Rover12421's Blog

The End.

检测Android沙盒

        Sandboxes沙盒有很多检查方法,比如IMSI,Emulate特殊进程,系统数据库特殊字段,等等,这些其实都是可以屏蔽和伪造的,在dexlabs看到一种比较好的方法,于是研究了下,效果还不错.

IAmEmulated

        左边是我自己的手机,右边是模拟器.
IAmEmulated4JS
        这张是金山火眼的测试图,哈哈,火眼也被检测出来了.
        其实过程并不顺利.那个ARM32的ASM代码弄的我都晕了,代码是很简单,一个是":"问题,Android编译总有错误,还有就是线程的问题,使用ASM的线程应为用了死循环,总是跳不除去,加sleep测试效果又没了,用pthread_detach,真机直接死球了,还只能拔电池重启,用pthread_join就卡在ASM线程的join里,原因是这个线程并没结束,真机的资源估计被消耗尽了.最后实在是没办法,直接把ASM去掉了,干脆用c代码替换,哈哈,和我猜想的一样,结果是同理的,比ASM安全多了,这下死循环也跳出去了.
       还有就是那个直方图(histogram),懒的找算法了,反正结果是个差距很大的值,随便给个临界值一比就出来了,从我的截图对比dexlabs的截图就会发现,我们的数字完全反了,*0)

       

Comments