今天说下怎么屏蔽iOS检测越狱思路

12237336
今天说下怎么屏蔽iOS检测越狱思路-清风博客

OC层面

首先可以尝试使用NSFileManager来判断设备安装了以下常用的越狱工具:

【ps】Zebra 斑马应用商店是基于Cydia或者Sileo的, 所以只要检测后2者即可

/Applications/Cydia.app
/Applications/Sileo.app
/Library/MobileSubstrate/MobileSubstrate.dylib
/bin/bash
/usr/sbin/sshd
/etc/apt
// 常见越狱文件
const char *Jailbreak_Tool_pathes[] = {
    "/Applications/Cydia.app",
    "/Library/MobileSubstrate/MobileSubstrate.dylib",
    "/bin/bash",
    "/usr/sbin/sshd",
    "/etc/apt"
};

char *printEnv(void){
    char *env = getenv("DYLD_INSERT_LIBRARIES");
    return env;
}

/** 当前设备是否越狱 */
+ (BOOL)isDeviceJailbreak
{
    // 判断是否存在越狱文件
    for (int i = 0; i < 5; i++) {
        if ([[NSFileManager defaultManager] fileExistsAtPath:[NSString stringWithUTF8String:Jailbreak_Tool_pathes[i]]]) {
            NSLog(@"此设备越狱!");
            return YES;
        }
    }
    // 判断是否存在cydia应用
    if([[UIApplication sharedApplication] canOpenURL:[NSURL URLWithString:@"cydia://package/com.example.package"]]){
        NSLog(@"此设备越狱!");
        return YES;
    }
    
    // 读取系统所有的应用名称
    if ([[NSFileManager defaultManager] fileExistsAtPath:@"/User/Applications/"]){
        NSLog(@"此设备越狱!");
        return YES;
    }
    
    // 读取环境变量
    if(printEnv()){
        NSLog(@"此设备越狱!");
        return YES;
    }
    
    NSLog(@"此设备没有越狱");
    return NO;
}

但是不要写BOOL切换方法,会给 越狱工具 直接锁定目标hook绕过的机会

屏蔽越狱就是return NO;

+ (BOOL)isJailbroken {
   if ([[NSFileManager defaultManager] fileExistsAtPath:@"/Applications/Cydia.app"]){
    return YES;
   }
// ...
}

越狱工具可能会更改这些工具的安装路径,从而避来你的判断。

我们可以尝试打开Cydia或者Sileo应用注册的URL scheme:

if([[UIApplication sharedApplication] canOpenURL:[NSURL URLWithString:@"cydia://package/com.example.package"]]){
   XLsn0wLog(@"Device is jailbroken");
}

但并非所有工具都会注册 URL scheme ,此外,攻击者可以修改任何应用程序的 URL scheme ,然后,其实我们可以尝试读取下应用列表,看看有无权限获取:

if ([[NSFileManager defaultManager] fileExistsAtPath:@"/User/Applications/"]){
    NSLog(@"Device is jailbroken");
    NSArray *applist = [[NSFileManager defaultManager] contentsOfDirectoryAtPath:@"/User/Applications/"
                                                                           error:nil];
    NSLog(@"applist = %@",applist);
}

AppList 可以从越狱设备获取的:

今天说下怎么屏蔽iOS检测越狱思路-清风博客

攻击者可能会 hook NSFileManager 的方法,让你的想法变得不可取。

但是我们可以回避 NSFileManager,使用stat系列C函数检测Cydia等工具:

#import <sys/stat.h>

- void checkCydia(void)
{
struct stat stat_info;
if (0 == stat("/Applications/Cydia.app", &stat_info)) {
    NSLog(@"Device is jailbroken");
}
}

C层面

攻击者可能也利用 Fishhook 原理hook stat函数,自己可以看看stat是不是出自系统库,有没有被攻击者换掉:

 #import <dlfcn.h>

 -void checkInject(void) {
   int ret ;
   Dl_info dylib_info;
   int (*func_stat)(const char *, struct stat *) = stat;
   if ((ret = dladdr(func_stat, &dylib_info))) {
    NSLog(@"lib :%s", dylib_info.dli_fname);
   }
}

如果结果不是/usr/lib/system/libsystem_kernel.dylib,则100%被攻击。

如果 libsystem_kernel.dylib 被攻击者替换…其实屏蔽越狱就是更换libsystem_kernel动态库

你可能还会想,自己检索下自己的应用程序是否链接到异常动态库

可以列出所有已链接的动态库:

#import <mach-o/dyld.h>

 -void checkDylibs(void)
  {
    uint32_t count = _dyld_image_count();
     for (uint32_t i = 0 ; i < count; ++i) {
    NSString *name = [[NSString alloc]initWithUTF8String:_dyld_get_image_name(i)];
       NSLog(@"--%@", name);
     }
   }

一般情况下,越狱机器的输出会包含这样的字符串:Library/MobileSubstrate/MobileSubstrate.dylib。

目前越狱是基于 Comex 开发的 Substitute ,

今天说下怎么屏蔽iOS检测越狱思路-清风博客

攻击者可能会重命名 MobileSubstrate/Substitute,但不变的原理还是通过 DYLD_INSERT_LIBRARIES 注入动态库。

我们可以查看当前程序运行的环境变量:

-void printEnv(void)
{
  char *env = getenv("DYLD_INSERT_LIBRARIES");
  NSLog(@"%s", env);
 }

比如抖音的越狱检测

function logtrace(ctx) {
    var content = Thread.backtrace(ctx.context, Backtracer.ACCURATE).map(DebugSymbol.fromAddress).join('\n') + '\n';
    if (content.indexOf('SubstrateLoader') == -1 && content.indexOf('JavaScriptCore') == -1 &&
        content.indexOf('FLEXing.dylib') == -1 && content.indexOf('NSResolveSymlinksInPathUsingCache') == -1 &&
        content.indexOf('MediaServices') == -1 && content.indexOf('bundleWithPath') == -1 &&
        content.indexOf('CoreMotion') == -1 && content.indexOf('infoDictionary') == -1 &&
        content.indexOf('objectForInfoDictionaryKey') == -1)  {
            console.log(content);
        return true;
    }
    return false;
}

function iswhite(path) {
    if (path == null) return true;
    if (path.startsWith('/var/mobile/Containers')) return true;
    if (path.startsWith('/var/containers')) return true;
    if (path.startsWith('/var/mobile/Library')) return true;
    if (path.startsWith('/var/db')) return true;
    if (path.startsWith('/private/var/mobile')) return true;
    if (path.startsWith('/private/var/containers')) return true;
    if (path.startsWith('/private/var/mobile/Library')) return true;
    if (path.startsWith('/private/var/db')) return true;
    if (path.startsWith('/System')) return true;
    if (path.startsWith('/Library/Preferences')) return true;
    if (path.startsWith('/Library/Managed')) return true;
    if (path.startsWith('/usr')) return true;
    if (path.startsWith('/dev')) return true;
    if (path == '/AppleInternal') return true;
    if (path == '/etc/hosts') return true;
    if (path == '/Library') return true;
    if (path == '/var') return true;
    if (path == '/private/var') return true;
    if (path == '/private') return true;
    if (path == '/') return true;
    if (path == '/var/mobile') return true;
    if (path.indexOf('/containers/Bundle/Application') != -1) return true;
    return false;
}

Interceptor.attach(Module.findExportByName(null, "access"), {
    onEnter: function(args) {
        if (args[0].isNull()) return;
        var path = args[0].readUtf8String();
        if (iswhite(path)) return;
        console.log("access " + path);
    }
})

Interceptor.attach(Module.findExportByName(null, "creat"), {
    onEnter: function(args) {
        if (args[0].isNull()) return;
        var path = args[0].readUtf8String();
        if (iswhite(path)) return;
        if (logtrace(this)) console.log("creat " + path);
    }
})

Interceptor.attach(Module.findExportByName(null, "dlopen"), {
    onEnter: function(args) {
        if (args[0].isNull()) return;
        var path = args[0].readUtf8String();
        if (!iswhite(path)) console.log("dlopen " + path);
    }
})

Interceptor.attach(Module.findExportByName(null, "dlopen_preflight"), {
    onEnter: function(args) {
        if (args[0].isNull()) return;
        var path = args[0].readUtf8String();
        if (!iswhite(path)) console.log("dlopen_preflight " + path);
    }
})

Interceptor.attach(Module.findExportByName(null, "faccessat"), {
    onEnter: function(args) {
        if (args[0].isNull()) return;
        var path = args[1].readUtf8String();
        if (iswhite(path)) return;
        if (logtrace(this)) console.log("faccessat " + path);
    }
})

Interceptor.attach(Module.findExportByName(null, "getxattr"), {
    onEnter: function(args) {
        if (args[0].isNull()) return;
        var path = args[0].readUtf8String();
        if (iswhite(path)) return;
        if (logtrace(this)) console.log("getxattr " + path);
    }
})

Interceptor.attach(Module.findExportByName(null, "link"), {
    onEnter: function(args) {
        if (args[0].isNull()) return;
        var path = args[0].readUtf8String();
        if (iswhite(path)) return;
        if (logtrace(this)) console.log("link " + path);
    }
})

