#春秋检测# #TEESimulator-RS# #TEESimulator#
内容仅供参考 部分转载自@铭鐏 的Github文档
- 设备取得ROOT权限/异常模块
检测到修改SELinux
KernelSU一类的 更新新版本然后点设置找到隐藏SELiunx然后启用
若已经更新到了最新版没有可能你的管理器没同步/合并上游可以选择MKSU/KernelSU/KernelSU Next/SukiSU Ultra SukiSU Ultra我还没看有没有更新这个
- mountinfo
通过两种手段获取出来的挂载视图不一至 可能存在隐瞒的现象
意思就是说挂载侧漏
尝试隐藏/更换/配置元模块解决
- Drity Device(a)
检测到内核接口?特征某外挂
检测到/storage/emulated/0/目录有文件夹/文件名称有sh?
尝试重启手机或刷机
删除在/storage/emulated/0/带有sh字样的文件夹/文件
- zygote test (1)
打开Zygisk Next的链接器功能与匿名内存功能 将排除列表策略设置为仅还原挂载尝试解决
- I-nconsistent mount
/proc/self/exe/解析出其中部分的挂载 然后再去看文件系统类型是否一致或尝试更换元模块解决
- TEE环境不可信
来自Tencent与微信的指纹差不多
使用HAM-OSS对检测器不可见com.tencent.soter.soterserver
使用爱玩机/Scene冻结com.tencent.soter.soterserver
更换为TEESimulatorRS版尝试解决
- Tampered Attentionkey( )
针对TEE的检测 若有“请等待相关模块更新修复”或者回锁 即使是Efisp的假锁或者自定义引导程序也“可能”会报 我只会过26的所以只有26的解决方法(此处是转载自铭鐏的Github文档)
15 HanAttest 链不一致(与下面 TeeSim 常量不同源 但同在 mask 里)
18 厂商占位 KeyMint tag 仍成功出钥(tee2 §1)
23 叶证书 KeyUsage 与扩展内 KeyPurpose 矛盾
24 Binder 超长 alias / 大事务探针异常
25 叶证书 SigAlg 与签发钥算法不符
26 证书 patch 标签与系统属性不一致(与安全补丁有关)
此为26的解决方法
TrickyAddonModule 直接将/data/adb/tricky_store/security_patch.txt文件删除
TA_enhanced 关闭自动更新安全补丁日期
然后将/data/adb/tricky_store/security_patch.txt删除
如删除之后仍然未解决请重启一遍设备
27 USER_ID 出现在 teeEnforced
29 无 challenge 却有 APPLICATION_ID(上表)
30 敏感设备标识类 attest 未被拒绝(如 SERIAL)
- Found property
进组织在组织文件搜索 Found property.sh
或创建一个sh文件 然后输入
#!/system/bin/sh
setprop persist.logd.size ""
setprop persist.logd.size.crash ""
setprop persist.logd.size.system ""
setprop persist.logd.size.main ""
随后执行
- Tricky store Hook/2
更换TEESimulator-RS模块
- 发现Trickystore/类似模块
更换模块比如TEESimulator-RS
把/data/adb/tricky store/security_patch.txt文件删除
或者在TEESimulator模块存在的基础上,先刷入TS-Enhancer-Extreme模块的0.8.2.1版本重启后开机再去刷入v1.0版本 覆盖刷入后可以解决 记得备份keybox 以上行为会覆盖原有的keybox文件
- TEE伪造
使用TEESimulator-RS模块解决
- Property Modified(数字代表几处属性修改)
原理是查属性区空洞 如果说有存在空洞的话 说明存在属性修改
隐藏被修改的属性可将shamiko模块中的shamiko.sh文件移动到/data/adb/service.d/目录下并重启 组织会提供文件
- 环境存疑1(实验性检测)
在HMA-OSS中对检测器开启黑名单模式隐藏后 若勾选了设置预设中的“输入法”选项后 此检测项就会出现?
- Evil Service
此条检测和Zygisk Next有一定的关系 如果你是KernelSU系(SukiSU Ultra KernelSU Next)则在Zygisk Next里将排除策略设置为仅还原挂载模式
如果你是Magisk系(阿尔法和德尔塔)则在Zygisk Next里将排除策略设置为强制
如果你是APatch系(FolkPatch)则在Zygisk Next里将排除策略设置为仅还原挂载
检测到外挂? SELiunx宽容? shizuku LSPosed还有一些XP模块也就是LSPosed模块
- Found ksu/免解设备
发现ksu处于越狱模式 当前设备使用ksu越狱模式的ROOT方式
查的KernelSU/免解进程还有发现软重启的痕迹
SELinux宽容模式?
Seccomp未开启?
