春秋检测检测点与解决方案

此文档中提及的模块如下:
总文件夹:“查看链接

直达文件夹:
模块1️⃣—kpm模块—selinux hook—“查看链接
模块2️⃣—lsp模块–hmaoss—“查看链接
文件3️⃣—json—hmaoss config—“查看链接
应用4️⃣—APK—Root管理器—“查看链接

1. 检测点:Looper fd图异常
检测项:图形相关的文件描述符异常。
解决方法:⚠️ 暂时未知,待补充。

2. 检测点:HMA或许存在
检测项:检测不到Scene应用,但检测到了Scene端口。
解决方法:使用 “hma-oss” 的白名单/自行配置黑名单,并打开限制 Zygote 权限(推荐全选)。

3. 检测点:存在模块修改春秋
检测项:发现 IsolPolicy 的lsp模块。
解决方法:卸载 IsolPolicy ,并按提示解决新检测词条。

4. 检测点:检测SELinux Policy时发现问题
检测项:新加入的SELinux特性(应用程序 zygote 拥有访问 /sys/fs/selinux/access 的权限)。
解决方法:
– KSU系-lkm:更新管理器,重新修补镜像后重启,开启管理器中的“隐藏selinux修改”
– KSU系-gki:以下方案均可选:
加载/嵌入 模块1
自行/找人编译新的sk3
换回lkm。
– APatch/FolkPatch:加载/嵌入 模块1
Magisk:。。。

5. 检测点:fdinfo mnt 采样异常(c)
检测项:USB调试残留导致的异常。
解决方法:关闭USB调试/清理USB调试残留/可无视。

6. 检测点:内存异常
检测项:春秋检测应用运行时内存表现异常。
解决方法:尝试清除春秋检测应用数据解决。

7. 检测点:Futile hide 1
检测项:极少出现的未知异常。
解决方法:❗暂时未知,暂无可靠解决方案。

8. 检测点:风险应用
检测项:检测到存在风险的应用程序。
解决方法:使用 “hma-oss” 的白名单/自行配置黑名单,并打开限制 Zygote 权限(推荐全选)。

9. 检测点:mountinfo
检测项:刚开机时的挂载信息异常。
解决方法:开机后等待 20秒~5分钟 再测。

10. 检测点:Drity Device(a)
检测项:检测到 “/storage/emulated/0/” 目录下有名称包含 “sh” 的文件夹/文件或外挂文件/检测到外挂驱动。
解决方法:重启后删除 “/sdcard” 目录下所有名字带
“sh” 的文件/文件夹。

11. 检测点:zygote test (X)
检测项:Zygote环境检测,偶发性误报。
解决方法:打开Zygisk Next的链接器功能与匿名内存功能;排除列表策略设为“仅还原挂载”;或直接重测一遍。

12. 检测点:Inconsistent mount
检测项:挂载类型不一致(3.4版本中已修复误报)。
解决方法:无需解决,可能为设备误报。
❗该检测项已被删除

13. 检测点:TEE环境不可信
检测项:soter service假死。
解决方法:使用SUSFS/PathMask隐藏soterservice(非常不推荐这么做,游戏会三方更快,并且该方法只是自我安慰)。

14. 检测点:Tampered Attentionkey(X)
检测项:TEE处理异常标签,如HanAttest链不一致、KeyMint异常、证书矛盾等。
解决方法:这里仅列举26的解决方法
删除/data/adb/tricky_store/security_patch.txt,重启后观察是否解决,如果还是报请去ts插件自行配置安全补丁时间。
❗如果你是小米/红米手机且在3月份以后更新了系统,那么不管你root没root都会报,因为小米这个新版本系统构建时间和安卓安全补丁时间本来就不一样,无视即可
❗一些魔改版本teesimulatorrs(yurikey?)/一键隐藏模块(月虹/悲伤)也会导致被检测,换回原teesimulatorrs/卸载以上模块

15. 检测点:Found property (X)
检测项:检测到Logd属性被修改。
解决方法:Root权限执行:
for prop in persist.logd.size persist.logd.size.crash persist.logd.size.system persist.logd.size.main; do
setprop “$prop” “”
done

