1、查验常见文件目录是不是存有su

2、APPthose命令查询是不是存有su

3、自动申请root权限

4、实行busybox

5、浏览私有化文件目录，如/user文件目录，查询读写能力权限

6、获取pack.verp中核心特性，如por.pack.tag标签和por.pack.typ

7、查验市场流行的模拟器

8、检验frida、xposed等Hook架构的特性

上边便是我梳理的各种各样APP流行的检验方式，现阶段看起来绝大部分的APP全是对上边好多个检验方式组合APP，乃至有很多只能完成当中的1项或二项。此外，上边的方式都没有包揽全部的机会，例如有一些APP还会继续检验“面具”或Superuser.apk等是不是存有来开展ROOT检验。

汇总而言，现阶段流行的ROOT检验便是对ROOT以后的手机特有的某些特性开展认证，如特性文档是不是存有、是不是存有越权、核心特性是不是被更改这些。

对ROOT设备的应急处置

检验到手机被ROOT以后怎样应急处置也是一个关键的问题，现阶段看起来主要是有2种应急处置方式：其中之一是发觉即催毁，说白了便是检验到ROOT设备以后不允许APP普通运行；此外1种则是容许APP运行，可是转换与后台管理网站服务器的互动。下面，我们对这2种应急处置方式开展简易的相对比较：

1、第一个应急处置，检验到ROOT设备以后怎样终止APP的运行？依据国家工信部的管控规定还没法马上让APP马上离开，因而目前通常的方法便是利用弹框、Toast等以文字说明提醒客户目前手机被root了存有安全风险，由客户选择是不是离开或延迟几秒后离开。我们可以看得出这类应急处置是将客户体验摆在了个相对性关键的部位，可是这并且也给网络攻击者提供了许多便捷。友好的文案提醒层面网络攻击者确定是开启了环境监测机制，进而专注绕过。不马上终止APP的运行，交给网络攻击者充足的时间去开展分析和注入，进而绕过APP的ROOT检验机制。

2、对第二类应急处置，针对网络攻击者而言没法马上定位到业务不成功的根本原因，机会要利用抓包软件分析，乃至自个猜想来定位，在相应水平上提升了网络攻击者的攻击费用和难度系数。可是这类应急处置也机会会错杀一小部分为了更好地多样化而将手机ROOT的普通客户，为了更好地降低错杀率，目前的APP也会开展某些特殊的应急处置。