检查设备是否越狱的几种方法:
沙盒完整性检查
通过fork()函数检测,如果沙盒被越狱工具破坏或者是程序在沙盒外运行,那么fork()函数将会执行成功。如果沙盒仍处于激活状态,你的程序就会执行失败,这就说明沙盒没有被篡改。
int result = fork();
if(!result)
exit(0);
if (result>=0) {
//沙盒被破坏,处于越狱环境
}
文件系统检测
检查越狱文件是否存在
#import <sys/stat.h>
struct stat s;
int is_jailbroken = stat("/Application/Cydia.app", &s) == 0;
也可以检测其他文件列表:
- /Application/Cydia.app Cydia安装目录
- /var/cache/apt apt仓库的路径
- /var/lib/apt apt仓库相关的数据
- /var/lib/cydia cydia相关的数据文件
- /var/log/syslog syslog文件
- /var/tmp/cydia.log Cydia运行时的临时日志记录
- /bin/bash /bin/sh bash总段交互程序
- /usr/sbin/sshd SSH终端
- /usr/libexec/ssh-keysign SSH的密钥签名工具
- /etc/ssh/sshd_config sshd的配置文件
- /etc/apt apt配置文件路径
检查/etc/fstab 文件大小
fstab文件包含文件系统挂载点,这个文件通常被越狱工具替换用于将root分区读写打开。我们程序不能读取该文件,但是可以使用stat函数查看文件大小。通常80B,越狱的只有65B。也有可能随着系统变化的
#import <sys/stat.h>
struct stat s;
stat("/etc/fstab", &s);
s.st_size;
符号链接检测
通过lstat函数,可以检查/Applications是一个目录还是一个符号链接,如果是一个链接,可以确认设备已经越狱。
struct stat s;
if (lstat("/Applications", &s)!=0) {
if (s.st_mode&S_IFLNK) {
/*设备被越狱*/
exit(-1);
}
}
分页执行检查
内存分页不能标记为可执行属性,但是越狱可以修改这一限制。通过vm_protect函数检测内核完整性,当内核未被修改时,该函数会调用失败
#import <sys/stat.h>
#import <mach/mach_init.h>
#import <mach/vm_map.h>
void *mem = malloc(getpagesize()+15);
void *ptr = (void *)(((uintptr_t)mem+15) & ~0x0F);
vm_address_t pagePtr = (uintptr_t)ptr/getpagesize()*getpagesize();
int is_jailbroken = vm_protect(mach_task_self(), (vm_address_t)pagePtr, getpagesize(), FALSE, VM_PROT_READ|VM_PROT_WRITE|VM_PROT_EXECUTE) == 0;