16. 检测点:Tricky store hook/test(X)
检测项:误报,管你root没root都会概率报。
解决方法:重测一遍

17. 检测点:发现Trickystore/类似模块
检测项:检测到Tricky Store痕迹。
解决方法:更换为 “TEESimulatorRS”(这个检测项新版本被删除了)。

18. 检测点:TEE伪造
检测项:检测到TEE环境被伪造。
解决方法:更换为”TEESimulatorRS” 。

19. 检测点:Property Modified
检测项:查属性区空洞,发现属性被修改。
解决方法:
– magisk/alpha/:将Shamiko模块中的 “shamiko.sh” 移动至 “/data/adb/service.d/” 目录下并重启
– ksu系:最快的解决方法:恢复出厂设置,没有人知道你干了什么。
– 所有:我自己曾经遇到过莫名其妙报,把所有模块全部禁用,重启,再启用,重启解决的情况

20. 检测点:环境存疑1(实验性检测)
检测项:HMA黑名单模式下勾选“输入法”后出现。
解决方法:该检测项疑似已被删除。

21. 检测点:Evil Service
检测项:检测到lsp shuziku或XP模块修改。
解决方法:自行排查LSPosed模块/shizhuku,禁用可疑模块/卸载shizhuku。

22. 检测点:Found ksu/免解设备
检测项:发现KSU处于越狱模式或检测到KSU进程。
解决方法:
– 解锁bl root用户:正常重启一遍。
– 免解用户:刷入免解隐藏模块。

23. 检测点:SU binary detected
检测项:检测到SU二进制文件(Root权限)。
解决方法:不要给春秋检测Root权限。

24. 检测点:Miscellaneous Check(a)
检测项:需要更新LSP模块或通用检测。
解决方法:更换/更新LSPosed模块。

25. 检测点:Mount loophole
检测项:检测到挂载空洞。
解决方法:使用Zygisk Next的排除策略 -> 仅还原挂载。

26. 检测点:Magic Mount
检测项:检测到Magic Mount挂载。
解决方法:使用Zygisk Next的排除策略 -> 仅还原挂载。

27. 检测点:[Hook] Suspicious library injection
检测项:检测到Zygisk/Riru/Xposed注入。
解决方法:更新LSPosed;自行排查LSP模块。

28. 检测点:SU list(已被删除)
检测项:(旧)检测到KSU的ROOT权限排除列表。
解决方法:该检测项已被移除。

29. 检测点:Abormal Environment
检测项:检测到KSU/APatch/Magisk特征。
解决方法:更新你的Root管理器并重新修补镜像。

30. 检测点:AbnormalEnvironment(04)
检测项:新版函数调用检测,APatch排除列表开启后易出现。
解决方法:更新Root管理器。

31. 检测点:KernelSu loop device
检测项:检测到KSU循环设备。
解决方法:更新管理器并重新修补;或关闭/更换元模块。

32. 检测点:Suspicious Surroundings
检测项:检测到APatch特征。
解决方法:更新APatch并加载KPM隐藏模块(如Nohello.kpm)。

33. 检测点:设备为模拟器
检测项:当前运行在模拟器环境。
解决方法:你都用模拟器了,那我还说啥了。

34. 检测点:avb校验异常 avb=2.0
检测项:AVB版本异常,通常由改机型模块引起。
解决方法:卸载改机模块;或使用Device Faker对特定应用改机而非全局。

35. 检测点:Found LSPHook Framework
检测项:检测到LSPosed Hook框架。
解决方法:更新LSPosed;排查是否有XP模块修改导致。

36. 检测点:检测到Scene端口占用
检测项:检测到Scene工具箱占用的端口。
解决方法:使用 “hma-oss”,打开限制Zygote权限(推荐全选)。

37. 检测点:Zygisk detected
检测项:检测到Zygisk(通常为Magisk自带或其他原因)。
解决方法:- ksu系:更新Zygisk Next模块
– magisk:设置中关闭Zygisk。

