使用dobbyhook,被检测了。

最近在研究一款app,这个app首先会加载一个防护framework,会检测越狱,重签名,注入等。

解决了上述这些问题后,使用dobby对系统函数open进行hook,hook成功立刻就被检测到了。

目前想法是把自己的代码在防护模块加载之前加载,然后对相应的检测代码做处理。请问大家像这种检测是如何检测到dobby这种inlinehook的?而且应该是全局函数都检测的

inlinehook检测函数头就可以了吧

那如何防止检测到呢

先搞明白到底是怎么检测的,再来研究怎么防检测

不用inline hook,用fishook或者用单指令hook 返回

知道怎么检测,才能对症下药,给你个代码参考

一般都是针对性的进行检测,有的app还会把对应api的被取样汇编代码上传服务器。

个人认为一种方案是是deep hook,但是通用性不好。