magisk检测
检测方式为:
1.遍历maps文件,找到app_process模块的内存,遍历app_process内存,查找magisk和MAGISK字符串。
2.从给定的变量v282开始,进行栈残留检查,从当前位置检查至栈底,查找magisk和MAGISK字符串。
3.在/proc/self/mounts文件中查找magisk字符串
检查模拟器
检查方法为遍历maps文件,查找是否存在:
lib3btrans.so,libhoudini.so,/lib/arm/nb/libc.so,/lib64/arm64/nb/libc.so
检测xposed
在maps文件里检查XposedBridge.jar字符串:
对debug的检测
主要是打开/proc/self/status检查Tracerpid。
对frida的检测
检查task,fd里有没有gum-js-loop,frida-gadget,frida-agent,linjector-等字符串: