在做系统定制的工作中我们一般会编译针对开发人员的eng版本以方便调试,按说eng版本应该开放了所有的系统权限,几乎应该是等同于root版本的,而实际上eng版本的root权限主要是给予了adb,对于上层应用依旧保持封闭状态(使用root助手等检测显示未root)。我们这里通过修改开放针对上层应用的root权限。
修改su的SELinux权限
在eng版本下让app执行su命令提示我们没有权限,显然是SELinux权限问题,我们针对log的提示添加相应的规则与权限。
\external\sepolicy\untrusted_app.te
#添加规则
allow untrusted_app su_exec:file {read open execute execute_no_trans};
\external\sepolicy\domain.te
#删除规则
neverallow { domain userdebug_or_eng(`-dumpstate -shell -su') } su_exec:file no_x_file_perms;
system\core\libcutils\fs_config.c
//修改用户与权限
{ 06755, AID_ROOT, AID_ROOT, 0, "system/xbin/su" },
system\extras\su\su.c
//屏蔽uid校验
//if (current_uid != AID_ROOT && current_uid != AID_SHELL) error(1, 0, "not allowed");
编译后使用Root助手依然提示未root,所以肯定不是这个原因,至少不仅仅是su文件的权限这个原因,下面我们选择全局修改SELinux权限
修改SELinux权限为permissive
\vendor\mediatek\proprietary\bootable\bootloader\lk\platform\mt6735\rules.mk
#choose one of following value -> 2: permissive /3: enforcing
SELINUX_STATUS := 2
\system\core\init\Android.mk
#如编译user添加user标识
ifneq (,$(filter user userdebug eng,$(TARGET_BUILD_VARIANT)))
消除Capabilities机制
这个所谓的Capabilities机制对于Root权限是另一种控制
\frameworks\base\core\jni\com_android_internal_os_Zygote.cpp
将DropCapabilitiesBoundingSet(JNIEnv* env)函数清空
\frameworks\base\cmds\app_process\app_main.cpp
其中的Main方法删除如下代码块
if (prctl(PR_SET_NO_NEW_PRIVS, 1, 0, 0, 0) < 0) {
// Older kernels don't understand PR_SET_NO_NEW_PRIVS and return
// EINVAL. Don't die on such kernels.
if (errno != EINVAL) {
LOG_ALWAYS_FATAL("PR_SET_NO_NEW_PRIVS failed: %s", strerror(errno));
return 12;
}
}
adbd恢复到root权限
早期的adbd是直接就有root权限的,后来被降权,我们这里选择不降权
\system\core\adb\adb_main.cpp
将should_drop_privileges()方法直接返回false
重新编译,使用一键Root检测,显示手机已Root,可以卸载内置应用,安装Xposed框架