当前位置：首页 > news >正文

Android root和完整性检测实现方案深度分析

news 2025/7/26 16:29:18

在 Android 开发中，Root 检测和应用完整性检测是应用安全（尤其是金融、支付、游戏、企业应用）的关键防线。它们旨在识别设备是否已被 Root（获得超级用户权限）或应用本身是否被篡改（二次打包、注入代码、调试），从而在潜在的不安全或恶意环境中限制敏感功能或直接阻止运行。以下是对这两项技术的深度分析：

一、Root 检测：识别设备是否已被 Root

Root 破坏了 Android 的安全沙箱模型。检测 Root 的核心思路是寻找 Root 环境的特征痕迹。没有单一方法绝对可靠，需组合多种检测手段以提高对抗性。

1. 常见 Root 检测方法

(1) 检查已知 Root 应用包名

原理： Root 设备通常会安装 SuperSU、Magisk Manager、KingRoot 等管理应用。

实现：

private boolean isRootPackageInstalled() {String[] rootPackages = {"com.noshufou.android.su", "com.thirdparty.superuser","eu.chainfire.supersu", "com.koushikdutta.superuser","com.zachspong.temprootremovejb", "com.kingroot.kinguser","com.kingroot.master", "com.topjohnwu.magisk" // Magisk Manager};PackageManager pm = context.getPackageManager();for (String pkg : rootPackages) {try {pm.getPackageInfo(pkg, PackageManager.GET_ACTIVITIES);return true;} catch (PackageManager.NameNotFoundException e) {// Ignore}}return false;
}

对抗： 用户可卸载/重命名 Root 管理器；Magisk 默认隐藏自身（Magisk Hide）。

(2) 检查常见 Root 相关文件与二进制

原理： Root 过程会在系统特定路径放置 su 二进制文件和相关文件。

关键路径检查：

private boolean checkForSuBinary() {String[] suPaths = {"/system/bin/su", "/system/xbin/su", "/sbin/su", "/system/su", "/system/bin/.ext/.su", "/data/local/su","/data/local/xbin/su", "/data/local/bin/su"};for (String path : suPaths) {if (new File(path).exists()) return true;}return false;
}

检查 PATH 环境变量： 检查 PATH 是否包含常见 Root 路径 (如 /sbin, /system/xbin)。
对抗： Magisk 使用 magiskinit 和 magisk 替代 su；路径可被隐藏或重命名。

(3) 尝试执行 `su` 命令

原理： 直接尝试执行 su 命令获取 Root 权限。

实现：

public boolean isRootBySuCommand() {Process process = null;try {process = Runtime.getRuntime().exec(new String[]{"su", "-c", "id"});BufferedReader reader = new BufferedReader(new InputStreamReader(process.getInputStream()));String output = reader.readLine();if (output != null && output.toLowerCase().contains("uid=0")) {return true; // uid=0 表示 root 用户}} catch (Exception e) {// 执行失败通常意味着没有 su} finally {if (process != null) process.destroy();}return false;
}

对抗： Magisk 允许对特定应用隐藏 su 访问（Magisk Hide / DenyList）；可修改 su 行为返回假信息。

(4) 检查系统属性 (Build Tags & Properties)

原理： Root/自定义 ROM 常修改系统属性。

检测点：

ro.build.tags：官方 ROM 通常为 release-keys，测试/自定义 ROM 可能为 test-keys, dev-keys。
ro.build.selinux：SELinux 状态应为 1 (Enforcing)。
ro.debuggable：正常应为 0 (不可调试)，Root 后可能被改为 1。
ro.secure：正常应为 1 (安全模式)，Root 后可能为 0。

public boolean isTestKeysBuild() {String buildTags = android.os.Build.TAGS;return buildTags != null && buildTags.contains("test-keys");
}public boolean isDebuggable() {return android.os.Build.FINGERPRINT.contains("debug") || android.os.Build.FINGERPRINT.contains("eng")|| (android.os.Build.TYPE != null && android.os.Build.TYPE.equals("eng"));
}

对抗： Magisk 可重置这些属性为原始值（通过 MagiskHide Props Config 模块）。

(5) 检查关键分区挂载状态

原理： Root 后 /system 分区通常被挂载为 rw (可读写)。

实现： 尝试在 /system 创建临时文件（需谨慎，避免实际写入）或解析 /proc/mounts：

public boolean isSystemMountedReadWrite() {try {Process process = Runtime.getRuntime().exec("mount");BufferedReader reader = new BufferedReader(new InputStreamReader(process.getInputStream()));String line;while ((line = reader.readLine()) != null) {if (line.contains(" /system ") && line.contains("rw")) {return true;}}} catch (Exception e) {e.printStackTrace();}return false;
}

