KernelSU检测之“时间侧信道攻击”

最新推荐文章于 2026-06-27 09:26:40 发布
原创 最新推荐文章于 2026-06-27 09:26:40 发布 · 890 阅读 · 14 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#网络 #人工智能

KernelSU检测之“时间侧信道攻击”

背景

​ 偶然间拿到一个海外Bank的样本,打开后出现崩溃的现象,但是我的手机只刷了KernelSU,并且还魔改过的,以前一直都是过五关斩六将,但是这个app为什么会崩溃呢,难道说是检测到我的环境装了KernelSU?带着这个疑问对这个样本进行了一系列惨无人道的摧残,发现确实检测了KernelSU,并且不是普通的检测方式,而是鲜少听闻的”侧信道攻击“检测。

在开始之前说下什么是“侧信道攻击”。

什么是“侧信道攻击”?

核心概念:不正面强攻,而是“旁敲侧击”

想象一下,你想知道一个保险箱的密码,但你并不去尝试破解它的机械结构或电子锁。

  • 传统攻击(正面攻击):你试图用听诊器听密码锁的声音,或者用炸药强行炸开。
  • 侧信道攻击(旁敲侧击):你不直接碰锁,而是去:
    • 测量:转动密码盘时,保险箱发出的微弱声音或振动。
    • 观察:主人输入密码时,他手指的运动轨迹和按键上的指纹磨损。
    • 计时:记录主人从开始输入到打开箱门所花费的总时间。
    • 分析功耗:如果这是一个电子锁,你测量它在尝试不同密码时的微小电量消耗差异。

通过分析这些间接信息,你很有可能推断出正确的密码。这种通过收集和分析系统在运行过程中产生的物理间接信息,而不是直接攻击算法或代码本身,来获取秘密信息的攻击方式,就叫做侧信道攻击

常见侧信道攻击类型一览表

攻击类型攻击原理典型例子关键特点
计时攻击测量操作执行时间,通过时间差异推断数据。例如,字符串比较时,早期返回错误会导致更短的执行时间。1. 分析网站登录验证,猜测用户名和密码。 2. 通过测量RSA解密操作的时间来推测私钥。纯软件攻击,无需物理接触。依赖代码逻辑不是“恒定时间”的。
功耗分析攻击测量设备运行时芯片的功耗波动。处理不同数据(0或1)时功耗有微小差异,分析这些“功耗轨迹”可还原密钥。1. 攻击智能卡、加密狗。 2. 攻击POS机,窃取信用卡PIN码。需要物理接近和精密仪器(如示波器)。分为简单功耗分析(SPA)和差分功耗分析(DPA)。
电磁分析攻击测量设备运行时散发的电磁辐射。与功耗分析类似,电磁辐射也携带着与当前操作和数据相关的信息。1. 通过探测手机CPU的电磁辐射,还原其正在运行的加密算法和密钥。 2. 攻击接触式/非接触式智能卡。是一种“非侵入式”攻击,可以在一定距离外进行。信息量可能比功耗更丰富。
声音攻击录制设备运行时的声音,分析其机械部件的声学特征,来还原处理的信息。1. 通过点阵打印机的声音还原打印内容。 2. 通过键盘敲击声识别输入的按键。 3. 通过硬盘寻道声推测读取的数据。利用的是机械振动产生的声音,对麦克风灵敏度要求高。
缓存攻击利用CPU缓存的访问时间差异(缓存命中快,未命中慢)。通过监控自身程序的访问速度,来探测受害者进程的缓存使用情况,从而泄露信息。1. Spectre(幽灵)Meltdown(熔断) 漏洞就是利用缓存侧信道跨进程窃取内核内存数据。 2. 在云环境中,攻击同一物理主机的其他虚拟机。是现代CPU微架构中最重要的侧信道之一,威胁云安全。
光学攻击使用高分辨率相机等设备,捕捉设备运行时泄露的光学信息。

分析

样本so用了AppGuard加固,且应用自身的so被加密了,节约时间就直接步入正题。

检测方式用的是“时间侧信道攻击”

