求解,某宝用什么方法监测越狱的!

为了学习先进经验,最近研究了下某宝,我在越狱手机上注册手机账号直接被冻结了。然后是砸壳,IDA查找,frida来hook函数,charles抓包。发现了 监测文件 函数 NSFileManager fileExistsAtPath,别的检测越狱其他方法一个也没找到。不知道某宝用什么检测方法,实在是没啥方向了,在这里请教各路大神,拜谢!

你确定只是监测越狱? 一切作弊行为皆可作为业务特征来风控你。
我感觉单纯越狱,不该影响使用吧。除非产品有病。

老号什么问题也没有,一切正常使用。
新注册的就不行的。

1 个赞

libcapi - open, access…
syscall…
sysctl…
supervisor call…
dyld…
注入检测…
环境变量…
本地端口…

太多了

2 个赞

老用户有正常用户的交易行为,拉低了风控检测中越狱等危险的占比。

1 个赞

就是告诉你
1,检测了行为(看看每次发送了啥东西过去了,记得有堆栈内容)
2,后台有黑盒规则,你需要养号-顺便测试后台策略
3,具体的检测。。。。不就那么多么
(文件-检测文件是否存在,权限-检测是否能打开某某某或者能干某某事,以及端口-看看有木有本地某些端口(工具需要的…),工具检测-(这个就是逆向相关用到的工具),行为只会上报,本地检测行为,就太蠢了,所以,数据的上报,你要分析)

3 个赞

学习了,再继续研究。

检测堆栈,这个真没注意过,貌似查找监测点,没啥通用方法吧,感觉只能从■■的数据反向查找检测点吧。

[quote=“yangyss, post:6, topic:20255”]
看看每次发送了啥东西过去了,记得有堆栈内容)
2,后台有黑盒规则,你需要养号-顺便测试后台策略
3,具体的检测。。。。不就那么多么
(文件-检测文件是否存在,权限-检测是否能打开某某某或者能干某某事,以及端口-看看有木有本地某些端口(工具需要的…),工具检测-(这个
[/quote

堆栈聚合

hook分析估计没什么用 必须把大部分代码解密 字符串解密才可能知道 STATCK这个不太可能 你如果不用HOOK他是不是检测不出来啊

堆栈检测,可以反hook,反frida。除了解密,代码也被混淆了,只看输入和输出很多地方看不出来意义。

Ali系的应该不会用stack跟踪技术 因为他的主要函数调用都是命令队列回调方式 跟踪stack没有意义 你这个越狱分析只能全部代码数据解密后分析才可能找到线索 不过应该不太麻烦 毕竟你不是要逆向算法