NPatch
NPatch is a rootless xposed framework that injects dex and native libraries into the target APK to provide Xposed API support inside the app process. Website: npatch.nkbe.top
Показати більше📈 Аналітичний огляд Telegram-каналу NPatch
Канал NPatch (@npatch) у мовному сегменті Китайська є активним учасником. На даний момент спільнота об'єднує 17 498 підписників, посідаючи 7 522 місце в категорії Технології та додатки та 12 888 місце у регіоні Китай.
📊 Показники аудиторії та динаміка
З моменту свого створення невідомо, проект продемонстрував стрімке зростання, зібравши аудиторію у 17 498 підписників.
За останніми даними від 06 липня, 2026, канал демонструє стабільну активність. Хоча за останні 30 днів спостерігається зміна кількості учасників на 682, а за останні 24 години на 12, загальне охоплення залишається високим.
- Статус верифікації: Не верифікований
- Рівень залученості (ER): Середній показник залученості аудиторії становить 46.09%. Протягом перших 24 годин після публікації контент зазвичай збирає 10.05% реакцій від загальної кількості підписників.
- Охоплення публікацій: В середньому кожен допис отримує 8 064 переглядів. Протягом першої доби публікація в середньому набирає 1 758 переглядів.
- Реакції та взаємодія: Аудиторія активно підтримує контент: середня кількість реакцій на один пост – 19.
- Тематичні інтереси: Контент зосереджений навколо ключових тем, таких як npatch, neozygis, port, server=, tg://proxy.
📝 Опис та контентна політика
Автор описує ресурс як майданчик для висловлення суб'єктивної думки:
“NPatch is a rootless xposed framework that injects dex and native libraries into the target APK to provide Xposed API support inside the app process.
Website: npatch.nkbe.top”
Завдяки високій частоті оновлень (останні дані отримано 07 липня, 2026), канал підтримує актуальність та високий рівень охоплення публікацій. Аналітика показує, що аудиторія активно взаємодіє з контентом, що робить його важливою точкою впливу в категорії Технології та додатки.
星标数以提交时为准,锁定后不可更换。仓库拥有者和核心贡献者均可参加,但仓库必须在6月18日前就创建。💝 注册时填入邀请码
VVVXFXVD 即可 额外获得 200 积分 ✔️
━━━━━━━━━━━━━━
❤️ 参与链接: https://evomap.ai/zh/api-grant?invite=VVVXFXVD
━━━━━━━━━━━━━━
🥳门槛极低,有 GitHub 公开仓库的都可以来薅!
😈 小提示:只要有过在6月18日被合并的PR就算数- 將衝突檢查延後到啟動初始化之後執行,確保啟動流程正確 - 修正 LSPlant 的 rwxp 記憶體權限洩漏所導致的環境異常問題 - 提升 seccomp 重導穩定性並更新 NPatch 的 LSPlant 相容性鉤子 - 加強 I/O 與路徑檢測繞過,補齊 APK 可見路徑與 fd 掛載資訊偽裝更多說明: 這次更新主要針對的是目前 Android 生態圈中中高強度的加固方案(如 360 加固等)以及深度的環境檢測框架(如 Smallcheck)。這些檢測手段不再僅限於簡單的包名比對或 root 偵測,而是深入到 Linux 核心層與 ART 執行緒。 以下為具體「過掉」的檢測機制解析:
1. 提升 seccomp 重導穩定性並更新 LSPlant 相容性鉤子 這個部分的更新主要解決了主動探測防禦與 ART 執行緒逃逸的問題: 過掉「探測性崩潰(Crash-based Probing)檢測」: - 檢測原理: 偵測會故意向openat等系統呼叫傳入「畸形的路徑」或「不可讀的記憶體指標」。如果你的 seccomp 攔截器(SIGSYS handler)直接去讀取(解引用)這些指標,就會觸發 Segmentation Fault,導致外掛進程崩潰,或者暴露出有工具在攔截 syscall 的事實。 - 繞過方式: 更新後,不再於 SIGSYS 中直接解引用指標,而是先讓核心去驗證該路徑是否合法並打開它,再透過/proc/self/fd解析回傳的 fd。這讓惡意探測無法引發攔截器崩潰,完美隱蔽了 seccomp 重導的存在。 過掉「ART 內聯優化逃逸(Inline / AOT Escape)檢測」: - 檢測原理: 現代 Android (特別是 Android 8.0+) 的 ART 虛擬機會頻繁利用 ProfileSaver 進行 AOT (Ahead-of-Time) 編譯,並將部分頻繁呼叫的方法「內聯 (Inline)」。一旦目標方法被內聯,呼叫者會直接執行機器碼,不再經過方法的入口點,這會導致 LSPlant 等依賴入口點替換的 Java Hook 失效。防護系統會利用這一點,透過頻繁觸發特定邏輯並檢查執行時間或路徑,來判斷是否被 Hook。 - 繞過方式: 透過安裝 ProfileSaver 相容性鉤子並強制對dex2oat關閉 inline,確保目標方法永遠不會被編譯成無法攔截的內聯狀態。這保證了 Hook 的絕對覆蓋率,過掉了依賴內聯機制的完整性校驗。
2. 加強 I/O 與路徑檢測繞過,補齊 APK 可見路徑與 fd 掛載資訊偽裝 這部分是針對 VFS (虛擬檔案系統) 級別的深度稽查,特別是 Smallcheck 這類極度吹毛求疵的環境檢測工具: 過掉「Java 層 API 交叉比對檢測」: - 檢測原理: 應用不僅會透過Context.getPackageCodePath()獲取 APK 路徑,還會深入反射讀取LoadedApk、BoundApplication內的ApplicationInfo.sourceDir等欄位,甚至透過java.io.FileAPI 進行交叉比對。如果重導邏輯只覆蓋了表層,底層欄位仍指向你 patch 過的私有目錄,就會被抓包。 - 繞過方式: 啟動後主動將這些深層框架變數恢復為原始 APK 的「可見路徑」,並偽裝 File API,讓所有 Java 層的路徑查詢都得到一致的假象。 過掉「底層 Metadata (中介資料) 檢測」: - 檢測原理: 防護系統不呼叫 Java,直接透過 native 的stat,lstat,statfs或statx系統呼叫,去查驗 APK 檔案的「大小」、「Inode 節點」、「建立時間」或「磁區資訊」。如果讀取到的是補丁 APK 的資訊,大小和時間絕對與原始 APK 不符。 - 繞過方式: 將 native 檔案 hook 擴充到所有涉及 file stat 的 syscall,強制回傳原始 APK 的 Metadata,讓檔案屬性在檢測工具眼中完美無瑕。 過掉「掛載點特徵 (Mount ID / FD) 深度比對」: - 檢測原理: 這是 Smallcheck 的拿手好戲。即使你完美偽裝了路徑與大小,檢測工具會去讀取/proc/self/fd/下打開的檔案描述符,並進一步讀取/proc/*/fdinfo/<fd>裡面的mnt_id(掛載點 ID)。如果你的補丁 APK 放在另一個分區(例如某個私有 data 目錄或 OverlayFS),它的mnt_id會與預期中/data/app/目錄所在的mnt_id不同,重導行為直接曝光。 - 繞過方式: 系統動態追蹤被重導的 fd,並在檢測讀取 fdinfo 時,直接將裡面的mnt_id覆寫篡改為「可見路徑(原始 APK)」應該要有的mnt_id。這直接在 VFS 層面阻斷了掛載點異常洩漏的問題。 過掉「虛擬檔案系統 (FUSE) 探測」: - 檢測原理: 檢查/dev/fuse或相關掛載行為,來判斷系統是否運作在被魔改的模組環境(某些模組會利用 FUSE 來做檔案攔截)。 - 繞過方式: 直接對/dev/fuse的查詢回傳「不存在」,減少異常掛載點暴露的面積。
Вже доступно! Дослідження Telegram за 2025 — головні інсайти року 
