春秋检测，教程全扩展，有一部分是我弄的

1.Found lnjection 01,02,03 >>更新zygisk到1.2.9 2.Miscellaneous Check (13) >>使用susfs模块 3.ro.boot.vbmeta.avb_version>>先排查模块是否有解决boot异常一类的模块，如果有先删掉，最后使用ss setprop修改属性为1.2就行了 4.伪装内核版本>>在伪装是将post勾选上 5.可疑应用痕迹>>先看发现的应用的包名，然后使用隐藏应用列表黑或者白名单，隐藏即可 6.Suspicious Surroundings（b）使用链接跳转中的一键过ssb即可过 7.如有更多问题或者下一期想让我出什么，可直接点击加入我们跳转，反馈即可继续发一期春秋检测点的说明和原理吧，首先就是大家经常碰到的问题，例如图2，先说这个，发现可疑应用痕迹，细心的人仔细看就会发现从com.往后面就是这个应用的包名，如果有人爆出了本条问题，根据提示删除即可解决。 2.然后就是这个可疑环境b,Suspicious Surroundings b 本条检测的检测原理是通过查找tmp的inode的数值，正常未经删除过的话，数值通常在一位数到两位数，当使用过外挂删除过tm p又自己添加回来以后，数值则会变成几万甚至几百万，此时触发判定条件出现b 3.found lnjection［01/02/03/］此系列检测都是检测到了zygisk ,将模块做更新即可 4.风险应用包括很多，包括于Mt管理器,甚至于端口,如存在疑问，可以通过公告反馈 Found Injection 01 > 发现了zygisk的注入 Found Injection 02 >发现了zygisk的注入 Found Injection 03 >发现了zygisk的注入发现ro.boot.vbmeta.avb_verson 本条检测到其版本号为2.0,也是修改了,遥遥领先人家,目前最新都没有1.5,想提示疑似是那个打三刀的修复Boot模块所造成发现>> /dev/pts/ [n]，本条其实大概率是因为使用了交互式终端所导致的问题，例如Mt的终端模拟器，不过根据目前已知消息，发现福尔摩斯好像也会生 Evil loop 此桥检测是因为刷入了异常模块，导致cop文件权限被改成了000，这是很明显的异常,解决办法删除模块并且恢复文件夹权限恢复成555 2.bl状态异常 *顾名思义使用Tricy_Stone模块解决 4.Abnormal Environment(02) 检查西米露残留 *创建一个sh脚本 Root使用以下命令： resetprop persist.hyperceiler.log.level "" resetprop --delete persist.hyperceiler.log.level 然后重启手机 5.Abnormal Environment(外挂文件) 发现外挂文件 *手动排除或者执行清理脚本 7.Abnormal Environment(04) 根据所提示的路径去删除即可 *以下是检查的所有文件/文件夹(无后缀的是文件夹) /data/local/stryker Stryker残留 /data/system/AppRetention AppRetention残留 /data/local/tmp/luckys LuckyTool残留 /data/local/tmp/input_devices scene残留 /data/local/tmp/HyperCeiler 西米露残留 /data/local/tmp/simpleHook simple Hook残留 /data/local/tmp/DisabledAllGoogleServices 谷歌省电模式残留 /data/local/MIO 解包软件 /data/DNA 解包软件 /data/local/tmp/cleaner_starter 质感清理残留 /data/local/tmp/byyang /data/local/tmp/mount_mask /data/local/tmp/mount_mark /data/local/tmp/scriptTMP /data/local/luckys /data/local/tmp/horae_control.log /data/gpu_freq_table.conf /storage/emulated/0/Download/advanced /storage/emulated/0/Documents/advanced /data/system/NoActive /data/system/Freezer /storage/emulated/0/Android/naki /data/swap_config.conf /data/local/tmp/resetprop 注意：删除/data/local/tmp里面的文件(会导致Suspicious Surroundings(b)) 8.发现GG修改器运行痕迹 */storage/emulated存在legacy文件夹删不掉的使用爱玩机工具箱的文件粉碎(文件与媒体--文件/文件夹摧毁) 9.发现算法助手残留发现存在/data/system/junge文件夹 *删掉/data/system/junge文件夹 10.发现正在运行的MT管理器/发现MT管理器或运行日志 *重定向/storage/emulated/MT2文件夹建议重定向在/data/adb目录里(放在外部存储目录可以被直接搜索查到) 如果里面有重要文件直接移动MT2文件夹到你要重定义的目录 11.