感谢酷安 涛114514 的提供的词条🤓🤓

共86条可搭配刚刚的词条食用

1.虚拟机环境（）

特别改机型模块或者prop被修改,关掉模块或还原prop

2.发现隐藏的UID

/sys/fs/cgroup/找到的UID,sus挂载隐藏,或者酷安,这个人的模块和群内的UID清理@幽影WF

3.Tampered Attestation(a)/(b)

1️⃣Tampered Attestation(a)为密钥发生替换,每替换一次就会出现一次,清除春秋全部数据可以将其消失或者变为其他词条

2️⃣Tampered Attestation(b)*为不稳定测试,爆这条不用管(因为需要破坏系统指纹)

4.发现mt正在运行或日志(这条老版本的新版本没有)

清理/storage/emulated/0/Android/data/bin.mt.plus.canary或/storage/emulated/0/Android/data/bin.mt.plus,日志,自定义mt2目录

5.bl状态异常

正常刷Tricky_Store和pif,隐藏就行

6.Abnormal Environment(02) 检查到西米露残留

创建一个sh脚本 Root使用以下命令：

resetprop persist.hyperceiler.log.level “”

resetprop –delete persist.hyperceiler.log.level

或使用西米露自带的日志去除

c16出现这个的话原因不明

7.Suspicious Surroundings(a/b/c)

/data/local/tmp路径

1️⃣Suspicious Surroundings(a)为tmp文件夹被设置为root用户和所有组,改为shell即可

b为tmp的inode值大于10000

2️⃣Suspicious Surroundings(b)为tmp的inode值高于10000,三种解决方法

①执行名字为”一键过ssb”的文件（后面两个方法均无法使用再考虑这个）

②删除/data/local下的tmp文件夹,将traces文件夹重命名为tmp然后重启设备即可

③如果用的是sukisu Ultra并且Kstat配置可以用,使用Kstat配置路径/data/local/tmp,ino填一个10000以下的正整数即可(需要保持tmp的权限为771和两个shell,并且tmp里面没有任何东西)

3️⃣Suspicious Surroundings(c)为tmp权限不为771一样设置为771就行

(a/b/c)也可用群里过ssb最新版三个一起过,原理就是频繁创建tmp,执行时间最长记录10小时,但最新测试用时短了一两个小时,酷安也有两个教程,一个是sus伪装inode和删除local文件夹下的空白文件,让系统自动恢复

8.Found lnjection 01,02,03

更新zygisk最新版1.2.9如果不行更新lsp再/data/adb/zygisksu/创建no_mount_znctl，文件然后重启

9.Miscellaneous Check (13)

使用susfs模块

10.ro.boot.vbmeta.avb_version=报错的值

可能是某些特殊模块如,修复boot异常或官改可以使用指令修改为1.2

resetprop -n ro.boot.vbmeta.avb_version 1.2

11.伪装内核版本和第三方内核和伪装内核版本

在伪装内核时将post勾选上,并使用原厂内核构建信息，Tampered kelrnel四系部分手机可能过不了，五系可能需要将构建时间例:2025改为2020-2024

12.找到隐藏应用路径

SukiSU Ultra可以sus路径,输入找到的路径即可隐藏,阿尔法之类的面具,可以尝试改包名或卸载应用

13.发现/dev/pts/[n],使用了交互式终端或某些模块所导致的问题,如果是终端就退出,这里只写mt的退出方法,mt管理器打开终端管理器右下角按钮结束会话

注：如果使用的sukisu ultra的gki模式,sus一下这个dev路径即可

14.Evil loop

权限异常为000,可能是模块造成或自己设置的将文件夹改为555权限

15.Abnormal Environment(外挂文件)

找到外挂文件,自己排查或找一个清理外挂文件的脚本

16.AbnormalEnvironment(04)或(01)或Detectedanomalousfile(Miscellaneous(a))或Cavert test(a)

dev文件检查+/data/local/tmp文件检查,例如在/dev发现Scene文件夹 在/dev/cpuset发现AppOpt文件夹,随机重命名解决,根据找到的目录删除,或者执行群里过AB,04不确定可不可以干掉,01应该可以,脚本用扩展包加root执行

