识别、说话人识别软件,SPEAKER v0.1 - 石自强的博文...
- 河南中睿保险中介系统环境升级配置纪录
- 深度学习(8)-NLP(词嵌入,嵌入矩阵,词向量,情绪分类,偏见问题)
- 如何查看电脑里的隐藏文件?