虽然不是最新版本的但是 新版本不适合小白

在2.6.6Pro-2.6.9版本的春秋检测 不推荐小白使用原因不好说

感谢酷安 “涛114514” 的贡献🤓🤓 这个只是2.6.5-2.6.6的更新词条

1.Tampered Attestation Key(a)/(b*)/(c)*/(d)

1️⃣Tampered Attestation Key(a)为密钥发生替换,每替换一次就会出现一次,清除春秋全部数据可以将其消失或者变为其他词条（比如不受信任keyAttestation、AOSP证书等）

2️⃣Tampered Attestation Key(b*)不知道

3️⃣Tampered Attestation key(c)*不知道,貌似开启Tricky Store强制模式就没了

4️⃣Tampered Attestation Key(d)为检测到Tricky Store注入（使用Tricky Store 1.4.0即可解决）

注：Tricky Store强制模式就是在/data/adb/tricky_store/target.txt中的包名后面增加一个英文感叹号,以便强制让软件获取到密钥证书链

2.Suspicious Surroundings(a/b/c)

/data/local/tmp路径

1️⃣Suspicious Surroundings(a)为tmp文件夹被设置为root用户和所有组,改为shell即可

2️⃣Suspicious Surroundings(b)为tmp的inode值高于10000,三种解决方法

①执行名字为”一键过ssb”的文件（后面两个方法均无法使用再考虑这个）

②删除/data/local下的tmp文件夹,将traces或者tests文件夹重命名为tmp然后重启设备即可

③如果用的是sukisu Ultra并且Kstat配置可以用,使用Kstat配置路径/data/local/tmp,ino填一个10000以下的正整数即可(需要保持tmp的权限为771和两个shell,并且tmp里面没有任何东西)

3️⃣Suspicious Surroundings(c)为tmp权限不为771一样设置为771就行

(a/b/c)也可用群里过ssb最新版三个一起过,原理就是频繁创建tmp,执行时间最长记录10小时,但最新测试用时短了一两个小时,酷安也有两个教程,一个是sus伪装inode和删除local文件夹下的空白文件,让系统自动恢复

3.Tampered Kernel/第三方内核/伪装内核

转gki模式时用的ak3压缩包的内核信息不是原厂/刷了潘多拉调度的原因,用susfs伪装即可（不是gki或者说是build-in模式的不行,如果你是阿尔法或者lkm啥的出这个我也不知道是为啥）：sukisu老版本主页右上角的内置（新版本在设置里面）或者用模块的susfs，将执行位置改到post-fs-data，打开开机自启动，将原厂内核信息和构建时间填上

获取内核信息的三种方法：

注：涉及的boot均为boot.img，而不是init_boot.img

1️⃣内置的susfs/Kernel Flasher软件看另一个槽位的信息然后直接搬过来

2️⃣用APatch修补boot镜像文件时截图并且提取文字

3️⃣将原厂boot放在/storage/emulated/0/Download/文件夹下面,使用这个脚本即可查看[链接]查看链接

4.Disguise Kernel*

内核构建时间格式错误,可能是多打空格或者少打空格导致

5.Abnormal Environment(09)

升级c16系统可能会出这个,为系统挂载,在后续版本修复

6.Property Modified

设备型号不匹配（一般是由改机型模块引起）,2.6.4(修复)的第一个版本误报,第二个版本修复

7.获取失败的KeyAttestation 和 TEE损坏

TEE真死或者假死,使用Tricky Store的强制模式即可

8.异常文件

根据路径进行删除

9.发现外挂驱动(实验检测)

刷了外挂驱动,包括但不限于qx,rt,dit以及kpm驱动，其他情况下的原因不明

10.Futile Hide 04

Root管理器的问题，还原lkm即可（APatch用户出现这个可以尝试升级APatch版本,内核模块嵌入NoHello和NoMagisk，系统模块安装zy3 Next 1.3.1，Tricky Store 1.4.1和TrickyAddonModule-v4.3，并且将）

11.当前设备容易下发文件（推测）

查到了mt2文件夹、img、xml、json、lua和sh文件

mt管理器左上角三条杆——三个竖点——设置——常规——自定义MT2目录，将路径设置为/sdcard/114514

（只要不是MT2就行，114514只是例子）

然后将/storage/emulated/0/Download/和/storage/emulated/0/下的上述几种后缀文件删除即可

12.发现以下异常:·TEE状态异常:损坏·根证书不存在或不可信

字面意思,使用Tricky Store 1.4.0或者更高的版本开启对春秋的强制模式即可

13.Found scene

（不止这一个，只要是包括scene字眼的词条）

发现scene的软件本体、包名、无障碍、自启动和进程，只能删了scene或者直接删了春秋（毕竟环境调度二选一）

14.AOSP证书

用的Tricky Store自带的AOSP证书,替换一个Google密钥即可，替换路径为/data/adb/tricky_store/

15.key发现以下异常- 系统不兼容（SDK n＜31）

系统的Android SDK低于春秋设定的31,设备不支持春秋检测

16.BL已解锁或密钥异常

字面意思,欧加真骁龙设备请在/data/adb/Tricky_Store/target.txt当中添加春秋的包名，并且在后面增加英文感叹号（其他类似的词条同理）

17.风险应用/风险包名

使用HMA和susfs的sus路径隐藏风险应用即可

（scene，sukisu等例外）

18.ro.boot.vbmeta.avb_version=报错的值

可能是某些特殊模块如：修复boot异常、Integrity-Box模块或官改可以使用指令修改为1.2

resetprop -n ro.boot.vbmeta.avb_version 1.2

19.不受信任keyAttestation

换一个Google密钥即可（春秋已经很久没拉黑密钥了,你要是出这个只能说明你换的密钥还是春秋早期拉黑的密钥）

20.Found Su

没有隐藏root权限

（另一篇帖子会给教程，你要是没看到的话那就是还在写）

21.不一致的挂载

目前已知的就是部分机型和面具（或者说是root管理器/实现方式）/温控模块会出这个，解决方法就是换root方式和删除温控模块

22.试图隐藏应用

使用HMA或者sus路径的时候可能会出,不用也可能会出（相当于是查到风险应用就附赠的一样）

如果只显示这一个，不显示风险报名啥的，那就是误报

以下的词条暂且不明/没把握

1.系统异常修改>>com.miui.packageinstaller

2.异常的system挂载

3.Found LSPHook Framework

4.哈西值不匹配？！

没隐藏bl导致bootkey为0

5.Found Rekernel Module

使用了ReKernel模块，卸载即可（某些ak3自带,换一个ak3）

6.发现可疑挂载

7.Conventiona Tests(a)

/data/local/下的tmp文件夹被删除了

8.Magisk Found

9.Miscellaneous Check(n)

杂项检查 n为一个变量

10.998641

11./data/local/无法访问

可能是因为这个文件夹的权限不是751

12.当前虚拟机环境{0x2}