检测代码

这是ksu的检测代码,接下来对其进行拆解

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

61

62

63

64

65

66

67

68

69

70

71

72

73

74

75

76

77

78

79

80

81

82

83

84

85

86

87

88

89

__int64 __fastcall ksu_check(void *a1)

{

  __int64 v1; // x0

  __int64 *v2; // x22

  __int64 v3; // x19

  __int64 v4; // x0

  void **v5; // x21

  __int64 v6; // x20

  __int64 v7; // x0

  __int64 i; // x20

  __int64 v9; // x19

  __int64 v10; // x0

  __int64 j; // x20

  __int64 v12; // x19

  __int64 (__fastcall *v13)(const void *, const void *); // x19

  __int64 v14; // x20

  void *v15; // x0

  int32x2_t v16; // d0

  int64x2_t v17; // q1

  uint64x2_t *v18; // x8

  int64x2_t *v19; // x9

  int32x2_t v20; // d2

  uint64x2_t v21; // q3

  uint64x2_t v22; // q4

  int32x2_t v23; // d0

  unsigned __int32 v24; // s0

  LODWORD(off_132FC0) = sub_67AF8(a1);

  if ( off_132FC0 >= 2 )

  {

    sub_67E1C();

    if ( off_132FD8 )

      sub_67F8C();

  }

  v1 = sub_539B0(80000LL);

  v2 = d1_ptr;

  v3 = v1;

  *d1_ptr = v1;

  v4 = sub_539B0(80000LL);

  v5 = d2_ptr[0];

  v6 = v4;

  *d2_ptr[0] = v4;

  sub_54EB0(v3, 0LL, 80000LL);

  v7 = sub_54EB0(v6, 0LL, 80000LL);

  for ( i = 0LL; i != 80000; i += 8LL )

  {

    v9 = sub_67AD8(v7);

    v10 = sub_54E70(48LL, 0xFFFFFFFFLL, 0LL, 0xFFFFFFFFLL, 0LL);

    v7 = sub_67AD8(v10);

    *(*v2 + i) = v7 - v9;

  }

  for ( j = 0LL; j != 80000; j += 8LL )

  {

    v12 = sub_67AD8(v7);

    v7 = sub_67AD8(linux_eabi_syscall(__NR_fchownat, -1, 0LL, 0, 0, -1));

    *(*v5 + j) = v7 - v12;

  }

  v13 = compare;

  v14 = 10000LL;

  sub_557B0(*v2, 10000LL, 8LL, compare);

  sub_557B0(*v5, 10000LL, 8LL, v13);

  v15 = *v2;

  v16.n64_u64[0] = 0LL;

  v17 = vdupq_n_s64(1uLL);

  v18 = (*v2 + 16);

  v19 = (*v5 + 16);

  v20.n64_u64[0] = 0LL;

  do

  {

    v21 = v18[-1];

    v22 = *v18;

    v18 += 2;

    v14 -= 4LL;

    v16.n64_u64[0] = vsub_s32(v16, vmovn_s64(vcgtq_u64(v21, vaddq_s64(v19[-1], v17)))).n64_u64[0];

    v20.n64_u64[0] = vsub_s32(v20, vmovn_s64(vcgtq_u64(v22, vaddq_s64(*v19, v17)))).n64_u64[0];

    v19 += 2;

  }

  while ( v14 );

  v23.n64_u64[0] = vadd_s32(v20, v16).n64_u64[0];

  v24 = vadd_s32(v23, vdup_lane_s32(v23, 1)).n64_u32[0];

  if ( v24 > 0x1B58 )

  {

    sub_681AC(v24);

    v15 = *v2;

  }

  operator delete(v15);

  operator delete(*v5);

  return 0LL;

}

拆解分析

阶段1:环境初始化

1

2

3

4

5

6

7

LODWORD(off_132FC0) = sub_67AF8(a1); // 获取 CPU 核心数

if ( off_132FC0 >= 2 )

