android root檢測原理&wechat root檢測

root 檢測原理

1. 已經root設備，會增長一些特殊包或文件，因此能夠經過檢測這些包(如Superuser.apk、檢測su命令)、activity、文件是否存在來判斷。
2. app檢測是否能夠執行在root下才能運行的命令。
3. 檢測busybox工具是否存在,關於busybox的知識google上一大堆，簡單的說BusyBox
   是不少標準 Linux 工具的一個單個可執行實現。BusyBox
   包含了一些簡單的工具,例如 cat 和 echo,還包含了一些更大、更復雜的工具,例如 grep、find、moun)
4. 運行su命令
5. 檢測Android 沙盒目錄文件或文件夾讀取權限（在Android系統中，有些目錄是普通用戶不能訪問的，例如 /data、/system、/etc 等；好比微信沙盒目錄下的文件或文件夾權限是否正常）

分析環境

小米手機刷機系統

adb環境

頂部Activity

打開root權限的步驟

設置/受權管理/root權限管理

查看手機的受權管理（主要是包名）

檢測無需root權限

查看進程信息

ls -l /system/app |grep permcenter

複製代碼

查看是否有安卓root的apk

pm list packages |grep permcenter

複製代碼

固然還有就是查看com.xxx.xxxx包下是否有XXXActivity

adb shell dumpsys activity top複製代碼

android 代碼解析apk的經常使用包是net.dongliu:apk-parser:2.2.0

https://mvnrepository.com/artifact/net.dongliu.apk-parser

複製代碼

檢測busybox

xposed內攜帶有busybox

BusyBox是一個不簡單的應用中，它的可執行二進制，按說應該被定位在系統/system/xbin表示。安裝正確的BusyBox的二進制拷貝包括並建立符號連接。

# busybox pwd

cd /system/xbin
ls -l busybox複製代碼

busybox top複製代碼

檢測su

cd  /system/xbin
ls -l su複製代碼

用which命令查看是否有su 和busybox命令

$ which su
#與
$ which busybox複製代碼

wechat root檢測

在root受權管理沒有看到過wechat的受權請求，能夠認爲微信不會主動去嘗試獲取root權限，也即不會直接運行 「su」命令

在wechat代碼種有對系統path環境下的su文件進行檢查，有代碼爲證

第一個位置

第2個位置

一行代碼檢測XP/調試/多開/模擬器/root github開源地址：https://github.com/lamster2018/EasyProtector