38. 检测点:Tampered kernel
检测项:内核信息校验异常(版本字符串、构建时间)。
解决方法:使用SUSFS隐藏内核名称。

39. 检测点:[hook]Resetprop modified
检测项:Resetprop工具修改了系统属性。
解决方法:检查自己进行的操作,还原相关属性修改。

40. 检测点:Suspicious Surroundings (a)检测项:
“/data/local/tmp” 文件夹属主为root。
解决方法:把所有者改为shell:”chown shell:shell /data/local/tmp”。

41. 检测点:Suspicious Surroundings(b)检测项:
“/data/local/tmp” 的inode值高于10000(曾被删除)。
解决方法:可无视;或格式化系统;或使用SUSFS伪装inode值小于1000。
❗如果你只想过春秋检测装一下,那么可以删除/data/local/tmp,但是很不推荐这种方法。

42. 检测点:Suspicious Surroundings(c)
检测项:
“/data/local/tmp” 权限非771。
解决方法:把tmp文件夹权限改为771:”chmod 771 /data/local/tmp”。

43. 检测点:Futile hide
检测项:”/data/local/tmp” 文件夹时间被修改。
解决方法:删除tmp文件夹,重启,再根据上面a/b/c项对应解决。

44. 检测点:Miscellaneous Check(2)
检测项:检测设备篡改/机型篡改。
解决方法:删除改机型模块。

45. 检测点:Miscellaneous Check(3)
检测项:改机检测。
解决方法:开启“隐藏应用列表(HMA)”的Vold app data隔离。

46. 检测点:不一致的挂载/debug_ramdisk
检测项:”/proc/self/exe” 解析出的挂载类型不一致。
解决方法:root权限执行 “umount /debug_ramdisk”。

47. 检测点:Netlink socket anomaly
检测项:Netlink套接字异常。
解决方法:⚠️ 暂时未知。

48. 检测点:/data/local/tmp denied检测项:
“/data/local/tmp” 目录拒绝访问或不存在。
解决方法:删除tmp文件夹,重启,再根据新出现的检测项对应解决。

49. 检测点:伪装内核
检测项:无效地使用SUSFS伪装内核。
解决方法:在SUSFS设置中将伪装内核启动阶段选择为 “post-fs-data”。

50. 检测点:Futile hide 04
检测项:检测挂载命名空间异常。
解决方法:更换“元模块”。

51. 检测点:发现异常模块
检测项:部分温控/调度/优化模块被特征并检测
解决方法:排查并删除可能的温控/调度/优化模块

52. 检测点:挂载间隙
检测项:检测挂载异常。
解决方法:更换“元模块”或者更新ROOT管理器并重新修补。

53. 检测点:第三方内核
检测项:内核信息符合预设的第三方内核名单。
解决方法:使用SUSFS伪装内核名称解决。

54. 检测点:第三方rom/自编译内核
检测项:内核版本号后缀带有 “-Dirty” 或第三方ROM标记。
解决方法:使用SUSFS伪装内核名称解决。

55. 检测点:第三方ROM(2)
检测项:暂时未知。
解决方法:⚠️ 暂时未知。

56. 检测点:ROM detected
检测项:检测到第三方ROM特征。
解决方法:使用SUSFS伪装内核名称解决。

57. 检测点:终端环境存疑
检测项:检测Pty终端环境。
解决方法:❌ 暂无有效解决方案。

58. 检测点:环境伪造
检测项:旧内核设备或刷入ZN-Audit Patch后触发。
解决方法:卸载ZN-Audit Patch模块。

59. 检测点:ROOT进程
检测项:通过审计日志漏洞读取Zygote环境。
解决方法:更新系统至2025-09-01以上安全补丁/使用ZN-Audit Patch模块。

60. 检测点:异常进程
检测项:检测到隐藏的进程组。
解决方法:(确保你是最新的ZygiskNext/LSposed并打开匿名内存)在系统设置中随意开启一个应用分身尝试解决。
❗联想/谷歌或其他小众机型大概率误报。
❗小米/红米请使用西米露模块,并打开“禁用环境检查”