Interceptor.attach(Module.findExportByName(null, "listxattr"), {
    onEnter: function(args) {
        if (args[0].isNull()) return;
        var path = args[0].readUtf8String();
        if (iswhite(path)) return;
        if (logtrace(this)) console.log("listxattr " + path);
    }
})

Interceptor.attach(Module.findExportByName(null, "lstat"), {
    block: false,
    onEnter: function(args) {
        if (args[0].isNull()) return;
        var path = args[0].readUtf8String();
        if (iswhite(path)) return;
        if (logtrace(this)) console.log("lstat " + path);
    }
})

Interceptor.attach(Module.findExportByName(null, "open"), {
    onEnter: function(args) {
        if (args[0].isNull()) return;
        var path = Memory.readUtf8String(args[0]);
        if (iswhite(path)) return;
        if (logtrace(this)) console.log("open " + path);
    }
})

Interceptor.attach(Module.findExportByName(null, "opendir"), {
    onEnter: function(args) {
        if (args[0].isNull()) return;
        var path = args[0].readUtf8String();
        if (iswhite(path)) return;
        if (logtrace(this)) console.log("opendir " + path);
    }
})

Interceptor.attach(Module.findExportByName(null, "__opendir2"), {
    onEnter: function(args) {
        if (args[0].isNull()) return;
        var path = args[0].readUtf8String();
        if (iswhite(path)) return;
        if (logtrace(this)) console.log("opendir2 " + path);
    }
})

Interceptor.attach(Module.findExportByName(null, "readlink"), {
    onEnter: function(args) {
        if (args[0].isNull()) return;
        var path = args[0].readUtf8String();
        if (iswhite(path)) return;
        if (logtrace(this)) console.log("readlink " + path);
    }
})

Interceptor.attach(Module.findExportByName(null, "realpath"), {
    onEnter: function(args) {
        if (args[0].isNull()) return;
        var path = args[0].readUtf8String();
        if (iswhite(path)) return;
        if (logtrace(this)) console.log("realpath " + path);
    }
})

Interceptor.attach(Module.findExportByName(null, "realpath$DARWIN_EXTSN"), {
    onEnter: function(args) {
        if (args[0].isNull()) return;
        var path = args[0].readUtf8String();
        if (iswhite(path)) return;
        if (logtrace(this)) console.log("realpath$DARWIN_EXTSN " + path);
    }
})

Interceptor.attach(Module.findExportByName(null, "stat"), {
    onEnter: function(args) {
        if (args[0].isNull()) return;
        var path = args[0].readUtf8String();
        if (iswhite(path)) return;
        if (logtrace(this)) console.log("stat " + path);
    }
})

Interceptor.attach(Module.findExportByName(null, "statfs"), {
    onEnter: function(args) {
        if (args[0].isNull()) return;
        var path = args[0].readUtf8String();
        if (iswhite(path)) return;
        if (logtrace(this)) console.log("statfs " + path);
    }
})

Interceptor.attach(Module.findExportByName(null, "symlink"), {
    onEnter: function(args) {
        if (args[0].isNull()) return;
        var path = args[0].readUtf8String();
        if (iswhite(path)) return;
        if (logtrace(this)) console.log("symlink " + path);
    }
})

Interceptor.attach(Module.findExportByName(null, "syscall"), {
    onEnter: function(args) {
        if (args[0].isNull()) return;
        var callnum = args[0].toInt32();
        if (callnum == 180) return;
        console.log("syscall " + args[0].toInt32());
    }
})

一般的话我们使用一些常规的防御性代码来做这种检测。 当然,这种检测还是有一定的误报概率,但是对于APP开发者来说,需要确定一个原理,即使越狱手机检测为未越狱,也不能将未越狱手机检测为越狱手机

检查stat是否来自系统库

  int ret;
  Dl_info dylib_info;
  int (*func_stat)(const char *,struct stat *) = stat;
  if ((ret = dladdr(func_stat, &dylib_info))) {
       if (strcmp(dylib_info.dli_fname,"/usr/lib/system/libsystem_kernel.dylib") != 0) { 
           jailbroken = YES; 
       }
}

检测程序运行的环境变量

//检测当前程序运行的环境变量,防止通过DYLD_INSERT_LIBRARIES注入链接异常动态库,来更改相关工具名称
 - (BOOL)checkEnv
{
    char *env = getenv("DYLD_INSERT_LIBRARIES");
    NSLog(@"%s", env);
    if (env) {
        return YES;
    }
    return NO;
}

