如何绕过XanhSM的Root与Frida检测？

一、XanhSM防护机制初探：Root与Frida检测原理分析

XanhSM作为当前主流的Android应用安全防护框架，采用多层防御策略对抗逆向工程和动态调试。其核心检测模块分为两大类：Root环境检测与Frida运行时识别。

• Root检测维度：包括但不限于su二进制文件路径扫描（如/system/bin/su）、Magisk Manager包名存在性检查、系统属性（ro.build.tags, ro.debuggable）异常值比对。
• Frida检测手段：通过端口监听（默认27042）、内存映射遍历（maps中查找frida-server）、进程名匹配以及调用pthread_create时注入Hook探测线程创建行为。

此类检测通常在Application初始化阶段或关键函数入口处触发，结合Java层与Native层协同验证，形成闭环校验逻辑。

二、常见绕过挑战与技术瓶颈

三、基于Frida插件的轻量级绕过方案

使用社区维护的Frida插件可快速应对基础检测逻辑：

1. JustTrustMe + Frida Gadget增强版：禁用SSL Pinning同时隐藏Frida相关痕迹。
2. frida-hide：主动隐藏Frida server进程与端口，防止ps或netstat发现。
3. Universal Android SSL Pinning Bypass：针对OkHttpClient、Retrofit等主流网络库进行Hook。

Java.perform(function () {
    var Activity = Java.use('android.app.Activity');
    Activity.onCreate.overload('android.os.Bundle').implementation = function (bundle) {
        console.log("[*] onCreate hooked - bypassing XanhSM init check");
        this.onCreate(bundle);
    };
});

四、自定义Native层代码实现深度绕过

为规避高级检测机制，需编写原生C/C++代码嵌入至Frida Gadget中，替换标准Frida Server。

关键技术路径如下：

• 重命名Frida Gadget为libdvm.so，避免关键字匹配
• 修改so内部字符串表，清除"frida"、"gum-js-loop"等特征文本
• 利用mmap模拟合法内存布局，绕过maps扫描
• 在__attribute__((constructor))中提前Hook libc的access, stat系统调用

五、综合绕过流程图：从设备准备到流量捕获

graph TD
    A[准备Magisk Hide已激活设备] --> B{是否启用Zygisk?}
    B -- 是 --> C[安装Shamiko模块屏蔽系统属性]
    B -- 否 --> D[使用Magisk DenyList隐藏目标App]
    C --> E[注入定制Frida Gadget so]
    D --> E
    E --> F[启动App并附加Frida脚本]
    F --> G[Hook XanhSM检测函数返回false]
    G --> H[绕过SSL Pinning获取明文流量]
    H --> I[Wireshark/Charles抓包分析]
    

六、实战案例：某金融类App动态调试突破

目标应用集成XanhSM v3.2，具备以下防护特征：

• Native层调用__system_property_get读取ro.kernel.qemu
• Java层通过Runtime.exec("ps")检索frida-server
• 使用AES加密DEX并在运行时解密加载

• 解决方案实施步骤：

  1. 使用LSPosed + Hide My Applist隐藏App本身
  2. 部署修改版Frida Gadget（无网络监听、随机化进程名）
  3. Frida脚本HookSystem.getProperty与__system_property_get，伪造正常属性值
  4. 拦截Runtime.exec调用，返回空结果集
  5. 在DexClassLoader.loadClass前Dump内存中的原始DEX文件
  6. 结合JustTrustMe变种脚本解除证书绑定

  最终成功实现HTTPS流量解密与核心业务逻辑Trace。