61. 检测点:检测运行环境可疑/容器/多开
检测项:检测到应用处于多开或沙盒环境。
解决方法:卸载重装春秋检测;不要应用双开春秋检测。

62. 检测点:Evil Modifcation(1)
检测项:模仿Zygisk Detector或侧信道检测Tricky Store。
解决方法:更新Zygisk Next/ReZygisk
删除 “/data/adb/tricky_store/security_patch.txt”
使用SUSFS/Path Mask隐藏Tricky Store目录。
❗该检测项存在明显误报。

63. 检测点:Miscellaneous Check(12)
检测项:LSPosed泄露了Zygisk。
解决方法:卸载LSPosed/更换ReZygisk(推荐)/最新zygisk next/最新lsposed(it)
❗改检测项存在明显误报。

64. 检测点:Miscellaneous Check(4/5/6/7/8/9)
检测项:模拟器/改机/三方ROM检测。
解决方法:卸载改机模块/如有需要使用Device Faker对特定应用改机。
❗国外设备Poco/三星有误报。

65. 检测点:Risk apps‘软件包名’
检测项:检测到指定包名的风险应用。
解决方法:使用 “hma-oss” 的白名单/自行配置黑名单,并打开限制Zygote权限(推荐全选)
安装Unicode零宽修复模块(不推荐)(大概率没用)。

66. 检测点:Thanox service detected
检测项:检测到Thanox服务。
解决方法:使用 “hideThanox” 模块进行隐藏。

67. 检测点:检测失败
检测项:应用内部检测逻辑出错。
解决方法:重启应用或手机后重试。
❗该检测项已被删除

68. 检测点:TEE 损坏
检测项:TEE功能损坏或失效。
解决方法:使用TeeSimulatorRS或类似模块,并在/data/adb/tricky_store/target.txt中添加春秋检测包名,后加英文感叹号!

69. 检测点:密钥证明未完成或链不一致
检测项:密钥的证书链不完整或者被吊销。
解决方法:更换 “/data/adb/tricky_store/keybox.xml”。

70. 检测点:Aosp密钥
检测项:使用了tricky store 默认AOSP密钥。
解决方法:更换 “/data/adb/tricky_store/keybox.xml” 为有效密钥。

71. 检测点:Boot Hash不匹配
检测项:Boot镜像的哈希值与预期不符。
解决方法:打开密钥认证,找到VerifiedBootHash并复制哈希值,使用TS插件配置Hash。

72. 检测点:启动状态异常/bootloader unlock
检测项:启动状态与解锁状态不匹配。
解决方法:使用 “TEESimulatorRS” 尝试解决。
❗小米机型常见误报。

73. 检测点:密钥篡改(128)
检测项:检测到密钥文件被篡改。
解决方法:更换 “TEESimulatorRS” 。

74. 检测点:密钥篡改(q)
检测项:未知。
解决方法:⚠️ 未知。

75. 检测点:密钥篡改(b)
检测项:未知。
解决方法:⚠️ 未知。

76. 检测点:证书已被吊销(CRL)
检测项:使用的证书已被吊销列表收录。
解决方法:更换 “/data/adb/tricky_store/keybox.xml”为有效密钥。

77. 检测点:密钥篡改
检测项:检测到密钥异常。
解决方法:更换 “TEESimulatorRS”。

78. 检测点:TrustedCert 证书篡改
检测项:可信证书被篡改。
解决方法:⚠️ 未知。

79. 检测点:Something wrong
检测项:未知错误。
解决方法:⚠️ 未知。

80. 检测点:MT2文件夹/异常文件
检测项:扫盘扫到特定文件(夹)。
解决方法:打开MT管理器,设置,自定义MT2目录,改为/data/adb/MT2,删除/storage/emulated/0/MT2
删除/storage/emulated/0/目录下所有sh/img/xml文件(夹)

81. 检测点:设备获取root权限/异常模块
检测项:检测ksu/magisk修改的selinux上下文
解决方法:同4

解决之后,记得点赞,酷币酷币酷币,给帖子上点热度受虐滑稽受虐滑稽受虐滑稽,不会的在评论区里问。

© 版权声明
THE END
喜欢就支持一下吧
点赞1 分享
评论 抢沙发

请登录后发表评论

    暂无评论内容