第三方内核系统内核版本异常命名 *使用susfs模块 12.风险应用[n] 玩机应用检查(读取应用列表) +/storage/emulated/0/Android/data应用外部文件检查？ *使用隐藏应用列表或隐秘空间 13.Covert test(f) 发现在/data存在swap_config.conf文件 *直接删除 14.Covert test(gg) 同8/ART参数异常？ 15.Found Scene(01) dev文件检查 *发现/dev/cpuset/scene-daemon文件夹与/dev/Scene文件夹随机重命名即可 16.Found bl hide 发现隐藏BL列表？ 17.Detected anomalous file(Miscellaneous(a))发现/storage/emulated/0/Android/data存在风险应用外部储存文件 *直接删除即可/使用隐藏应用列表 18.ADB[running] USB调试已开启 *进入开发者选项关闭USB调试 19.Cavert test(a)/Abnormal Environment(1)发现/data/data存在风险应用外部储存文件，使用隐藏应用列表 *使用隐藏应用列表 20.Found Su 发现超级用户进程 *使用Shamkio模块 21.Found XP /data/local/tmp文件检查 *清除tmp里面的所有文件 22.不合法的哈希值 *使用密钥验证/Native Detector 获取Boot hash(Boot哈希值即一串数字+英文字母)创建一个sh脚本使用root权限执行以下命令： resetprop ro.boot.vbmeta.digest 你自己的哈希值 Found Scene(3) *发现Scene无障碍服务使用R安装组件-扩展(需要依靠R安装组件使用)/DoNotTryAccessibility XP模块(Lsp官方仓库自行搜索) 26.Found Injection(01)/(02)/*(03) 发现Zygisk_Next 更新最新版本1.2.9 更新shamkio 更新lsp 在/data/adb/zygisksu/创建no_mount_znctl文件然后重启 27.Suspicious Surroundings(a) /data/local/tmp存在修改文件 *有sh脚本或应用在该目录创建了文件可以通过stat命令被检测到可以尝试先进行清空(会得到Suspicious Surroundings(b)) 然后等系统随缘进行重置不要使用Scene/shizuku等会在该目录创建依赖文件的应用谨慎使用脚本做完以上操作后可以尝试不断开关机系统也有可能进行重置或者进行刷机(必定重置) 28.Suspicious Surroundings(b) /data/local/tmp文件夹被修改 *解决方案看27 29.Found HideApplist *也许是prop出现异常属性？创建一个sh脚本使用Root执行以下命令： resetprop persist.sys.vold_app_data_isolation_enabled "" resetprop persist.zygote.app_data_isolation "" resetprop --delete persist.sys.vold_app_data_isolation_enabled resetprop --delete persist.zygote.app_data_isolation 之后重启手机 30.Covert test (10) 发现外部存储存在sh脚本 *在外部存储目录搜索进行整理统一放置在无法读取的目录 31.Environment Changed(vbmata) VBmeta的大小异常 *一般不会出现这问题(也有可能是安装了隐藏boot状态异常模块所导致) 在Root之前可以在MT终端使用使用getprop ro.boot.vbmeta.size 获取值 Root之后出现此问题创建一个sh脚本使用root执行以下命令 resetprop ro.boot.vbmeta.size 你之前的值 32.伪装内核版本 *使用susfs进行构造内核信息与构造信息伪装 33.春秋已被隐藏应用列表隐藏 *检测到异常挂载由于春秋SDK已升到30 系统会自动进行隔离可以尝试使用隐秘空间(与隐藏应用列表不冲突)对风险应用进行隐藏隐藏应用列表不勾选春秋检测 34.找到可疑应用痕迹发现/storage/emulated/0/Android/data存在风险应用外部储存文件 *直接删除即可(这是使用漏洞进行强行访问的隐藏应用列表无效) 35.Found Injection(c) 发现/data/local/tmp存在yshell文件夹（春秋检测排查，其他可参考） 1.Tarmper Attribute属性篡改系统prop被修改 *检查/data/adb/modules模块是否存在system.prop或resetprop命令排查除了增强环境隐藏之外的命令适当做出取舍 2.bl状态异常 *顾名思义使用Tricy_Stone模块解决 3.Suspected Risk 排查各种玩机应用 4.Abnormal Environment(02) 检查西米露残留 *(本人不是小米设备不了解) 5.Abnormal Environment(Cheat) 发现外挂文件 *手动排除或者执行清理脚本 6.Covert test(c) 恢复loop文件权限 7.Abnormal Environment(04) dev文件检查+/data/local/tmp文件检查 *例如在/dev发现Scene文件夹在/dev/cpuset发现AppOpt文件夹随机重命名解决可能检测别的文件夹可以通过文件夹生成时间进行判断使用重命名挨个排除+删除/data/local/tmp里面所有的文件 8.