{

  sub_67E1C();  // 分析 CPU 性能

  if ( off_132FD8 )

    sub_67F8C();// 绑定到高性能核心

}

作用:

  • 获取核心数,评估性能并识别大核

  • 绑定到高性能核心以稳定测量

阶段2:内存分配

1

2

3

4

5

6

7

8

9

10

v1 = sub_539B0(80000LL);//sub_539B0-->malloc

v2 = d1_ptr;

v3 = v1;

*d1_ptr = v1;

v4 = sub_539B0(80000LL);

v5 = d2_ptr[0];

v6 = v4;

*d2_ptr[0] = v4;

sub_54EB0(v3, 0LL, 80000LL);//sub_54EB0-->memset

v7 = sub_54EB0(v6, 0LL, 80000LL);

作用:为时间数据分配并清零内存

阶段3:收集时间

这里会收集两个函数的执行耗时

1

2

3

4

5

6

7

8

9

10

11

12

13

for ( i = 0LL; i != 80000; i += 8LL )

{

  v9 = sub_67AD8(v7);//开始时间

  v10 = sub_54E70(48LL, 0xFFFFFFFFLL, 0LL, 0xFFFFFFFFLL, 0LL);//sub_54E70-->syscall

  v7 = sub_67AD8(v10);//结束时间

  *(*v2 + i) = v7 - v9;

}

for ( j = 0LL; j != 80000; j += 8LL )

{

  v12 = sub_67AD8(v7);//开始时间

  v7 = sub_67AD8(linux_eabi_syscall(__NR_fchownat, -1, 0LL, 0, 0, -1));

  *(*v5 + j) = v7 - v12;//结束时间

}

1

2

3

4

5

6

7

8

9

unsigned __int64 sub_67AD8()//提供纳秒级计数器值

{

  unsigned __int64 result; // x0

  __isb(0xFu);// 指令同步屏障

  result = _ReadStatusReg(CNTVCT_EL0);// 读取虚拟计数器

  __isb(0xFu);// 指令同步屏障

  return result;

}

分别收集__NR_faccessat和__NR_fchownat的执行时间

阶段4:排序数组

1

2

3

4

v13 = compare;

 v14 = 10000LL;

 sub_557B0(*v2, 10000LL, 8LL, compare); //sub_557B0-->qsort

 sub_557B0(*v5, 10000LL, 8LL, v13);

作用:稳定比较,减小极值影响

阶段5:NEON 向量化比较

1

2

3

4

5

6

7

8

9

10

11

12

13

do

 {

   v21 = v18[-1];

   v22 = *v18;

   v18 += 2;

   v14 -= 4LL;

   v16.n64_u64[0] = vsub_s32(v16, vmovn_s64(vcgtq_u64(v21, vaddq_s64(v19[-1], v17)))).n64_u64[0];

   v20.n64_u64[0] = vsub_s32(v20, vmovn_s64(vcgtq_u64(v22, vaddq_s64(*v19, v17)))).n64_u64[0];

   v19 += 2;

 }

 while ( v14 );

 v23.n64_u64[0] = vadd_s32(v20, v16).n64_u64[0];

 v24 = vadd_s32(v23, vdup_lane_s32(v23, 1)).n64_u32[0];

作用:并行比较并累加异常计数

这段代码理解起来可能比较吃力,换个如下实现方式就非常清晰了

1

2

3

4

5

6

uint32_t anomaly = 0;

for (int i = 0; i < NUM_SAMPLES; i++) {

    if (baseline[i] > syscall_array[i] + 1) {

        anomaly++;

    }

}

就是单纯的比较NR_faccessat数组和NR_fchownat数组里的元素大小,当出现NR_faccessat>NR_fchownat的情况是就记录为一次异常,往后依次自增。

用NEON的目的是为了提升代码执行性能。

阶段6:判断与处理

1

2

3

4

5

if ( v24 > 0x1B58 )// 阈值 0x1B58 = 7000

{

  sub_681AC(v24); // 检测到 KernelSU,触发处理

  v15 = *v2;

