背景

近期，ColorOS 系统的应用安装检测机制似乎又升级了。在安装第三方 APK 时，即使是完全正常的开源应用或小众软件，仅仅因为没有上架官方商店，就经常被强制触发“深度扫描”，甚至被打上“中高风险应用”的标签进行拦截管控。

作为手机的真正主人，我们理应拥有决定安装什么软件的自由，而不是被厂商的强管控机制处处掣肘。既然系统不讲武德，我们就从网络层下手，通过抓包分析，教大家如何“无感”屏蔽这些烦人的云端安全检测。

分析

抓包发现

通过 ProxyPin 等抓包工具分析安装流程，发现以下系统组件会在安装时主动联网：

关键域名

这些系统组件主要访问以下域名：

云查杀/安全扫描相关：

• virusinfo-cloudscan-cn.heytapmobi.com
• opav-cse.avlyun.com
• log.avlyun.com

安装审核/信息查询相关：

• api-audit.heytapmobi.com
• api.open.oppomobile.com
• iopen-gamecenter.heytapmobi.com

数据上报/统计相关：

• obus-cn.dc.heytapmobi.com
• classify-app-cn.allawntech.com
• datasec-kmsex-cn.heytapmobi.com

典型请求示例

抓包中发现的一个明文请求：

POST https://classify-app-cn.allawntech.com/api/getCategoryInfo
Content-Type: application/x-www-form-urlencoded

packageName=imoblife.toolbox.full&timestamp=1780201744239&sign=...

响应：

{
  "code": 200,
  "data": {
    "imoblife.toolbox.full": ["7|465|6782"]
  },
  "message": "success"
}

可以看出，系统不仅做了安全扫描，还会将待安装应用的包名上传到云端进行分类查询和行为记录。

解决方案

既然查明了原理，解决起来就非常简单了。我们只需要利用代理软件的路由分流功能，将上述域名的请求直接阻断（Block/Reject）即可。

这里以我常用的代理软件 NekoBox 为例（Clash / v2rayNG / sing-box 等同理）：

第一步：配置应用代理范围

大多数人习惯将系统应用设置为“绕过代理（直连）”，这里千万要注意：必须将上述查出的系统组件纳入代理范围，否则规则将无法生效。也不用担心这样会过度消耗代理流量，NekoBox内置的 GeoIP 等规则可以让绝大部分流量（比如说下载安装软件等）进入直连。

请在代理软件的“分应用代理”或“绕过局域网/直连”设置中，确保以下包名走代理：

com.oplus.appdetail
com.coloros.phonemanager
com.oplus.postmanservice
com.heytap.market
com.nearme.gamecenter
com.heytap.quicksearchbox

第二步：添加域名屏蔽规则

进入代理软件的“路由规则（Routing）”设置，新建一条规则。 将以下域名填入匹配列表，并将目标的出站方式（Outbound）设置为 屏蔽 / Reject / Block：

domain:virusinfo-cloudscan-cn.heytapmobi.com
domain:opav-cse.avlyun.com
domain:log.avlyun.com
domain:api-audit.heytapmobi.com
domain:obus-cn.dc.heytapmobi.com
domain:classify-app-cn.allawntech.com
domain:api.open.oppomobile.com
domain:iopen-gamecenter.heytapmobi.com
domain:datasec-kmsex-cn.heytapmobi.com

验证效果

以下是开启代理软件前后的效果，可以看出，其检测拦截手段已大幅降低

总结

本次是以 OPPO Reno 8 和 ColorOS 14 系统为例。

如果你使用的是其他 OPPO 手机或 ColorOS 14 以上系统，效果可能有所差异，可以根据上述原理抓包分析并微调规则。