17.发现GG修改器运行痕迹

/storage/emulated/0/legacy文件夹,删除可以了

18.Abnormal Environment(01)所有检测目录

/data/local/stryker

/data/system/AppRetention

/data/local/tmp/luckys

/data/local/tmp/input_devices

/data/local/tmp/HyperCeiler

/data/local/tmp/simpleHook simple

/data/local/tmp/DisabledAllGoogleServices

/data/local/MIO

/data/DNA

/data/local/tmp/cleaner_starter

/data/local/tmp/byyang

/data/local/tmp/mount_mask

/data/local/tmp/mount_mark

/data/local/tmp/scriptTMP

/data/local/luckys

/data/local/tmp/horae_control.log

/data/gpu_freq_table.conf

/storage/emulated/0/Download/advanced

/storage/emulated/0/Documents/advanced

/data/system/NoActive

/data/system/Freezer

/storage/emulated/0/Android/naki

/data/swap_config.conf

/data/local/tmp/resetprop

19.发现算法助手残留

发现存在/data/system/junge文件夹,删除就行

20.found.scene(1,2,3,4)或路径

删除scene或重命名那个路径文件夹

(3)为无障碍自行排查

(01)加路为发现

/dev/cpuset/scene-daemon随机重命名即可

21.风险应用[检测数量]

一般为检测包名,改包名即可,如果路径一起出来,那就需要sus路径隐藏了,如果不是SukiSU Ultra也可以只删内部存储的这个包名的数据目录二

如/storage/emulated/0/Android/data/xm.xmx.xm.xm

22.Covert test(f)

发现在/data存在swap_config.conf文件,这条我也没遇到过,删除应该也行

23.Covert test(gg)

同8/ART参数异常

24.不受信任keyAttestation

更换key,最好找个能用的,还有密钥认证,有用不代表一切,不过key也行

25.tee损坏

出现在真死或假死的设备上，一般一加居多，正常隐藏tee就行

26.Found bl hide

发现隐藏BL列表，自行排查

27.ADB[running] USB调试已开启

进入开发者选项关闭USB调试，一加不用管

28.Found Su

发现超级用户进程，阿尔法可以使用shamiko

29.Found XP

检测到文件或检测到HyperCeiler 模块

/data/local/tmp清除tmp里面的所有文件或删HyperCeiler 模块

30.不合法的哈希值

*使用密钥验证/Native Detector 获取Boot hash(Boot哈希值 即一串数字+英文字母)创建一个sh脚本 使用root权限执行以下命令：

resetprop ro.boot.vbmeta.digest 你自己的哈希值

31.Covert test (10)

发现外部存储存在sh脚本在外部存储目录搜索进行整理 统一放置在无法读取的目录

32.Environment Changed(vbmata)的大小异常和属性值异常，在root前执行命令，getprop ro.boot.vbmeta.size，记住值，root后执行以下命令resetprop ro.boot.vbmeta.size 记住的值或重刷vbmata分区或关掉优化模块或修改系统较多的模块（新版本这一条过不了）

注：针对小米设备中春秋检测的vbmeta相关问题，可通过第三方REC刷入原机备份的persist.img镜像文件解决（建议先关闭AVB校验以确保刷入流程顺畅

33.春秋已被隐藏应用列表隐藏或试图隐藏应用或找到隐藏应用(不稳定)

不要用隐藏应用列表对春秋隐藏，有几率过一些

34.Found Injection(c)

发现/data/local/tmp存在yshell文件夹

35.Tarmper Attribute属性篡改 系统prop被修改

*检查/data/adb/modules模块是否存在异常system.prop或resetprop命令，适当关闭模块或卸载

36.Suspected Risk

排查特殊root应用

37.发现外挂文件

根据提示删除即可

38.hide hook

检测到XP模块注入 打开lsp取消对春秋检测的模块作用域勾选

39.Abnormal Environment

存在风险文件例如 sh隐藏应用列表配置等，删除即可

40.Abnormal Environment4（1）划掉手机内的所有后台，重新进春秋即可

41.Abnormal Environment7

检测到/storage/emulated/0/Android/data/com.omarea.vtools/删除/dev/scene也删除

42.found evil version

无障碍列表关闭scene的启用并重启手机

43.发现adb调试痕迹和刷机痕迹

(01)去prop里面搜索adb 排除并修改

(02)setprop sys.usb.adb.disabled

(03)执行脚本resetprop persist.adb.nonblocking_ffs “”

resetprop –delete persist.adb.nonblocking_ffs

刷机痕迹执行脚本setprop persist.security.adbinput “”