}

作用:超过阈值时判定存在 hook,并触发回调

阶段7:清理资源

1

2

3

operator delete(v14);

operator delete(*v5);

return 0;

KernelSU源码针对分析

针对这块的检测我们可以简单看看KernelSU的hook

实现方式

为何选择faccessat检测

  • 选择 faccessat 因其在 KSU hook 列表中,且满足“简单、快速、失败无副作用”的要求

  • 其他 hook 调用要么更复杂,要么有副作用,不适合用作可靠的基线或被测调用

一般来说faccessat的执行速度是要比fchownat快的,如果faccessat出现大量慢于fchownat的情况,那么说明环境有异常。

实践

Android 15

Android 10

小结

// 正常路径

syscall -> kernel -> 快速返回

时间:50-100 纳秒

// 有任何拦截后

syscall -> kernel -> hook层 -> 返回

时间:200-500 纳秒

总结

“侧信道攻击”防护确实非常有效,感觉针对这种防护的方式只有进一步去魔改对应的hook函数了,要么就针对处理检测函数。

Android KernelSU魔改管理器规避检测
学习记录
08-22 2580
在当前的风控环境下很多大厂的App游戏等都会检查当前用户的安装应用列表,特别是KernelSU的管理器,如果我们想很好的隐藏一个App,需要其他环境支持,目前来说隐秘空间,隐藏应用列表等等都需要lsp为基础。那路走歪了。我们需要的是尽可能减少特征。下面是超级详细的方案。
KernelSU: 内核 ROOT 方案, KernelSU KernelSU KernelSU 新的隐藏root防止检测 封号方案
热门推荐
z920981023的博客
01-06 2万+
KernelSU,顾名思义,就是基于内核的 SU。它通过自定义内核,直接在内核中赋予目标进程 root 权限。何为 root?。其实 KernelSU 很早就有人提出了来了,大约 2018 年的时候,XDA 上的 zx2c4 就给出了一个简单的实现[1];虽然整个实现非常简单,但它的确给我们展示了另外一种可能。后来,LSPosed 团队在实现 WSA 的 Magisk 方案的时候,也曾通过 KernelSU 来 root WSA[2]。
彻底解决KernelSU管理器检测问题:从识别到修复的完整指南
gitblog_00379的博客
09-11 1209
KernelSU作为基于内核的Android root解决方案,其管理器应用需要与设备内核深度交互以实现权限管理、模块加载等核心功能。当管理器显示"不支持""检测失败"或功能异常时,通常源于以下三类核心矛盾: 1. **内核兼容性矛盾**:设备内核版本低于4.14或未满足GKI 2.0规范 2. **系统状态矛盾**:Bootloader未解锁或AVB验证未正确关闭 3. **配置完整...
【亲测免费】 探索KernelSU:一款强大的Linux内核安全更新工具
gitblog_00045的博客
03-21 1650
探索KernelSU:一款强大的Linux内核安全更新工具 【免费下载链接】KernelSU A Kernel based root solution for Android 项目地址: https://gitcode.com/GitHub_Trending/ke...
KernelSU深度解析:基于GKI内核的ROOT革新与隐藏检测实战
最新发布
weixin_29227585的博客
06-27 25
本文深入解析了KernelSU如何基于GKI内核实现ROOT权限管理的革新,并详细介绍了其隐藏检测的实战技术。KernelSU通过内核级权限管控、无痕系统调用拦截和数字签名验证等突破性技术,有效规避传统ROOT检测,为Android设备提供了更安全、高效的解决方案。
Unity PICO4 学习记录8: WebRTC
m0_63485455的博客
06-22 728
这一篇和PICO本身没什么关系,只是记录一下开发过程我们要做一个“从超声设备采集影像数据,一对多地传给XR眼镜终端以及其他可能的设备”应用。发送端是Jetson,由同事负责;接收端XR眼镜端由我负责。同事说视频采集卡例程里给了两种通信协议:RSTP和WebRTC.一开始我尝试用HoloLens2,因为老师和医生们似乎更喜欢OST而不是VST;但是UWP ARM64 媒体栈对 RTSP 支持弱、MixedReality-WebRTC 停更,所以 HL2 不适合当主验证平台。
极低温测量的“狙击手”:DABT-PT509高精度PT100采集卡与工业物联网接入实战
siyuanshen0302的博客
06-24 464
大家好,我是ZLinear的硬件工程师。在之前的温度采集专题中,我们聊了专攻高温热电偶的“特种兵”DABT7668TC,以及“双模双待”的DABT7689。很多做制冷、化工、实验室设备的工程师私信问我:“张工,我的应用场景里没有上千度的高温,都是-200℃到600℃的极低温或者常温区(比如冷库、反应釜、液氮罐)。我需要极其稳定的测量,哪怕0.1℃的波动都会影响产品质量。有没有专门针对PT100优化的高性价比方案?当然有。今天,就为大家正式介绍我们ZLinear测温产品线中的“狙击手”——
项目篇:服务器模块及客户端的设计与实现
lxscxk的博客
06-23 600
项目服务器编写
【GetShell】kkFileView ZipSlip远程命令执行漏洞
Eason_LYC安全白帽子的成长博客
06-21 452
一个压缩包,点两下预览,服务器归你了。 kkFileView 这玩意儿企业里到处都是,解压的时候心大得离谱 —— 你在压缩包里写个 路径穿越,它真敢往根目录写。就像快递员送货,你填啥地址他都信,半点儿不验。 光写文件还不够,巧的是它自带的 LibreOffice 启动时会自动跑一个 Python 脚本。把这俩一串联:先覆写脚本,再点个文档预览,代码直接就执行了。这篇带你真刀真枪拿到 Shell。
Ricon组态 - 新一代工业可视化解决方案
by993的博客
06-22 432
在数字化转型的浪潮中,工业可视化已经成为企业提升效率、优化运营的关键利器。Ricon组态作为新一代工业组态软件,正以其卓越的性能和创新的设计理念,引领行业变革。
如何理解数据包在Linux内核中的完整运行:从网卡到应用程序
SDWAN_Cheap的博客
06-25 480
数据包从网卡到应用程序的旅程,是Linux内核网络栈精妙设计的集中体现。从硬件层:DMA绕过CPU直接写入内存从中断层:硬中断快速响应,软中断批量处理从协议层:sk_buff指针操作实现零拷贝,NAPI机制平衡中断与轮询从应用层:socket队列解耦协议处理与应用程序读取每一个环节的设计都经过深思熟虑,既要考虑性能,也要考虑通用性和可扩展性。当你掌握了数据包在内核中的运行路径,你也就掌握了一种系统性的排查方法:网络不通 → 检查路由表和iptables。
【学习笔记】tcpdump+Wireshark抓包(1)
2402_82757055的博客
06-22 580
网络上的通信,本质上是数据被拆成一个个 数据包(Packet),经过网卡发送和接收。抓包 = 在某个网卡上,把经过的数据包 复制一份 保存下来,供后续分析。
四轴运动控制系统 — 博客四 Modbus TCP/RTU 通信、大端字节序、数据轮询与异常处理
Freedom的博客
06-23 493
结论:ABCD = 大端模式。 Q2: “大端对应低地址存放高字节,值 1 存放为 0000 0001,数组 0 是低地址,所以把 0001 放进去了?” 答:混淆了两个概念——“16 位寄存器内部字节序""两个寄存器之间的顺序”。答:对,这是寄存器级别的理解。 Q4: Bit 层面最左边永远是高位,地址层面最左边就是低位? 答:对,两个不同的维度。 Q5: 断开连接后 MessageBox 一直弹窗怎么修复? 答:轮询异常的 catch 块中缺少"只弹一次"的标志位控制。原因: 每隔 200ms 触发一
