Introduction

Is a protect Android App anti any attacks and environments.

可能会通过检测的方式来进行 anti，也有可能通过攻击手段的实现原理进行 anti。

Anti Frida

根据 frida 的实现细节来作出相应的 anti 对策。 frida 在 hook 的时候会对目标应用的 libc 进行获取，使用目标 libc 的 mmap 将自身的相关 so 注册到目标 maps 表中;再执行目标 libc 的 dlopen 和 dlsym 函数将自身 so 中的函数进行执行，从而实现了 hook 操作，详情请看： https://github.com/frida/frida-core/blob/8f6e88225b702d062ab581c905448b88384f6ab6/src/linux/frida-helper-backend-glue.c anti frida 的灵感也是来自于这里。就是将 mmap 一个只读的 libc 到 maps 表中，这样 frida 无法将继续拿到可执行的 libc 从而崩溃。能够有效针对https://github.com/hluwa/strongR-frida-android 此类项目的去掉特征。

Anti Frida只对 frida attach 模式攻击的对抗。

Anti Xposed/like Xposed

思路来源：

• https://blog.canyie.top/2021/05/01/anti-magisk-xposed/
• https://github.com/vvb2060/XposedDetector

  Anti Root

Anti Debug

Anti MemDump

思路来源：https://github.com/darvincisec/AntiDebugandMemoryDump

• 使用监视相关文件

更多详细内容，参考：https://s5rxx58djb.feishu.cn/docs/doccnEenEJJas6iQPjc83M0dLed

Anti Virtual App/Multi Run

Anti Virtual App

Virtual App 会在自己的文件系统中创建一个文件目录，通过这特点可以判断是否为 Virtual App，因为正常情况下，app 访问所有父目录都是不可读的。 思路来自：https://juejin.cn/post/6964673582924300296#heading-18

Anti Multi Run

思路来源：https://bbs.pediy.com/thread-255212.htm 基于 svc 来获得 app 的安装目录，防止被 hook（除内核层面）。

Anti Emulator

思路来源：https://bbs.pediy.com/thread-255672.htm

Thanks

• xCrash
• JNIHelper
• XposedDetector
• AntiDebugandMemoryDump