44.查到异常残留

(外挂or模块or玩机应用) tmp里面存在子文件夹，删除或隐藏应用列表

45.Found evilaop已被测试出存在风险应用

Covert test 10 查出存在sh文件

Covert test c1 查出本地存在修改

Covert test 12 查出存在.rc执行文件

Covert test c2 同c1一样

46.mind test(a) 查出尝试或已经被模块修改过后数据

mind test(b) 同a一样被模块修改过后的数据

47.miscllaneouCheck

/sys/fs/selinux/这下面所有文件都等于0，就会有这个问题，这条不确定

48.Abnormal Environment（n）

根据提示目录删除

49.第三方rom(01)

换回官方rom

50.play lntegrity fix

不知道

51.发现异常修改

不知道

52.Found Rekernel Module

用的ak3压缩包里面内置了一个东西，不记得是啥来着了

53.Conventiona Tests(a/b)

忘了

54.Tampered Attestation Key(a/b*/d)

1️⃣Tampered Attestation Key(a)为密钥发生替换,每替换一次就会出现一次,清除春秋全部数据可以将其消失或者变为其他词条（比如不受信任keyAttestation）

2️⃣Tampered Attestation Key(b)*不知道

3️⃣Tampered Attestation Key(d)为检测到Tricky Store注入（使用Tricky Store 1.4.0即可解决）

55.密钥篡改！！！

检测到包括但不限于检测到烧录tee的行为，类似小米这些tee没损坏机型的也有概率报出

56.发现可疑挂载

貌似是没有使用模块对挂载进行隐藏

57.Found Scene＞＞/dev/cpuset/scene-daemon

发现scene进程

58.风险包名[数字]＞＞包名

字面意思，数字为发现的数量，删除/storage/emulated/0/Android下的对应包名即可

59.bl已解锁

缺少属性

60.BL已解锁

设备已解锁，需要用Tricky Store隐藏（但是容易出其他的词条）

61.系统异常修改＞＞包名

不知道

62.哈希值不匹配？！

进行重置哈希值/换密钥的操作

63.异常文件

根据路径进行删除

64.Found LSPHook Framework

属于bug，删除春秋重下

65.Abnormal Environment

存在风险文件例如 sh隐藏应用列表配置等等

66.Something wrong(删除软件重下)

字面意思，删除春秋重新安装

67.密钥吊销

字面意思,keybox被吊销了

68.实验性检测

可能是Tampered Attestation Key(b)*改名了,暂时不知道是什么东西（2.6.2移除）

69.实验检测2

不知道

70.密钥基础校验未通过

和牛头的CT8一样

71.发现狐狸面具

使用sus循环导致的（升级c16系统也有可能会出）

72.Found Injection(01)

2.6.2加入，不知道是什么问题与上面的FI01不是同一个，后台有管理器或者其他应用进程、录屏进入春秋都有可能会出现这个，其他情况未知

73.Disguise Kernel*

内核构建时间格式错误,可能是多打空格或者少打空格导致

74.试图隐藏路径

使用了隐藏应用应用列表+一键配置sus路径.sh导致

75.Abnormal Environment(09)

升级c16系统可能会出这个,格式化data即可解决

76.获取失败的KeyAttestation 和 TEE损坏

TEE真死或者假死,使用Tricky Store的强制模式即可

77.Tampered Kernel

当前内核信息与原厂信息不一致,构建ak3时候使用原厂信息或者使用susfs伪装内核信息即可

78.发现外挂驱动(实验检测)

刷了外挂驱动,包括但不限于qx,rt,dit以及kpm驱动，其他情况下的原因不明

79.未发现的挂载

不知道,2.6.3版本加入,c16系统误报

80.BL已解锁或密钥异常

字面意思,欧加真骁龙设备请在/data/adb/Tricky_Store/target.txt当中添加春秋的包名，并且在后面增加英文感叹号（其他类似的词条同理）

81.异常的system挂载 路径

不知道是什么模块还是啥产生的挂载

82.当前设备容易下发文件（推测）

查到了mt2文件夹、镜像、json、lua和sh文件,自定义一下mt2和删除原mt2文件夹、镜像、lua、json和sh文件即可

83.key发现以下异常-TEE状态异常:损坏-根证书不存在或缺失

字面意思,使用Tricky Store 1.4.0或者更高的版本开启对春秋的强制模式即可

84.扫盘已发现异常项目

85.Property Modified

设备型号不匹配（一般是由改机型模块引起）,2.6.4(修复)的第一个版本误报,第二个版本修复

86.当前设备机型已被篡改

2.6.4的扫盘测试内的（改到后续2.6.4中改名成Property Modified了）