Xposed 反检测

前段时候微信封禁了一大批使用 xposed 的微信账号，对一些运营微信的企业造成的巨大损失。下面我们聊聊 xposed 的检测机制。

市面上 xposed 的检测手段一般包含如下几种方法

1. XposedInstaller 检测；
2. Java 层检测是否安装 xposed 组件；
3. 堆栈信息检测 xposed 相关信息；
4. 检测关键方法是否是 native 方法；（只能检测出是否 hook, 但是不能检测 hook 手段）
5. 直接调用 /system/framework/XpsedBridge.jar 内部的方法来验证;
6. 查看 /system/bin/ 、/system/lib/、/system/lib64/、内部是否存在 xposed 相关文件；
7. 查看 app 内部加载库列表是否存在不正常的 so 库；（验证文件 /proc/self/maps 内容）；
8. 检测关键方法的特征码；
9. 其他未知的方法

针对以上的检测方法，可以针对性的隐藏掉 xposed 的关键特征：

1. 替换 XposedInstall 包名；
2. 隐藏 XposedBridge.jar（替换包名和自身名字）；
3. 隐藏包含 xposed 名字特征的文件；
4. 隐藏掉 lib_xposed_art.so 、lib_xposed_dalvik.so 等 xposed 特征；
5. 隐藏掉 xposed.prop 文件

有兴趣可以加 wx 聊 ： hunter-688