最近在琢磨獲取機(jī)頂盒root權(quán)限的問(wèn)題,發(fā)現(xiàn)了這篇文章,覺(jué)得很好,轉(zhuǎn)到此處。
一、概述
本文介紹了android中獲取root權(quán)限的方法以及原理,讓大家對(duì)android玩家中常說(shuō)的“越獄”有一個(gè)更深層次的認(rèn)識(shí)。
二、 Root 的介紹
1. Root 的目的
可以讓我們擁有掌控手機(jī)系統(tǒng)的權(quán)限,比如刪除一些system/app下面的無(wú)用軟件,更換開(kāi)關(guān)機(jī)鈴聲和動(dòng)畫(huà),攔截狀態(tài)欄彈出的廣告等。
2. Root的原理介紹
谷歌的android系統(tǒng)管理員用戶(hù)就叫做root,該帳戶(hù)擁有整個(gè)系統(tǒng)至高無(wú)上的權(quán)利,它可以訪問(wèn)和修改你手機(jī)幾乎所有的文件,只有root才具備最高級(jí)別的管理權(quán)限。我們r(jià)oot手機(jī)的過(guò)程也就是獲得手機(jī)最高使用權(quán)限的過(guò)程。同時(shí)為了防止不良軟件也取得root用戶(hù)的權(quán)限,當(dāng)我們?cè)趓oot的過(guò)程中,還會(huì)給系統(tǒng)裝一個(gè)程序,用來(lái)作為運(yùn)行提示,由用戶(hù)來(lái)決定,是否給予最高權(quán)限。這個(gè)程序的名字叫做Superuser.apk。當(dāng)某些程序執(zhí)行su指令想取得系統(tǒng)最高權(quán)限的時(shí)候,Superuser就會(huì)自動(dòng)啟動(dòng),攔截該動(dòng)作并作出詢(xún)問(wèn),當(dāng)用戶(hù)認(rèn)為該程序可以安全使用的時(shí)候,那么我們就選擇允許,否則,可以禁止該程序繼續(xù)取得最高權(quán)限。Root的過(guò)程其實(shí)就是把su文件放到/system/bin/ Superuser.apk 放到system/app下面,還需要設(shè)置/system/bin/su可以讓任意用戶(hù)可運(yùn)行,有set uid和set gid的權(quán)限。即要在android機(jī)器上運(yùn)行命令:adb shell chmod 4755 /system/bin/su。而通常,廠商是不會(huì)允許我們隨便這么去做的,我們就需要利用操作系統(tǒng)的各種漏洞,來(lái)完成這個(gè)過(guò)程。
特別說(shuō)明:我們燒機(jī)中的Eng版本并沒(méi)有Root權(quán)限
3. Root的方法
從Root的原理我們了解到,root 過(guò)程分三步:
a. adb push su /system/bin
b. adb push SuperUser.apk /system/app
c. adb shell chmod 4755 /system/bin/su
若系統(tǒng)是eng版的,做到以上三步,那么我們Root就大功告成,但實(shí)際是不行的。為什么呢?原因有三:
1、user版的/system路徑是只讀權(quán)限,不能簡(jiǎn)單寫(xiě)入
2、 chmod需要Root權(quán)才能運(yùn)行(死循環(huán)了)
3、有些系統(tǒng)在啟動(dòng)時(shí)會(huì)自動(dòng)將su的4755權(quán)限設(shè)成755,甚至直接刪除su
那么針對(duì)這種情況,我們?cè)趺崔k呢?非常簡(jiǎn)單:燒一個(gè)eng版本的boot.img就行了
可以用展訊的燒錄工具,或者用fastboot模式從sd卡燒一個(gè)boot.img文件即可
至此,我們Root就成功了,可以用R.E(Root Explorer)在根目錄創(chuàng)建和刪除文件。
superuser.apk這個(gè)程序是root成功后,專(zhuān)門(mén)用來(lái)管理root權(quán)限使用的,防止被惡意程序?yàn)E用。
我們有兩點(diǎn)疑問(wèn):
1. superuser是怎么知道誰(shuí)想用root權(quán)限?
2. superuser是如何把用戶(hù)的選擇告訴su程序的?