发现GG修改器运行痕迹 */storage/emulated存在legacy文件夹删不掉的使用爱玩机工具箱的文件粉碎(文件与媒体--文件/文件夹摧毁) 9.发现算法助手残留 *删掉/data/system/junge文件夹 10.发现正在运行的MT管理器/发现MT管理器或运行日志 *重定向/storage/emulated/MT2文件夹建议重定向在/data/adb目录里 11.第三方内核系统内核版本异常命名 12.Found Risk Apps(n) 玩机应用检查(读取应用列表) 13.Covert test(f) 发现在/data存在swap_config.conf文件 *直接删除 14.Covert test(gg) 同8/ART参数异常？ 15.Found Scene(01) dev文件检查 *发现/dev/cpuset/scene-daemon文件夹随机重命名即可 16.Found bl hide 发现隐藏BL列表？ 17.Detected anomalous file(Miscellaneous(a))发现/storage/emulated/0/Android/data存在风险应用外部储存文件 *直接删除即可/使用隐藏应用列表 18.ADB[running] USB调试已开启 *进入开发者选项关闭USB调试 19.Cavert test(a)/Abnormal Environment(1)发现/data/data存在风险应用储存文件 *使用隐藏应用列表 20.Found Su 发现超级用户进程 *使用Shamkio模块 21.Found XP /data/local/tmp文件检查 *清除tmp里面的所有文件 22.不合法的哈希值 *使用密钥验证/Native Detector 获取Boot hash(Boot哈希值即一串数字+英文字母)创建一个sh文件使用root权限执行以下命令： resetprop ro.boot.vbmeta.digest 你自己的哈希值 23.请不要尝试修改春秋 *检测到XP模块注入打开lsp取消对春秋检测的模块作用域勾选 24.Abnormal Environment(01) 暂时未知 *使用隐藏应用列表开启第一和第三项 25.Found Scene(3) *发现Scene无障碍服务使用R安装组件-扩展(安卓版本小于等于14)/DoNotTryAccessibility XP模块(Lsp官方仓库自行搜索) 26.风险应用(2) 伴随25出现 27.刷机痕迹/曾开启过adb(03) 可能是存在persist.adb.nonblocking_ffs属性？ *创建一个sh文件 Root执行以下命令 resetprop persist.adb.nonblocking_ffs "" resetprop --delete persist.adb.nonblocking_ffs 重启手机如果还是不行只执行前一串命令 Tarmper Attribute 属性篡改，系统prop 被修改。检查/data/adb/modules模块是否存在system,prop 或 resetprop 命令，排查除了增强环境隐藏之外的命令，适当做出取舍。若属性篡改过不去，就执行群文件的持久化清除voldsh再次提供源代码以便执行:#定义目标文件路径 TARGET_FILE="/data/property/persislent_properties"检查文件是否存在 if[! -f "$TARGET_FILE");then echo "Error: Target file$TARGET_FILE未找到文件/not found file" exit1 f #临时删除数据隔离prop 属性的命令 resetprop --delete persist,sys.vold_app_data_isolation_enabled resetprop --delete persist rygote.app_data_isolation #从一个会临时生成持久性属性的目标文件中删除因使用隐藏应用列表导致出现的数据隔离的持久性属性 #配合以上resetprop临时删除命令既可做到无风险地彻底清理prop持久性属性痕迹 '/persist\.sys\.vold_app_data_isolation_enabled/d /perst\zygate\app_data_isolation/'d'"$TARGET_FILE" echo请重启设备IV/OPlease reboot!" BL状态异常相关 b状态异常，使用ts 解决，也即使用Tricy_Store模块解决。发现外挂文件截止至1.5.7Alpha春秋检测，仅检测/data/local/目录下的中野三玖文件夹，删除/重命名即可（但该项目启动时读取不到配置文件） Suspected Risk 相关 Suspected Risk.排查各种玩机应用。 Abnormal Environment 相关 Abnormal Environment(02)，排查西米露残留。 