聚铭网络受邀加入南京市雨花台区人工智能学会理事会成员单位
juminfo的博客
06-22 389
南京市雨花台区人工智能学会是由雨花台区科学技术协会担任业务主管,经规范登记设立的非营利性社会团体。学会汇聚人工智能领域权威专家、重点科研院所、头部科技企业及行业专业组织,是区域内链接产学研用、推动AI产业协同创新的核心平台。秉持“开放、合作、共享”的发展理念,学会常态化开展学术研讨、技术交流、成果转化、政策解读、行业培训等多元活动,持续搭建高层次资源对接平台,助力辖区人工智能企业提升核心竞争力,推动雨花台区人工智能产业规范化、高质量发展。
LINUX 网络编程2
qq_63242661的博客
06-23 519
三次握手:TCP建立连接的时候需经过三次握手,确保通讯双方都已经准备就绪。四次挥手:断开连接,确保通信双方在断开连接前都已经收发数据结束。3. 带有帧头帧尾的自定义协议,应用层根据协议精准解析。2. 每包数据增加分隔符,应用层根据分隔符解析。注意:注意结构体在不同平台上字节数不一致问题。粘包是 TCP 编程中最常见的问题之一,指。可以由客户端发起,也可以由服务端发起。
跨境网络接入方案的技术选型:运营商专线与IDC专线的差异分析
Bobolink_的博客
06-25 582
运营商专线是由中国电信、中国联通、中国移动等基础电信运营商直接提供的网络接入服务。运营商拥有国际海缆、陆缆、国际出入口局等底层物理网络资源的完整所有权和运营权,用户通过运营商拉通物理或逻辑专线接入骨干网络,再连接到目标地区的网络节点。IDC专线是由数据中心服务商在运营商网络之上封装的产品。服务商从运营商租用带宽和线路资源,结合自有技术能力进行整合、优化和转售。用户向IDC服务商购买专线服务,但底层物理资源实际上仍然来自运营商。
MCP Server Docker 隔离实践:文件、网络、Token 和权限边界
mliev的博客
06-25 236
本文介绍了在团队AI编程工具接入MCP Server前的Docker隔离检查方案。重点是通过容器化限制MCP Server权限,避免直接继承主机权限导致的安全风险。文章针对文件类、数据库类等不同MCP Server提供了具体的Docker配置建议,包括禁用网络、挂载特定目录、使用内部网络等隔离措施,并给出了包含镜像来源、用户权限、文件系统等维度的完整检查清单。最后强调Docker沙箱只是安全治理的基础,还需配合最小权限、网络策略等综合措施。
TCP/IP有线网络温湿度变送器 替代485设备升级改造解决方案
honsor的博客
06-23 235
POE以太网温湿度变送器技术解析与应用优势 新一代POE供电TCP/IP温湿度变送器通过单根网线实现供电与数据传输,解决传统设备的布线复杂、传输距离短、兼容性差等痛点。其核心技术包括: 极简部署:支持IEEE 802.3af/at标准POE供电,无需额外电源线,降低30%施工成本; 稳定传输:以太网通信最远100米,抗干扰强,支持千台设备独立IP组网; 高精度监测:±0.2℃和±1.5%RH精度,适配档案库房、机房等严苛场景; 无缝对接:原生兼容Modbus TCP/SNMP协议,直连BMS、动环等平台;
深耕网络安全防护:解析高防服务器核心优势与选型价值
dexunjiaqiang的博客
06-25 251
高防服务器凭借强悍的抗攻击能力、极致的运行稳定性、低成本的运维优势、灵活的扩展能力与全方位的数据防护体系,完美解决了普通服务器的各类安全短板,成为数字化业务的安全基石。网络安全无小事,一次小小的网络攻击,就可能引发业务瘫痪、数据泄露、口碑崩塌、经济亏损等一系列连锁问题。未来,网络攻击手段将持续迭代升级,网络安全防护难度只会不断提升。
GitHub - mukul975/Anthropic-Cybersecurity-Skills: 817个结构化网络安全技能,适用于AI代理
06-23 493
⚠️— 本项目为独立社区创建,与 Anthropic PBC 无任何关联。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值