灵魂发问“在不使用 TEE(硬件可信执行环境)的前提下,纯 Ring 3 的 App,到底还有没有可能戳破 Ring 0 内核精心编织的幻境?”前段时间,论坛里关于[KernelSU检测之“时间侧信道攻击”] 的方法讨论得沸沸扬扬。但经过我近期的实机高强度对抗测试,可以负责任地告诉大家:这个方案在最新版的 KSU 面前,已经彻底报废了。目前市面上各大银行 App、腾讯系某游戏的反作弊,Momo Hunter NativeDetector NativeTest在我搭建的这套环境下,全部变成了瞎子,检测结果全绿。
一、 测试环境与“完美幽灵态”先同步一下我的实机测试环境:设备:魅族 21 (骁龙 8Gen3)系统:Android 14KernelSU 版本:321179(LKM 动态模块加载模式)挂载模块:ResetBLProps-v1.1 (过环境) + Tricky-Store-v1.4.1 (硬件级 Keybox 伪造)最关键的前置条件(Hit and Run 模式):
在给完需要的 App Root 权限、并装完模块后,我直接把 KernelSU Manager 管理器 App 给物理卸载了!(正常人应该都这么干)。二、 传统检测方案的穷途末路如果不删除 Root 管理器 App,直接拿包名和签名检测一抓一个准。国内大厂基本都在用这套逻辑(只不过把 Java 代码翻译成 JNI 藏在自家安全 vmp so 里,做到不弹窗、系统不留痕)。这里贴一段大厂常用的、利用反射绕过 Android 11+ QUERY_ALL_PACKAGES 限制的底层扫包代码作为基准://
//<uses-permission android:name="android.permission.QUERY_ALL_PACKAGES"/>
// 通过反射获取未公开的 PackageManager 方法,强扫全盘 App
public List<ResolveInfo> getInstalledAppsWithoutPermission(Context context) {
PackageManager pm = context.getPackageManager();
Intent intent = new Intent(Intent.ACTION_MAIN);
intent.addCategory(Intent.CATEGORY_LAUNCHER);
// 反射调用 queryIntentActivities 的隐藏实现
Method queryMethod = pm.getClass().getMethod(
"queryIntentActivities",
Intent.class,
int.class
// 使用隐藏的 MATCH_ALL 标志穿透沙盒可见性
int MATCH_ALL = 0x00008000;
List<ResolveInfo> apps = (List<ResolveInfo>) queryMethod.invoke(pm, intent, MATCH_ALL);
for (ResolveInfo resolveInfo : apps) {
Log.d(TAG, "Package: " + resolveInfo.activityInfo.packageName);
return apps;
} catch (Exception e) {
e.printStackTrace();
return Collections.emptyList();
但是! 正常人/黑灰产一旦把官方 Manager 卸载,这套代码就彻底废了。
在删除管理器后,我试了十几种处于端侧“降维打击”深度的思路(包括但不限于:测系统调用耗时方差、查 VFS 挂载重定向、探 OverlayFS 魔数、搜 Zygote COW 内存残骸),全部失败!