即superuser和su程序是如何通訊的,他們倆位于不通的時(shí)空,一個(gè)在java虛擬中,一個(gè)在linux的真實(shí)進(jìn)程中。
superuser共有兩個(gè)activity: SuperuserActivity 和 SuperuserRequestActivity ,其中SuperuserActivity 主要是用來(lái)管理白名單的,就是記住哪個(gè)程序已經(jīng)被允許使用root權(quán)限了,省的每次用時(shí)都問(wèn)用戶(hù)。
SuperuserRequestActivity 就是用來(lái)詢(xún)問(wèn)用戶(hù)目前有個(gè)程序想使用root權(quán)限,是否允許,是否一直允許,即放入白名單。
這個(gè)白名單比較關(guān)鍵,是一個(gè)sqlite數(shù)據(jù)庫(kù)文件,位置:
/data/data/com.koushikdutta.superuser/databases/superuser.sqlite
上文說(shuō)過(guò),root的本質(zhì)就是往 /system/bin/ 下放一個(gè)su文件,不檢查調(diào)用者權(quán)限的su文件。普通程序可以調(diào)用該su來(lái)運(yùn)行root權(quán)限的命令。superuser.apk中就自帶了一個(gè)這樣的su程序。一開(kāi)始superuser會(huì)檢測(cè)/system/bin/su是否存在:
File su = new File("/system/bin/su");
// 檢測(cè)su文件是否存在,如果不存在則直接返回
if (!su.exists()) {
Toast toast = Toast.makeText(this, "Unable to find /system/bin/su.", Toast.LENGTH_LONG);
toast.show();
return;
}
//如果大小一樣,則認(rèn)為su文件正確,直接返回了事。
if (su.length() == suStream.available())
{
suStream.close();
return; //
}
// 如果檢測(cè)到/system/bin/su 文件存在,但是不對(duì)頭,則把自帶的su先寫(xiě)到"/data/data/com.koushikdutta.superuser/su"
//再寫(xiě)到/system/bin/su。
byte[] bytes = new byte[suStream.available()];
DataInputStream dis = new DataInputStream(suStream);
dis.readFully(bytes);
FileOutputStream suOutStream = new FileOutputStream("/data/data/com.koushikdutta.superuser/su");
suOutStream.write(bytes);
suOutStream.close();
Process process = Runtime.getRuntime().exec("su");
DataOutputStream os = new DataOutputStream(process.getOutputStream());
os.writeBytes("mount -oremount,rw /dev/block/mtdblock3 /system\n");
os.writeBytes("busybox cp /data/data/com.koushikdutta.superuser/su /system/bin/su\n");
os.writeBytes("busybox chown 0:0 /system/bin/su\n");
os.writeBytes("chmod 4755 /system/bin/su\n");
os.writeBytes("exit\n");
os.flush();
有進(jìn)程使用root權(quán)限,superuser是怎么知道的呢,關(guān)鍵是句:
sprintf(sysCmd, "am start -a android.intent.action.MAIN
-n com.koushikdutta.superuser/com.koushikdutta.superuser.SuperuserRequestActivity
--ei uid %d --ei pid %d > /dev/null", g_puid, ppid);
if (system(sysCmd))
return executionFailure("am.");
原理是am命令,am的用法:
usage: am [subcommand] [options]
start an Activity: am start [-D] [-W] <INTENT>
-D: enable debugging
-W: wait for launch to complete
start a Service: am startservice <INTENT>
send a broadcast Intent: am broadcast <INTENT>
start an Instrumentation: am instrument [flags] <COMPONENT>
-r: print raw results (otherwise decode REPORT_KEY_STREAMRESULT)
-e <NAME> <VALUE>: set argument <NAME> to <VALUE>
-p <FILE>: write profiling data to <FILE>
-w: wait for instrumentation to finish before returning
start profiling: am profile <PROCESS> start <FILE>
stop profiling: am profile <PROCESS> stop
<INTENT> specifications include these flags:
[-a <ACTION>] [-d <DATA_URI>] [-t <MIME_TYPE>]
[-c <CATEGORY> [-c <CATEGORY>] ...]
[-e|--es <EXTRA_KEY> <EXTRA_STRING_VALUE> ...]
[--esn <EXTRA_KEY> ...]
[--ez <EXTRA_KEY> <EXTRA_BOOLEAN_VALUE> ...]
[-e|--ei <EXTRA_KEY> <EXTRA_INT_VALUE> ...]
[-n <COMPONENT>] [-f <FLAGS>]
[--grant-read-uri-permission] [--grant-write-uri-permission]
[--debug-log-resolution]
[--activity-brought-to-front] [--activity-clear-top]
[--activity-clear-when-task-reset] [--activity-exclude-from-recents]
[--activity-launched-from-history] [--activity-multiple-task]
[--activity-no-animation] [--activity-no-history]
[--activity-no-user-action] [--activity-previous-is-top]
[--activity-reorder-to-front] [--activity-reset-task-if-needed]
[--activity-single-top]
[--receiver-registered-only] [--receiver-replace-pending]
[<URI>]
還有個(gè)疑點(diǎn),就是su怎么知道用戶(hù)是允許root權(quán)限還是反對(duì)呢?原來(lái)是上面提到的白名單起來(lái)作用,superuser把用戶(hù)的選擇放入:
/data/data/com.koushikdutta.superuser/databases/superuser.sqlite 數(shù)據(jù)庫(kù)中,然后su進(jìn)程再去讀該數(shù)據(jù)庫(kù)來(lái)判斷是否允許。
static int checkWhitelist()
{
sqlite3 *db;
int rc = sqlite3_open_v2(DBPATH, &db, SQLITE_OPEN_READWRITE, NULL);
if (!rc)
{
char *errorMessage;
char query[1024];
sprintf(query, "select * from whitelist where _id=%d limit 1;", g_puid);
struct whitelistCallInfo callInfo;
callInfo.count = 0;
callInfo.db = db;
rc = sqlite3_exec(db, query, whitelistCallback, &callInfo, &errorMessage);
if (rc != SQLITE_OK)
{
sqlite3_close(db);
return 0;
}
sqlite3_close(db);
return callInfo.count;
}
sqlite3_close(db);
return 0;
}
四、 資源文件的獲取
從上文的源碼地址獲取源代碼,替換系統(tǒng)的system/extras/su/下面的su.c 和Android.mk文件,使用編譯命令 ./mk td28 u adr system/extras/su/ 編譯成功后會(huì)生成out/target/product/hsdroid/system/xbin/su 文件,而Superuser.apk就是普通的apk文件,都在源碼地址里面可以下載,下載后倒入到eclipse即可直接運(yùn)行。
五、 總結(jié)
在閱讀完本文后,可以站在專(zhuān)業(yè)的角度了解root的真正原理,以及有用戶(hù)有需求時(shí)我們可以幫助其快速的解決問(wèn)題。
版權(quán)聲明:本文為博主原創(chuàng)文章,遵循 CC 4.0 BY-SA 版權(quán)協(xié)議,轉(zhuǎn)載請(qǐng)附上原文出處鏈接和本聲明。
本文鏈接:(站外鏈接,已失效)
|