android 一键新机，改机概述 xposed 改机缺点

目前，android系统的一键新机，改机模块（应用变量，008，深海等）基本上都是基于xposed框架。先安装xposed框架，再安装改机APP。本文以Xposed框架的实现原理总结此方法改机的缺点：

Xposed框架实现Hook的原理介绍: Zygote进程是 Android 的核心，每运行一个 app，Zygote 就会 fork 一个虚拟机实例来运行 app。Zygote 的启动配置在/init.rc 脚本中，由系统启动的时候开启此进程，对应的执行文件是/system/bin/app_process，这个文件完成类库加载及一些函数调用的工作。当系统中安装了 Xposed 框架 之后，会对 app_process 进行扩展，也就是说，Xposed 框架会拿自己实现的 app_process 覆盖掉 Android 原生提供的 app_process 文件，当系统启动的时候，就会加载由 Xposed Framework 替换过的进程文件。类似于切面编程，当调用java层android接口时，Xposed在接口层下实现一个hook, 如beforeHookedMethod和afterHookedMethod(在调用android JAVA方法前和后实现一个自定义的hook method)

从以上的原理简介看：

 

1. Xposed需要替换/system/bin/app_process，因此需要手机获得root权限；
2. Xposed 实现的hook在java层，只能修改通过JAVA层获取的设备参数。
3. 手机需要安装XposedInstaller.apk； 
4. xposed 是切面编程，对于每一次的JAVA调用，都会执行Xposed的hook函数，对系统性能有较大影响。

对于刷流量，刷广告或者各种养号来说，手机是否root，获取设备参数的不一致都严重影响到转化率，甚至最近常常被秒封号。

手机root的检测：

1） 虽然xposed 有RootCloak（Root隐藏），称能够让针对特定的APP，将设备已经ROOT了的这个特征隐藏起来，从而达到在ROOT的情况下继续使用这些APP的目的。这也只是xposed的一厢情愿而已。对于专业的第三方检查工具或者大型的游戏公司一般都有专门的反作弊研究人员，对于此类型的Root隐藏很容易便能检测出来。

 对于RootCloak功能，以及其它的root隐藏功能原理都差不多: 首先需要选择对那个APP隐藏root,  其次需要枚举出所有可能检测系统root功能的地方加入hook函数以欺骗app,  如当检测root的APP执行shell 命令 system/bin/su时，返回此命令不存在，以此来欺骗app系统没有su命令。 对于检测APP来说，检测的点很多，而且检测APP随时再更新。而root隐藏功能必须在检测的每个点设置hook,而且随时跟进app的更新而变化，只要溜掉一个点，隐藏就失败了。 root隐藏是盾，只是被动的防御；检测app是矛。检测的矛总是变换着刺向不同位置，总会有一次盾会防御失败。 

 要能隐藏root功能，除非系统本就是没有root，否则很难防御。

2）xposed 是对虚拟机的hook,  xposed只修改了通过JAVA层获取的设备参数，java层获取设备信息只是android标准的获取方式，还有多种获取设备信息的方法，专业的检查工具通常会通过jni调用，同时在native 层做设备检查， xposed 对这一层的操作无能为力。或者通过设备属性获取，xposed也是没有办法修改。检测不同方式获取设备信息的一致性，凭此一点便可判断是否修改设备。如此不完整的修改还不如不改。

 大型公司和专业的检测工具公司，专门一群人天天研究怎么反作弊，反伪装，你懂的他们更精通。是否有办法完美伪装和改机呢，理论上有，因为设备在自己手中。