Abnormal Environment(Cheat)，排查外挂文件，手动排除或者执行清理脚本。 Abnormal Environment 04、排查常见的模块残留，例如在/dev发现Scene 文件夹，在/dew/cpuset 发现AppOpt文件夹，随机重命名解决。可能检测别的文件夹。可以通过文件夹生成时间进行判断，使用重命名挨个捕除，同时+/data/local/tmp文件检查，建议删除/data/localtmp里面所有的文件。 Abnormal Environment 存在风险文件例如 sh隐藏应用列表配置等等。 Abnormal Environment4（1）划掉手机内的所有后台，重新进春秋即可 Found xp 检测到HyperCeiler 模块 Found Evil version[service) dev文件检查发现/dew/cpuset/scene-daemon文件夹，随机重命名即可。 Covert test相关 Covert tesn(a)/Abnomal Environment(1) 发现/data/dana 存在风险应用储存文件，使用隐藏应用列表。 Covert test(c) 恢复loop文件权限。 Covent tesn(n) 发现在 /data 存在swap_config.conf文件，直接删除。 Cavert test(ga) 同8/ART参数异常。 Covert tesn(a)相关内容同上文Abnoral Environment有关部分。 Found bl hide 发现隐藏BL列表?风险应用与文件相关 risk app 排查常见的一些风险软件，例如mt等等。 Found Risk apps 玩机应用检查(读取应用列表)。 Detected anomalous file(Miscellaneous(a))发现/storage/emulated/0/Android/data存在风险应用外部储存文件，直接删除即可/使用隐藏应用列表。 ADB[running] USB调试已开启进入开发者选项关闭USB 调试。 Found Su 发现超级用户进程使用 Shamkio模块。 Found XP /data/local/tmp 文件检查清除 tmp里面的所有文件。不合法的哈希值使用密钥验证/Native Detector获取Boothash(Boat哈希值即一串数字+英文字母)创建一个 s文件，使用root 权限执行以下命令resetprop ro.boot.vbmeta.digest你自己的哈希值。 1.Tarmper Attribute属性篡改系统prop被修改 2.bl状态异常顾名思义使用Tricy_Stone模块解决 3.Suspected Risk 排查各种玩机应用 4.Abnormal Environment(02) 检查西米露残留(本人不是小米设备不了解) 5.Abnormal Environment(Cheat) 发现外挂文件 6.Covert test(c) 恢复loop文件权限 7.Abnormal Environment(07) dev文件检查 8.发现GG修改器运行痕迹 /storage/emulated存在legacy文件夹删不掉的使用爱玩机工具箱的文件粉碎 9.发现算法助手残留 /data/system/junge 10.发现正在运行的MT管理器/发现MT管理器或运行日志重定向/storage/emulated/MT2文件夹 11.第三方内核系统内核版本异常命名 12.Found Risk apps 玩机应用检查(读取应用列表) 13.Covert test(f) 发现在/data存在swap_config.conf文件 14.Covert test(gg) 同8/ART参数异常？ 15.Found Evil version(service) dev文件检查 1.Tarmper Attribute属性篡改系统prop被修改 *检查/data/adb/modules模块是否存在system.prop或resetprop命令排查除了增强环境隐藏之外的命令适当做出取舍 2.bl状态异常 *顾名思义使用Tricy_Stone模块解决 3.Suspected Risk 排查各种玩机应用 4.Abnormal Environment(02) 检查西米露残留 *(本人不是小米设备不了解) 5.Abnormal Environment(Cheat) 发现外挂文件 *手动排除或者执行清理脚本 6.Covert test(c) 恢复loop文件权限 7.Abnormal Environment(04) dev文件检查+/data/local/tmp文件检查 *例如在/dev发现Scene文件夹在/dev/cpuset发现AppOpt文件夹随机重命名解决可能检测别的文件夹可以通过文件夹生成时间进行判断使用重命名挨个排除+删除/data/local/tmp里面所有的文件 8.发现GG修改器运行痕迹 */storage/emulated存在legacy文件夹删不掉的使用爱玩机工具箱的文件粉碎(文件与媒体--文件/文件夹摧毁) 9.发现算法助手残留 *删掉/data/system/junge文件夹 10.发现正在运行的MT管理器/发现MT管理器或运行日志 *重定向/storage/emulated/MT2文件夹建议重定向在/data/adb目录里 11.