RootRoot

RootRoot は、セキュリティ研究者、ペネトレーションテスター、そして Android 愛好家向けに開発されたオープンソースの Android セキュリティ検出ツールキットです。モバイルアプリケーションがルート化されたデバイス、Magisk インストール、そして Frida 計測フレームワークをリアルタイムで検出する方法を実証します。
このアプリは、4 つの異なる検出戦略に基づいて 13 のセキュリティチェックを実行し、デバイスのセキュリティ状況を包括的に把握できます。
▌ 検出方法
◆ Java レイヤー検出
• ルートパッケージスキャン — Magisk、SuperSU、KingRoot、Xposed を含む 48 種類の既知のルートアプリ署名に対して PackageManager をチェックします。
• SU バイナリサーチ — 14 個のディレクトリをスキャンして su、busybox、magisk のバイナリを探します。
◆ ネイティブ静的登録
.so シンボルテーブルに表示されるエクスポートされた JNI シンボルを使用します。
• ネイティブファイルアクセスによる su バイナリチェック
• /proc/mounts による Magisk マウント検出
• /proc/cmdline による Frida プロセススキャン
• /proc/self/maps による Frida ライブラリ検出
◆ ネイティブ動的登録
JNI_OnLoad の RegisterNatives() を介して実行時に登録された関数 — シンボルテーブルにはエクスポートされたシンボルは表示されません。同様のチェックを行いますが、リバースエンジニアリングが困難です。
◆ ネイティブ Dlsym (Hidden Registration)
dlsym() を介して別の共有ライブラリからロードされる関数。これは、現実世界のセキュリティ SDK の動作をシミュレートする、最も難読化された検出戦略です。
▌ 主な機能
✦ 4 つの JNI 登録戦略にわたる 13 の検出チェック
✦ 展開可能な結果カードを備えたターミナルスタイルのダーク UI
✦ 実行時間を含むリアルタイムスキャン結果
✦ 各検出手法の詳細な説明
✦ 純粋な C ネイティブコード — C++ STL への依存なし
✦ モバイルセキュリティを理解するための教育ツール
✦ armeabi-v7a、arm64-v8a、x86、x86_64 をサポート
▌ 対象者
• Android のルート化検出技術を研究しているセキュリティ研究者
• デバイスのセキュリティ体制を評価するペネトレーションテスター
• 改ざん防止対策を実装または監査している Android 開発者
• JNI、ネイティブコード、モバイルセキュリティについて学習している学生
• 検出回避方法をテストしている ROM/Magisk 愛好家
▌ 教育目的
RootRoot は、セキュリティ研究および教育ツールとして設計されています。攻撃的および防御的なモバイルセキュリティ技術を実証します。すべての検出方法は完全にドキュメント化されており、GitHub でオープンソースとして公開されています。
ルート化検出の仕組みを理解することは、防御側がより強力な保護を構築し、研究者が既存の実装の脆弱性を特定するのに役立ちます。
ソースコード: https://github.com/John-Jung/RootRoot