APP框架被滥用该如何进行防御

           第二个就是框架的抵抗,我们知道框架经常会被滥用,那我现在就针对第二点里面所提到的三种框架及双开框架,插入的环境以及max工具这三种进行这样的一个简单的讲解。双开框架它是因为在APP上运行双开工具之后,可以对微信或者是等等这样的一些应用进行双开,所以它既然运行在这样的一个双开环境当中,它肯定就会有与正常的系统所运行的APP的环境是不一样的。

那我们就可以通过特征检测,例如我们检测它是否运行在特征的这样的一些比较有代表性的这样的一个双开的环境当中,然后我们去检测它的签名,检测它这个 maps当中有没有特定的so文件,但是这种方法是比较有缺陷的,因为我可以通过改签名改特征,然后绕过检测。第二个就是路径检查,一般APP运行在双开环境当中,它的路径是跟系统APP正常系统当中所运行的apk的这个路径是有差别的。我们也可以通过路径审查,还有堆栈检测。

一般这个 APP的application被加载起来的时候,它的堆栈跟普通的应用加载起来,它的堆栈也是有区别的,我们也可以通过堆栈检测,还有max文件审查等等,那通过这样的方法,我们可以实现双开框架的检测,那还有这个X pose环境检测,X pose我们也可以通过各种各样的特征,堆栈当中是否有叉POS的这样的指纹,还有maps文件里面是否有关于X pose的这样的一些 so等等这样的一些特征特征库,特征库的这样的一些文件。

那 Match工具主要我们通过两种,第一个就是开启isolated process,然后在这里面,去查看max可能有没有被挂载上,那这种方式在最新版本的max里面已经失效了,所以我们可以通过在安卓10.0上所提供的这个 diagram,process的problem的这样的机制,single的problem是在非常早的这样的一个环境当中去可以加载一个so文件,这个so文件可以在麦斯格真正的启动之后,可以去检测有没有sku等之类的特征文件。

所以说这个在在go to process product也可以在安卓10以后对这个麦克斯统进行检测。

分享: