Xposed框架被很多人用来注入App做一些Hook操作，当然有相应的注入也必然存在对应的检测（反调试）操作，之前在吾爱、看雪论坛上看到很多大佬花式突破Xposed检测的手法，所以秉承“拿来主义”，汇总了一下各大App常见的Xposed的检测手法和突破的方式（这里只讲关于在Java层面检测Xposed，深入到SO层作检测之后再讲）。

**Xposed检测方案以及突破方式****

1. 遍历App安装列表检测是否包含Xposed Installer

原理：当App获取到系统权限的时候，可以获取系统的所有运行中的App的列表，通过列表发现是否存在有Xposed相关的App（通常都是Xposed Installer相关的Apk，例如de.robv.android.xposed.installer）保持运行状态，一旦存在，就表明用户很有可能存在Hook行为。
解决方案：目前市面上的大多数手机厂都把应用权限暴露给用户，所以用户可以自定义App的权限，禁止相关的App获取应用列表就可以防止App通过这个途径检测Xposed框架，当然，要过这个检测可以修改Installer包名即可。

2. 通过自造异常检测堆栈信息，读取异常堆栈中是否包含Xposed字符串来识别

原理：在正常的Android系统启动过程中，init进程会去解析init.rc文件启动一系列的服务，其中就有app_process进程，在app_process执行过程中，会设置自身进程名为Zygote，启动com.android.internal.os.ZygoteInit.Main方法。而Xposed修改了app_process进程，会先启动de.robv.android.xposed.XposedBridge.Main方法，再由它去启动com.android.internal.os.ZygoteInit.Main方法，因此堆栈信息中会多出一些内容。
简单说就是Xposed先于了Zygote进程，因此在系统堆栈信息中会多出Xposed相关的内容。
解决方案：通过Hook堆栈类StackTraceElement，当发现Xposed和Zygote有错误输出时，修改输出信息，例如将输出置空来绕过错误信息检测。参考代码：

XposedHelpers.findAndHookMethod(StackTraceElement.class, "getClassName", new XC_MethodHook() {
            @Override
            protected void afterHookedMethod(MethodHookParam param) throws Throwable {
                String result = (String) param.getResult();
                if (result != null) {
                    if (result.contains("de.robv.android.xposed.")) {
                        param.setResult("");                    
                    } else if (result.contains("com.android.internal.os.ZygoteInit")) {
                        param.setResult("");
                    }
                }
                super.afterHookedMethod(param);
            }
        });

3. 通过ClassLoader的 loadClass 加载列表检测。

解决方案：通过Hook loadClass加载类来修改加载的类名，例如修改de.robv.android.xposed成另一个普通的包名参考代码：

XposedHelpers.findAndHookMethod(ClassLoader.class, "loadClass", String.class, new XC_MethodHook() {
            @Override

            protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
                if (param.args != null && param.args[0] != null && param.args[0].toString().startsWith("de.robv.android.xposed.")) {                     // 改成一个不存在的类                    
                    param.args[0] = "de.robv.android.xposed.ThTest";
                }
                super.beforeHookedMethod(param);
            }
        });

4. 由于Xposed的注入方式是通过底层SO文件修改被hook的方法为native来实现的，所以检测方也可以通过检测方法是否变成了native来达到检测的目的。

原理：Xposed把Method的native func修改为它自己的处理函数，再这个函数中会回调Java层的handleHookMethod，处理函数钩子，但是只有native函数，虚拟机才会走native func，所以Xposed会把java函数的修饰符修改为native，所以可以通过反射调用Modifier.isNative(method.getModifiers())方法可以校验方法是不是native方法.
解决方案：因为检测方必须要通过Modifier.isNative这个方式来做检测，所以方法就是通过Hook isNative的方法，将检测结果置为0就行

参考代码：

modifyXposedHelpers.findAndHookMethod(Method.class, "getModifiers", new XC_MethodHook() {
            @Override
            protected void afterHookedMethod(MethodHookParam param) throws Throwable {
                Method method = (Method) param.thisObject;
                String[] array = new String[]{"getDeviceId"};
                String method_name = method.getName();
                if (Arrays.asList(array).contains(method_name)) {
                    modify = 0;
                } else {
                    modify = (int) param.getResult();
                }
                super.afterHookedMethod(param);
            }
        });
        XposedHelpers.findAndHookMethod(Modifier.class, "isNative", int.class, new XC_MethodHook() {
            @Override
            protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
                param.args[0] = modify;
                super.beforeHookedMethod(param);
            }
        });

5. 检测Xposed相关文件

原理：通过读取proc/self/maps文件，在linux内核中，这个文件存储了进程映射了的内存区域和访问权限，因此遍历自身加载的库，就可以拿到当前上下文的so和jar列表，通过查找Xposed相关文件来做检测解决方案：因为读取的时候会调用BufferedReader进行读取命令的内容，我们只需要Hook BufferedReader过滤掉XposedBridge.jar等相关内容就可以完成绕过。
参考代码：

XposedHelpers.findAndHookMethod(BufferedReader.class, "readLine", new XC_MethodHook() {
            @Override
            protected void afterHookedMethod(MethodHookParam param) throws Throwable {
                String result = (String) param.getResult();
                if (result != null) {
                    if (result.contains("/data/data/de.robv.android.xposed.installer/bin/XposedBridge.jar")) {
                        param.setResult("");
                        new File("").lastModified();
                    }
                }
                super.afterHookedMethod(param);
            }
        });

6. 通过反射XposedHelper类和XposedBridge类做信息检测

原理：Xposed中有几个比较常用的方法，findAndHookMethod等。通过反射找到要Hook的函数后会保存到XposedHelper类中的fieldCache、methodCache、constructorCache字段中。因此，可以通过反射遍历XposedHelper类中的fieldCache、methodCache、constructorCache变量，读取HashMap缓存字段是否有被Hook App的关键函数信息就行解决方案：检测方通过反射调用XposedHelper的成员fieldCache中是否含有相关的关键字。
解决方案：修改类名，让检测方找不到相关类就行，可以参考第三种方案，修改类名参考代码。

总结：各种手段的目的，最终都是解决如何定位Xposed检测代码的问题，最有效的方案就是搜索相关的关键词，例如上述几种检测方案中说的某些关键词，其他方法待后续总结。
对于对抗xposed检测的问题，也可以使用FakeXposed等框架，对特定机器的framework层，进行修改，然后再安装程序，进行调试。