只要处于无 Manager + 隐藏模块加持的状态下, Ring 0 把文件、内存、网络、IPC 抹得一干二净,没用的失败代码就不拿出来丢人现眼了。
三、 外网商业加固“神话”的破灭 (Appdome 实测打脸)在国内穷尽手段绝望之际,我开始去外网搜索,发现了一家名为 Appdome 的老外顶级加固/RASP 厂商。
他们在 2026年1月13日 刚刚发布了一篇高调的官方技术博客,宣称自己的 AI 引擎能完美绞杀 KernelSU:外网宣传机翻原文:
“KernelSU 攻击利用内核超级用户框架,使攻击者能够获得 Android 设备内核的 root 权限……由于这些攻击运行在典型的应用程序级防御之下,因此很难被检测到。随着基于人工智能的攻击框架能够自动执行 KernelSU 攻击,这种威胁变得日益复杂。使用 Appdome 的 AI 可以持续交付用于检测 Android 应用中 KernelSU 的插件,确保系统完整性。”老外这么牛逼?我满心欢喜,准备逆向它的 SDK 看看究竟是怎么实现 Ring 3 降维反杀的。
结果注册了账号发现死要钱,连一次试用测试的机会都不给。
后来问了 AI 发现,CitiBank(花旗银行) 的海外版 App 就重度使用了他们的这套顶级加固,抓取 APK 解包后也确实确定存在 libloader.so(Appdome 的核心壳)。实战测试结果来了,非常滑稽:
我拿着这台处于“幽灵态 KSU”的魅族 21 打开了花旗银行。
Appdome 的壳确实报警并自杀了,但我抓日志一看,它只发现了我的手机开启了“开发者模式”!
当我把“开发者模式”关闭后,花旗银行 App 畅通无阻,完美运行,甚至还能丝滑地进行转账操作!所谓的“AI 检测内核”,在卸载了 Manager 的 KernelSU 面前,连底裤都被扒没了,根本检测不到 KSU 的存在。
四、 绝望与求教无论是时间侧信道的失效,还是国外顶级加固厂商的翻车,都在指向一个令人绝望的事实:
当高权限(Ring 0)铁了心要对低权限(Ring 3)装死,并且切断所有用户态交互接口时,防守方似乎真的无计可施了。难道现代 Android 底层对抗,真的只能彻底向 TEE / Play Integrity 硬件级校验投降了吗?而且魅族目前没有对标 Google Play Integrity 的统一云端校验 API 开放如果遇到不强制校验硬件环境的业务场景,我们该如何自救?各位看雪的大佬,谁有办法或者能
...(已截断)
---
来源: 看雪论坛
原文链接: https://bbs.kanxue.com/thread-290301.htm
[讨论]Ring 3 的绝望:当 KernelSU 进入“无管理器”的完美幽灵态,用户态真的无解了吗?
432 浏览
17 回复
Ylarod
新方案我设计的,除非系统权限设计有异常,不然找不到的,如果能找到的可以私聊我修复
要是能找到肯定私发你一份和公布在论坛上 我是希望root生态繁荣的 至少让大家有选择 而不是完全消失
新方案我设计的,除非系统权限设计有异常,不然找不到的,如果能找到的可以私聊我修复
要是能找到肯定私发你一份和公布在论坛上 我是希望root生态繁荣的 至少让大家有选择 而不是完全消失
世界美景
试了 没用 目前市面上各大银行 App、腾讯系某游戏的反作弊,Momo Hunter NativeDetector NativeTest在我搭建的这套环境下,全部变成了瞎子,检测结果全绿。
最新的momo现在是通过dma检测了吗?前几天我看貌似是 ioctl /dev/mali0 直接拿物理地址核对,没仔细看,不知道作者有了解没,我过hunter的环境过不了最新版momo的检测
试了 没用 目前市面上各大银行 App、腾讯系某游戏的反作弊,Momo Hunter NativeDetector NativeTest在我搭建的这套环境下,全部变成了瞎子,检测结果全绿。
最新的momo现在是通过dma检测了吗?前几天我看貌似是 ioctl /dev/mali0 直接拿物理地址核对,没仔细看,不知道作者有了解没,我过hunter的环境过不了最新版momo的检测
珍惜Any
试试hunter,侧信道一打一个准
作者都说了,新方案 已经堵上侧信道的方式了。
试试hunter,侧信道一打一个准
作者都说了,新方案 已经堵上侧信道的方式了。
珍惜Any
试试hunter,侧信道一打一个准
试了 没用 目前市面上各大银行 App、腾讯系某游戏的反作弊,Momo Hunter NativeDetector NativeTest在我搭建的这套环境下,全部变成了瞎子,检测结果全绿。
试试hunter,侧信道一打一个准
试了 没用 目前市面上各大银行 App、腾讯系某游戏的反作弊,Momo Hunter NativeDetector NativeTest在我搭建的这套环境下,全部变成了瞎子,检测结果全绿。
试试hunter,侧信道一打一个准
Hades一KXXY
安卓我研究的不多,但是按PC上的经验,谁越底层谁的权力越大,R3无论如何都难以和R0对抗,即使有也是临时性的,不然你猜为什么国内手机厂商都不开BL,源头掐死.