第三方内核系统内核版本异常命名 12.Found Risk apps 玩机应用检查(读取应用列表) 13.Covert test(f) 发现在/data存在swap_config.conf文件 *直接删除 14.Covert test(gg) 同8/ART参数异常？ 15.Found Scene(01) dev文件检查 *发现/dev/cpuset/scene-daemon文件夹随机重命名即可 16.Found bl hide 发现隐藏BL列表？ 17.Detected anomalous file(Miscellaneous(a))发现/storage/emulated/0/Android/data存在风险应用外部储存文件 *直接删除即可/使用隐藏应用列表 18.ADB[running] USB调试已开启 *进入开发者选项关闭USB调试 19.Cavert test(a)/Abnormal Environment(1)发现/data/data存在风险应用储存文件 *使用隐藏应用列表 20.Found Su 发现超级用户进程 *使用Shamkio模块 21.Found XP /data/local/tmp文件检查 *清除tmp里面的所有文件 22.不合法的哈希值 *使用密钥验证/Native Detector 获取Boot hash(Boot哈希值即一串数字+英文字母)创建一个sh文件使用root权限执行以下命令： resetprop ro.boot.vbmeta.digest 你自己的哈希值 16.Found bl hide 发现隐藏BL列表？ 17.Detected anomalous file(Miscellaneous(a)) 发现/storage/emulated/0/Android/data存在风险应用外部储存文件 18.ADB[running] USB调试已开启 19.Cavert test(a)/Abnormal Environment(1)发现/data/data存在风险应用储存文件 20.Found Su 发现超级用户进程 1.ab7 检测到/storage/emulated/0/Android/data/com.omarea.vtools/删除 /dev/scene也删除 2.发现正在运行的mt管理器移步至上一个帖子 3.发现mt管理器或其运行日志 /storage/emulated/0/Android/data/bin.mt.plus.canary/路径删除并大退后台不要打开然后去打开春秋检测 4.found evil version 无障碍列表关闭scene的启用并重启手机 5.发现gg修改器运行痕迹 /storage/emulated/legacy/文件夹删除 6.发现adb调试痕迹去prop里面搜索adb 排除并修改特定软件相关检查与处理发现正在运行的MT管理册/发现MT管理器或运行日志/发现MT管理器重定向/stormge/emulated/MT2文件夹，建议重定向在/data/adb目录里。前往/storage/emulated/0/Android/data/bin.mt.plus.canary/路径删除并大退后台不要打开,然后去打开春秋检测。发现 GG 修改器运行痕迹。 /storage/emulated 存在legacy 文件夹。删不掉的使用爱玩机工具箱的文件粉碎(文件与媒体--文件/文件夹摧毁)，也可直接删除。发现QD修改器运行痕迹。前往/storage/emulated/legacy/文件夹删除发现算法助于残留，删掉/data/system/junge文件夹。 Found evilaop已被测试出存在风险应用，例如爱玩机，ksu等等。 Covert test 10 查出存在sh文件 Covert test c1 查出本地存在修改 Covert test 12 查出存在.rc执行文件 Covert test c2 同c1一样查到异常残留(外挂or模块or玩机应用) tmp里面存在子文件夹 Suspicious Surroundings(b) tmp存在修改篡改内核通过susfs伪装解决 Found moudle(01) 发现墓碑存在 Suspicious Surroundings(c) 存在尝试修改local Suspicious Surroundings(a) tmp 已被修改 vbmata，vbmata大小已被修改存在异常 mind test(a) 查出尝试或已经被模块修改过后数据 mind test(b) 同a一样被模块修改过后的数据 Cover test (07) 存在模块挂载例如爱玩机等等 adb（01） adb（02）一键去除USB痕迹 adb（03） resetprop persist.adb.nonblocking_ffs "" resetprop --delete persist.adb.nonblocking_ffs 重启手机如果还是不行只执行前一串命令可疑应用不用管刷机痕迹 setprop persist.security.adbinput "" miscllaneouCheck /sys/fs/selinux/这下面所有文件都等于0，就会有这个问题 Abnormal Environment（n）根据提示目录删除发现GG修改器运行痕迹 /storage/emulated存在legacy文件夹删不掉使用爱机工具箱的文件粉碎（文件与媒体一文件/文件夹) 第三方内核系统内核版本异常命名使用susfs模块

春秋检测，教程全扩展，有一部分是我弄的

发表评论