为了学习先进经验,最近研究了下某宝,我在越狱手机上注册手机账号直接被冻结了。然后是砸壳,IDA查找,frida来hook函数,charles抓包。发现了 监测文件 函数 NSFileManager fileExistsAtPath,别的检测越狱其他方法一个也没找到。不知道某宝用什么检测方法,实在是没啥方向了,在这里请教各路大神,拜谢!
你确定只是监测越狱? 一切作弊行为皆可作为业务特征来风控你。
我感觉单纯越狱,不该影响使用吧。除非产品有病。
老号什么问题也没有,一切正常使用。
新注册的就不行的。
1 个赞
libcapi - open, access…
syscall…
sysctl…
supervisor call…
dyld…
注入检测…
环境变量…
本地端口…
…
太多了
2 个赞
老用户有正常用户的交易行为,拉低了风控检测中越狱等危险的占比。
1 个赞
就是告诉你
1,检测了行为(看看每次发送了啥东西过去了,记得有堆栈内容)
2,后台有黑盒规则,你需要养号-顺便测试后台策略
3,具体的检测。。。。不就那么多么
(文件-检测文件是否存在,权限-检测是否能打开某某某或者能干某某事,以及端口-看看有木有本地某些端口(工具需要的…),工具检测-(这个就是逆向相关用到的工具),行为只会上报,本地检测行为,就太蠢了,所以,数据的上报,你要分析)
3 个赞
学习了,再继续研究。
检测堆栈,这个真没注意过,貌似查找监测点,没啥通用方法吧,感觉只能从■■的数据反向查找检测点吧。
[quote=“yangyss, post:6, topic:20255”]
看看每次发送了啥东西过去了,记得有堆栈内容)
2,后台有黑盒规则,你需要养号-顺便测试后台策略
3,具体的检测。。。。不就那么多么
(文件-检测文件是否存在,权限-检测是否能打开某某某或者能干某某事,以及端口-看看有木有本地某些端口(工具需要的…),工具检测-(这个
[/quote
堆栈聚合
hook分析估计没什么用 必须把大部分代码解密 字符串解密才可能知道 STATCK这个不太可能 你如果不用HOOK他是不是检测不出来啊
堆栈检测,可以反hook,反frida。除了解密,代码也被混淆了,只看输入和输出很多地方看不出来意义。
Ali系的应该不会用stack跟踪技术 因为他的主要函数调用都是命令队列回调方式 跟踪stack没有意义 你这个越狱分析只能全部代码数据解密后分析才可能找到线索 不过应该不太麻烦 毕竟你不是要逆向算法