是的,所以直接放弃了。这个问题本身就应该由手机厂商解决,用户态权限完全不对等。就算发现一个规则上的漏洞,人家分分钟就能修好,不值得投入大量时间。前几天有点上头了……
安卓我研究的不多,但是按PC上的经验,谁越底层谁的权力越大,R3无论如何都难以和R0对抗,即使有也是临时性的,不然你猜为什么国内手机厂商都不开BL,源头掐死.
是的,所以直接放弃了。这个问题本身就应该由手机厂商解决,用户态权限完全不对等。就算发现一个规则上的漏洞,人家分分钟就能修好,不值得投入大量时间。前几天有点上头了……
安卓我研究的不多,但是按PC上的经验,谁越底层谁的权力越大,R3无论如何都难以和R0对抗,即使有也是临时性的,不然你猜为什么国内手机厂商都不开BL,源头掐死.
最后于 2026-3-18 10:18
被Hades一KXXY编辑
,原因:
最后于 2026-3-18 10:18
被Hades一KXXY编辑
,原因:
321179是什么版本
TQL
用户态想跟内核态对抗根本不可能,pc就是个例子,dma硬件层最后还是靠cpu虚拟化解决,想越阶挑战,真的洗洗睡吧。
最新的不解锁fastboot关selinux提权漏洞,这个更难办
个人感觉检测的最优解还是和厂商合作,从更底层解决
个人感觉检测的最优解还是和厂商合作,从更底层解决
木志本柯
设计思想的问题,哪怕是用户层 只要主板芯片组和cpu愿意提供相关的访问接口 用户层就能查。
华米OV是有对标谷歌Play Integrity接口查询的 但是小厂的手机基本都没有 对这个事情最头疼的应该是游戏厂商 内核挂满天飞 只能靠风控筛异常数据了 比如一局的大部分人都被一个人杀了
设计思想的问题,哪怕是用户层 只要主板芯片组和cpu愿意提供相关的访问接口 用户层就能查。
华米OV是有对标谷歌Play Integrity接口查询的 但是小厂的手机基本都没有 对这个事情最头疼的应该是游戏厂商 内核挂满天飞 只能靠风控筛异常数据了 比如一局的大部分人都被一个人杀了
新方案我设计的,除非系统权限设计有异常,不然找不到的,如果能找到的可以私聊我修复
最后于 2026-3-13 14:12
被Ylarod编辑
,原因:
最后于 2026-3-13 14:12
被Ylarod编辑
,原因:
木志本柯
设计思想的问题,哪怕是用户层 只要主板芯片组和cpu愿意提供相关的访问接口 用户层就能查。
确实,说的好
设计思想的问题,哪怕是用户层 只要主板芯片组和cpu愿意提供相关的访问接口 用户层就能查。
确实,说的好
mb_cfjwplfo
用户态想跟内核态对抗根本不可能,pc就是个例子,dma硬件层最后还是靠cpu虚拟化解决,想越阶挑战,真的洗洗睡吧。
设计思想的问题,哪怕是用户层 只要主板芯片组和cpu愿意提供相关的访问接口 用户层就能查。
用户态想跟内核态对抗根本不可能,pc就是个例子,dma硬件层最后还是靠cpu虚拟化解决,想越阶挑战,真的洗洗睡吧。
设计思想的问题,哪怕是用户层 只要主板芯片组和cpu愿意提供相关的访问接口 用户层就能查。