解决办法:刷入隐藏越狱模式模块或执行隐藏越狱模式模块里面的sh
- SU binary detected
检测到SU二进制文件(检测到ROOT)
自己检查是否给检测器ROOT权限了
- Miscellaneous Check(a)
检测到dex2at
一般是LSPosed的问题 更换/更新LSPosed模块
- Mount loophole
Magic Mount对系统修改模块挂载生效
挂载需要其他模块来隐藏(可选择SUSFS/Zygisk Next)
将Zygisk Next的排除策略设置为仅还原挂载 并配置排除列表/开启默认卸载模块
- Magic Mount
检测到Magic Mount
请尝试排除某些针对系统修改的模块
使用某些模块隐藏这个问题(比如Zygisk Next将排除策略设置为仅还原挂载)
- [Hook] Suspicious library injection
(Zygisk Next/RiRu/XPosed) 检测到HOOK,自行排查原因 因素过多
- Abormal Environment
检测到KSU/APatch/Magisk 侧信道检测
更新你的ROOT管理器并重新修补
- AbnormalEnvironment(04)
新版更改为函数调用检测(不稳定?)
等待ROOT管理器/模块更新?
APatch的排除修改对检测器开启后会出现此问题?
执行组织内的文件尝试解决
- KernelSU loop device
检测到KernelSU
更新你的ROOT管理器并重新修补
- Suspicious Surroundings
检测到APatch
更新APatch并嵌入/加载KPM隐藏模块解决(比如Nohello.kpm)
- 设备为模拟器
当前是模拟器设备
- avb校验异常 avb=2.0
avb版本异常
某些模块会造成此问题,比如改机型模块
刷入组织内的禁言avb尝试解决
- Found LSPHook Framework
检测到LSPhook Framework
某些XPosed模块导致也可尝试卸载/更换LSPosed模块
- 检测到Scene端口占用
检测到Scene你可以尝试隐藏
无视此检测项或者关闭Scene的无障碍权限再关闭Scene和调度模块然后重启设备
- Zygisk detected
检测到Zygisk 通常是Magisk自带的Zygisk导致(关闭解决)或者其他原因
更新Zygisk Next模块
- Tmpered kernel
内核信息校验异常(内核字符版本 内核构建时间)
你需要获取自己原来的内核构建信息然后使用SUSFS/SpoofUname进行伪装 SUSFS伪装需要勾选开机时启动 执行位置需更换到POST-fs-data
下面提供获取原厂内核信息的方法
注:涉及的boot均为boot.img,而不是init_boot.img
使用内置的SUSFS或Kernel Flasher软件看另一个槽位的信息然后搬过来
使用APatch修补boot.img然后查看内核构建信息然后搬过来
- [hook]Resetprop modified
resetprop被修改 未知
- Suspicious Surroundings (a)
路径/data/local/tmp
tmp文件夹被设置为root用户和所有组 改为shell即可
- Suspicious Surroundings(b)
路径/data/local/tmp
tmp的inode值高于10000(被删除过)
格式化系统或者使用内置SUSFS中的Kstat配置对路径伪装inode值大小 大于或等于1000 小于10000 如:1000
- Suspicious Surroundings(c)
/data/local/tmp
文件夹tmp的权限被修改(默认771)将权限改为771即可
- Futile hide
以下方案可能过时
/data/local/tmp文件夹tmp的时间被修改
格式化系统或者把tmp文件夹删除重启后变上方abc再使用管理器中的Kstat配置(需要内核集成SUSFS)添加/data/local/tmp目录只修改ino值比如大于或等于1000 小于10000(tmp目录权限保持771 所有者为shell)
- Miscellaneous Check(2)
检测设备篡改/机型篡改
改机型模块导致?联想设备会误报?自行排查
- Miscellaneous Check(3)
改机检测?以下方案可能过时 开启过“隐藏应用列表/HMA-OSS”的 Vold app data 隔离?
- 不一致的挂载/debug_ramdisk
umout /debug_ramdisk
- Netlink socket anomaly
暂时未知
- /data/local/tmp denied
目录/data/local/tmp拒绝访问
文件夹权限设置问题?文件夹不存在?
尝试删除tmp文件夹然后重启设备
- 伪装内核
无效的使用SUSFS伪装内核
执行位置选择POST-fs-data
- Futile hide 04
原理-挂载命名空间?
检测挂载异常
尝试更换元模块解决
- 挂载间隙
检测挂载异常
尝试更换元模块解决
- 2222
检测到挂载异常
- 第三方内核
内核信息与原来的不一致
使用SUSFS/SpoofUname伪装内核信息解决
- 第三方rom/自编译内核
第三方ROM标记
内核版本号后缀带有-Dirty
使用SUSFS/SpoofUname伪装内核信息解决
- 第三方ROM(2)
暂时未知
- ROM detected
检测到第三方ROM
部分三方rom特征符合
可自行尝试伪装
- 终端环境存疑
检测Pty
- 环境伪造
旧设备(4系内核)会误报(新版本已修复) 此检测项在刷入ZN-Audit Patch模块或类似行为后会触发
卸载ZN-Audit Patch模块
- ROOT进程
检测Zygote环境?