对抗： 使用只读重新挂载 /system；Magisk 的 systemless 设计不直接修改 /system。

(6) 检测 Magisk 特有痕迹

原理： Magisk 作为主流 Root 方案有其特征。
检测点：
- 检查 Magisk 路径： /data/adb/magisk, /sbin/.magisk。
- 检查 Magisk 模块： /data/adb/modules。
- magisk 命令： 尝试执行 magisk -v 获取版本。
- 检测 Magisk Mount Namespace： Magisk 使用挂载命名空间隔离修改。

2. 高级/对抗性 Root 检测

Native 层检测 (C/C++)：
- 绕过 Java 层 Hook（如 Xposed/LSPosed）。
- 直接调用底层 API (fopen, access, stat) 检查文件/路径。
- 使用内联汇编或系统调用 (syscall) 避免被 Hook。
- 检测 ptrace 跟踪（防调试）。
检测 Hook 框架：
- 检查 Xposed 相关类 (de.robv.android.xposed.XposedBridge)。
- 检查 Frida/Gadget 相关库 (frida-agent.so, libgadget.so)。
- 检测 /proc/self/maps 中可疑内存映射。
环境行为差异检测：
- 执行时间差异： Root 环境执行某些命令可能更快（无权限检查）或更慢（有 Hook）。
- 系统调用追踪： 使用 strace (需 Native) 分析系统调用序列是否异常。
可信执行环境 (TEE) / StrongBox： 将敏感检测逻辑放入安全飞地（如 Titan M），防止内存篡改。

3. Root 检测的挑战与对抗

Magisk 的强对抗：
- Magisk Hide / DenyList： 对目标应用隐藏 Root 环境、su 二进制、Magisk 自身。
- Zygisk： Magisk 模块注入 Zygote，更难检测。
- 随机化路径/包名： Magisk 自身可随机化。
假阴性/假阳性：
- 定制 ROM (如 LineageOS) 可能自带 Root 但用户未启用。
- 检测逻辑可能被绕过或误报。
用户体验： 过度检测可能误伤合法用户（如开发者设备）。

二、应用完整性检测：保护应用不被篡改

确保 APK 未被二次打包、代码注入或资源修改。

1. 常见完整性检测方法

(1) 签名校验 (Java & Native)

原理： 比较运行时签名与预期签名是否一致。

Java 层实现：

public boolean verifyAppSignature(Context context) {try {PackageInfo packageInfo = context.getPackageManager().getPackageInfo(context.getPackageName(), PackageManager.GET_SIGNATURES);Signature[] signatures = packageInfo.signatures;// 计算签名证书的 SHA-256MessageDigest md = MessageDigest.getInstance("SHA-256");md.update(signatures[0].toByteArray());String currentSignature = Base64.encodeToString(md.digest(), Base64.NO_WRAP);// 与预置的正确签名比较return "YOUR_PRESET_SIGNATURE_SHA256_BASE64".equals(currentSignature);} catch (Exception e) {return false;}
}

Native 层加固： 将关键校验逻辑放在 JNI 库中，增加逆向难度。
对抗： 攻击者可能 Hook PackageManager 方法返回伪造签名。

(2) 校验 classes.dex 和资源文件

原理： 计算核心文件哈希值与预期值比对。

实现：

public boolean verifyDexChecksum() {try {String apkPath = context.getPackageResourcePath();JarFile jarFile = new JarFile(apkPath);JarEntry dexEntry = jarFile.getJarEntry("classes.dex");InputStream is = jarFile.getInputStream(dexEntry);// 计算 CRC32 或 SHA-256// ...return calculatedChecksum.equals(expectedChecksum);} catch (Exception e) {return false;}
}

对抗： 攻击者可能修改校验逻辑本身或 Hook 文件访问。

(3) 检测调试器附加

原理： 调试状态表明应用可能被动态分析。

检测方法：

android:debuggable 属性： 检查 ApplicationInfo.flags 中的 FLAG_DEBUGGABLE 位。

Debug.isDebuggerConnected()：

if (Debug.isDebuggerConnected() || Debug.waitingForDebugger()) {// 正在被调试
}

Native 检测 (ptrace, TracerPid)： 读取 /proc/self/status 中的 TracerPid 字段：

int fd = open("/proc/self/status", O_RDONLY);
char buffer[2048];
read(fd, buffer, sizeof(buffer));
close(fd);
if (strstr(buffer, "TracerPid:\t0") == NULL) { // 0 表示无调试器// 被调试
}

(4) 检测模拟器

原理： 模拟器常用于恶意分析。
检测点：
- Build 属性： ro.product.model (含 sdk, emulator), ro.kernel.qemu (1 表示 QEMU)。
- 硬件特征： 缺少传感器、特定硬件地址。
- IP 地址： 10.0.2.15 (标准 Android 模拟器 IP)。