绕过以下越狱检测

一、根据是否存在特定越狱文件以及特定文件的权限是否发生变化来判断设备是否越狱

二、根据是否安装ssh判断设备是否越狱

三、根据文件系统的分区是否发生变化来检测设备是否越狱

四、根据沙箱的完整性检查设备是否越狱


typedefint(*ptrace_ptr_t)(int_request,pid_t_pid,caddr_t_addr,int_data);void* dlopen(constchar* pathname,intmode );
#if !defined(PT_DENY_ATTACH)
#define PT_DENY_ATTACH31
#endif
voiddisable_gdb() {
    void* handle =dlopen(0,RTLD_GLOBAL|RTLD_NOW);
    ptrace_ptr_tptrace_ptr =dlsym(handle,"ptrace");
    ptrace_ptr(PT_DENY_ATTACH,0,0,0);
    dlclose(handle);
}
intmain(intargc,char* argv[]) {
#ifndef DUBUG
//    disable_gdb();
#endif

温馨提示:本文最后更新于2021-08-15 04:21:27,某些文章具有时效性,若有错误或已失效,请在下方留言或联系清风#
© 版权声明
文章版权声明 1、本网站名称: 清风博客
2、本站永久网址: https://www.qfya.com
3、本网站的文章部分内容来源于网络,仅供大家学习与参考,如有侵权,请联系站长进行删除处理。
4、本站一切资源不代表本站立场,并不代表本站赞同其观点和对其真实性负责。
5、本站一律禁止以任何方式发布或转载任何违法的相关信息,访客发现请向站长举报
6、本站资源大多存储在云盘,如发现链接失效,请联系我们我们会第一时间更新。
7、 文章版权归作者所有,未经允许请勿转载。 清风博客是为草根站长提供SEO教学、建站知识等核心技术文章分享,本站内所有文章为站长总结以及部分网络资源转载或网友投稿,若有侵权行为,请携带相关证明联系博主
THE END
经验教程
# ios越狱检测
文章不错?点个赞呗!
点赞336 分享
清风的头像-清风博客VIP会员
ios手机设备详细插件平刷教程-清风博客
ios手机设备详细插件平刷教程
ios手机设备详细插件平刷教程
2021/6/18/ 20:01 2.5W+
从苹果手机各型号怎么越狱到怎么开科技完整教程-清风博客
从苹果手机各型号怎么越狱到怎么开科技完整教程
从苹果手机各型号怎么越狱到怎么开科技完整教程
2021/9/5/ 00:14 2.5W+
和平精英iGG修改代码教程-清风博客
和平精英iGG修改代码教程
和平精英iGG修改代码教程
2021/6/18/ 19:40 2.3W+
腿子设置操作和注意事项-清风博客
腿子设置操作和注意事项
腿子设置操作和注意事项
2022/4/18/ 12:32 2.1W+
ios付费应用小火箭(Shadowrocket)无需美区苹果ID下载安装教程-清风博客
ios付费应用小火箭(Shadowrocket)无需美区苹果ID下载安装教程
ios付费应用小火箭(Shadowrocket)无需美区苹果ID下载安装教程
2021/6/25/ 22:39 1.6W+
详细说下checkra1n越狱怎么转换基板教程-清风博客
详细说下checkra1n越狱怎么转换基板教程
详细说下checkra1n越狱怎么转换基板教程
2021/8/15/ 05:04 1.4W+
相关推荐
ios手机设备详细插件平刷教程-清风博客
ios手机设备详细插件平刷教程
ios手机设备详细插件平刷教程
2021/6/18/ 20:01 2.5W+
从苹果手机各型号怎么越狱到怎么开科技完整教程-清风博客
从苹果手机各型号怎么越狱到怎么开科技完整教程
从苹果手机各型号怎么越狱到怎么开科技完整教程
2021/9/5/ 00:14 2.5W+
和平精英iGG修改代码教程-清风博客
和平精英iGG修改代码教程
和平精英iGG修改代码教程
2021/6/18/ 19:40 2.3W+
腿子设置操作和注意事项-清风博客
腿子设置操作和注意事项
腿子设置操作和注意事项
2022/4/18/ 12:32 2.1W+
详细说下checkra1n越狱怎么转换基板教程-清风博客
详细说下checkra1n越狱怎么转换基板教程
详细说下checkra1n越狱怎么转换基板教程
2021/8/15/ 05:04 1.4W+
评论 共1条

请登录后发表评论

    只看作者
    • mengui的头像-清风博客mengui等级-LV1-清风博客0
      很精辟,,,另外找一个能写屏蔽越狱插件的高手 想定制一个插件
      2021/8/23/ 09:32
默认头像
协助SEO
关键词不能为空
站内公告
更多
子比主题前端投稿没有工具栏怎么办?-清风博客

1子比主题前端投稿没有工具栏怎么办?

清风的头像-清风博客VIP会员2023/2/14/ 02:35
389
2022.6.8公告-清风博客

22022.6.8公告

清风的头像-清风博客VIP会员2022/6/8/ 15:22
415
热门文章
ios手机设备详细插件平刷教程-清风博客
2.5W+人已阅读
ios手机设备详细插件平刷教程
TOP1
从苹果手机各型号怎么越狱到怎么开科技完整教程-清风博客
从苹果手机各型号怎么越狱到怎么开科技完整教程
2021/9/5/ 00:142.5W+人已阅读
TOP2
和平精英iGG修改代码教程-清风博客
和平精英iGG修改代码教程
2021/6/18/ 19:402.3W+人已阅读
TOP3
腿子设置操作和注意事项-清风博客
腿子设置操作和注意事项
2022/4/18/ 12:322.1W+人已阅读
TOP4
ios付费应用小火箭(Shadowrocket)无需美区苹果ID下载安装教程-清风博客
ios付费应用小火箭(Shadowrocket)无需美区苹果ID下载安装教程
2021/6/25/ 22:391.6W+人已阅读
TOP5
详细说下checkra1n越狱怎么转换基板教程-清风博客
详细说下checkra1n越狱怎么转换基板教程
2021/8/15/ 05:041.4W+人已阅读
TOP6

1子比主题添加热门标签页面[子比主题教程]

2如何使用插件将WordPress博客图片缓存到阿里云OSS并开启数据库缓存加速

3WordPress侧边栏信息统计小工具[WP小工具]

4油猴脚本:将OneDrive/SharePoint下载推送到IDM/Aria2,支持批量下载

5清除网站所有出站链接教程

6我已10年不曾回家过年。异乡不知不觉成了自己的家

70元撸openai120刀教程 带土耳其入金方法

1【H5棋牌】近很火的red88/盛火国际H5金币 会员团购分享来 附视频搭建教程

2JiuXiaoMusic 一款不依赖任何第三方库的h5音乐播放器

3最新精仿价值50元的DEDECMS115资源网源码

4【全新二开】华夏基金理财程序/独一无二的功能逻辑/在线客服

5PHP轻量级搜狗泛站群源码 完美SEO优化 婚配搜狗算法

6高仿九酷音乐网源码程序DZ内核V3.5纯净安装版 UTF8+GBK

7PHP独立导航网程序-爱酷V1.92-前台可申请收录后台审核

1这样的洛里谁不爱呢?

2〔剧情〕妹子考试小炒被老师发现后遭严厉惩罚!太羞耻了!!

3dva爱你呦

4Tik Tok 深田咏美抖音视频100+合集

5你们想看的黑丝辣妹

6虎年大吉

7你在渴望什么!

1悟饭游戏厅v4.8.2.9 高级版畅玩童年小游戏

2视频压缩利器 小丸子工具箱 全版本合集

3艳图 会员破解版版 /全部无限制保存

4iGG各种报错问题解决

5UN越狱设备恢复未越狱教程

6老牌下载神器Pandownload 复活

7网易蜗牛读书 会员破解版

标签云
龙虎斗龙腾网龙女鼠标默笙黑苹果mac黑苹果黑胶黑石黑客攻击黑丝麻豆麻将鸿蒙鸡腿设置教程鸡腿鸡图魔客魔女传魔女魔众鬼畜高防高速高级高然高清高手高大高佣联盟高仿骚扰骗子曝光验证源码验证马尾首页馆网飞鸟飞猫
最新评论
qweqweqwe的头像-清风博客

qweqweqwe徽章-资深玩家-清风博客2024/4/18/ 15:250

教程很好用,谢谢!
qweqweqwe的头像-清风博客

qweqweqwe徽章-资深玩家-清风博客2024/4/17/ 23:370

表情[guzhang]-清风博客 教程很好用,谢谢!
语城花的头像-清风博客

语城花2024/4/17/ 14:570

厉害了表情[hanxiao]-清风博客
ericz54321的头像-清风博客

ericz543212024/4/16/ 22:400

感谢大佬分享!
java2017的头像-清风博客

java2017徽章-初出茅庐-清风博客2024/4/16/ 00:550

牛逼66666
lioufgfh的头像-清风博客

lioufgfh2024/4/15/ 23:130

感谢大佬
ericz54321的头像-清风博客

ericz543212024/4/15/ 22:550

感谢大佬分享!
ericz54321的头像-清风博客

ericz543212024/4/15/ 22:540

感谢楼主分享!