通过审计日志漏洞读取(avc)
可使用SUSFS的功能或者使用ZN-AuditPatch模块
Android安全更新25/09/01已修复(不准确但结果是这样的)
- 异常进程
检测隐藏的进程组
尝试创建999用户(应用多开/应用分身)解决联想设备多开是创建的900用户 会有误报现象
- 异常进程0000(Pid)
0000代表的是进程的Pid 会有误报现象
与LSP有关
在设置中找到应用多开 随便多开一个应用 原理就是在/storage/emulated/创建一个999用户 这个检测点就会消失 但可能会出现另一条
需要注意的是 部分设备比如联想应用多开创建的是900用户 并不是999所以多开没用 你们可以在终端输入kill -9 (这里填Pid)例如:
kill -9 1894
- MT管理器(MT2文件夹)/异常文件
检测MT2文件夹和.sh/.xml/.img/.json文件
在MT管理器设置中禁用回收站和改MT2路径 删除MT2文件夹和内部存储目录 以及/storage/emulated/0/Download下的后缀是.sh/.xml/.img/.json文件
- Risk apps‘软件包名’
检测风险应用 软件包名
安装Unicode零宽修复模块对/storage/emulated/0/Android/data/目录修复可被读取问题并搭配HMA-OSS对风险应用隐藏
- Thanox service detected
检测Thanon服务
删除Thanon
使用组织内的HideThanon进行隐藏
检测失败
2333333
- TEE 损坏
尝试使用TEESimulator/TEESimulator-RS模块解决 搭配TA_enhanced使用 刷入后重启 开机后打开模块的WebUI进行配置
执行组织内的Tricky Store添加包名Pro.sh 输入2回车
- 密钥证明未完成或链不一致
使用TEESimulator-RS并配置后尝试解决
- AOSP密钥
更换密钥盒(keybox.xml)
- Boot Hash不匹配
boot镜像的Hash不匹配
通常BL解锁后Hash会变成0000使用Native detector获取正确的Hash后使用TEESimulator/TEESimulator-RS模块并使用TrickyAddonModule/TA_enhanced配置Hash解决
- Bootloader unlock
BL已解锁,使用TEESimulator-RS模块隐藏 需要配置/data/adb/tricky_store/目录下的target.txt文件 在其中添加软件包名(实时生效无需重启) 也推荐使用TA_enhanced进行软件包名的可视化配置
或执行组织内的Tricky Store添加包名Pro.sh 选择强制模式解决
还有一种是跟Property Modified这条的原理差不多 刷弱隐Bootloader模块或者把shamiko.sh移动到/data/adb/service.d/
- 启动状态异常
BL已解锁 使用TEESimulator-RS模块隐藏 需要配置/data/adb/tricky_store/目录下的target.txt文件 在其中添加软件包名(实时生效无需重启)也可以使用TA_enhanced进行可视化配置
也能使用组织内的Tricky Store添加包名Pro.sh 选择强制模式解决
- 密钥篡改(128)
Tricky Store在一加高通设备上默认使用"密钥链生成模式"
尝试更换TEESimulator-RS模块并开启强制模式(强制生成证书链)
- 密钥篡改(q)
未知
- 密钥篡改(b)
未知
- 证书已被吊销(CRL)
更换密钥盒(keybox.xml)
- 密钥篡改
使用TEESimulator-RS模块尝试解决
- TrustedCert 证书篡改
未知
- Something wrong
未知
- Miscellaneous Check(4/5/6/7/8/9)
一些有关模拟器虚拟机/模拟器的检测/改机行为检测/三方或移植ROM
在国外设备Poco/三星误报情况(待修复)
- 异常文件
检测路径:/dev和/data/local/tmp
重命名/删除相关目录文件
排查并删除以下高危路径:
/data/local/stryker
/data/system/AppRetention
/data/local/tmp/luckys
/data/local/tmp/input_devices
/data/local/tmp/HyperCeiler
/data/local/tmp/simpleHook
/data/local/tmp/DisabledAllGoogleServices
/data/local/MIO
/data/DNA
/data/local/tmp/cleaner_starter
/data/local/tmp/byyang
/data/local/tmp/mount_mask
/data/local/tmp/mount_mark
/data/local/tmp/scriptTMP
/data/local/luckys
/data/local/tmp/horae_control.log
/data/gpu_freq_table.conf
/storage/emulated/0/Download/advanced
/storage/emulated/0/Documents/advanced
/data/system/NoActive
/data/system/Freezer
/storage/emulated/0/Android/naki
/data/swap_config.conf
/data/local/tmp/resetprop
- Magic Mount
使用Zygisk Next的排除策略设置为仅还原挂载 并配置排除列表/开启默认卸载模块 对其隐藏