框架滥用导致的APP灰产破解攻击

          因为现在的手机我们知道已经发展到了安卓13,大部分的人也都开始使用安卓10以上的手机,所以插POS的无法在这样的我们普通所使用的这样的手机当中正常运行,但是 Windows提供了这样的一个虚拟的一个框架,也就指的是,在手机上运行的虚拟机,它可以实现在安卓10、安卓11等等这样的高版本的手机上,去开启windows虚拟机之后,然后去加加载X pose的框架的这样的一个机制,所以也就实现了X post可以在高版本手机上正常运行。

那X Pose的既然能够在高版本手机上进行正常运行的话,那黑灰产圈又通过XPOS去做什么?我们看一下XPOS插件的滥用,他是怎么滥用,我现在就举了两个比较有代表性的这样的工具,主要就是XPOS提供的一个插件,它可以通过Xpost去对加固后的APP进行脱壳,那算法助手又是干什么的?

我们在第二个图片当中可以看到,算法助手可以做一些拦截,它拦截什么?拦截像aes des之类的密钥,加密所使用的密钥,还有像防御x pose的这样的检测,防御root的检测等,把这样的检测也都拦截到,也就是说能够实现检测的绕过,也能够实现密钥的抓取,而且甚至还可以通过xps的一些插件可以实现虚拟的一些定位。那现在X POS的插件也是经常会在黑灰产圈当中被滥用,而达到这样的破解的目的。那我们再看一下第三个就是magazine的原理,那为什么提到了magic hide?

刚才我们说了magic是一个root的工具,但是有很多的加固的应用,它在加固的逻辑里面会进行root检测,那 root检测也就导致这样的APP没法在root环境下进行运行。那 Magic它提供一个root的hide的一个机制,也就是说可以绕过root的检测。我这个手机既被root了,然后也没法被加固后的APP正常检测到,那他当时是怎么做的,首先它有非常高的权限,这个守护进程可以对自己本身所 mount起来的这些关于麦吉斯的一些文件进行I mount。

换句话说,在p rock PID mountain的这样的一个文件当中,是无法查看到有关Madison这样的一些挂载信息,所以很多加固厂商会利用这样的一个原理去绕过这样的一个检测,在旧版本的match当中不会对这个 isolated process进行I want,所以就会产生一个isolated的这样process的这样的一个隔离进程。

分享: