android ROOT 原理

root之所谓称之为root,是因为是使用了root用户权限,或者使用了root用户登陆。
未root时,权限管理是很严格的,很多文件都不能增删改,很多额外功能无法使用。
Root的最大标识便是当程序调用超级权限时,弹出的提示框。

正统的发行版linux中有一个su命令,用于普通用户提权到root。 su本来在linux里是不与其它程序关联

的, 在现在的android中su是与superuser.apk关联的 也就是大家常看到的某某程序在想提权时,弹出的

超级用户授权提示 只要这两个东西在系统里面,那就能让普通程序提权了。

通过执行破解程序,可以临时得到root权限, 在这个权限时把你的su和superuser.apk拷入手机系统 这

样以后就可以随时随地获取root权限,也就是真正地root了你的手机
如果你进行过程序开发,在root过的手机上面获得root权限的代码如下:
 
  1: Process process = Runtime.getRuntime().exec("su");
//创建一个进程执行命令行
   2: DataOutputStream os = new DataOutputStream(process.getOutputStream());
//创建数据输出流
   3: ......
   4: os.writeBytes("exit\n");
//执行linux命令
   5: os.flush();
 //清空缓冲区数据
从上面代码我们可以看到首先要运行su程序,其实root的秘密都在su程序中,默认的su程序只能root和

shell可以用运行su,这个是安全的。如果把这个限制拿掉,就是root破解了!
我们发现su的所有者和所有组都是root,这其实是busybox的软链接,我们查看busybox的属性发现,其设

置了SUID和SGID,并且所有者和所有组都是root。SUID和SGID的作用是什么呢?这样运行busybox的普通

用户,busybox运行过程中获得的是root的有效用户。su程序则是把自己启动一个新的程序,并把自己权

限提升至root(我们前面提到su其实就是busybox,运行期它的权限是root,当然也有权限来提升自己的

权限)。
我们发现su也设置了SUID位,这样普通用户也可以运行su程序,su程序会验证root密码,如果正确su程序

可以把用户权限提高的root(因为其设置SUID位,运行期是root权限,这样其有权限提升自己的权限)。

这样我们就可以看出其实Android系统的破解的根本原理就是替换掉系统中的su程序,因为系统中的默认

su程序需要验证实际用户权限(只有root和 shell用户才有权运行系统默认的su程序,其他用户运行都会

返回错误)。而破解后的su将不检查实际用户权限,这样普通的用户也将可以运行su程序, 也可以通过

su程序将自己的权限提升。

root 破解就是在你系统中植入“木马su”,说它是“木马”一点儿都不为过,假如恶意程序在系统中运

行也可以通过su来提升自己的权限的这样的结果将会是灾难性的。
所以一般情况下root过手机都会有一个SuperUser应用程序来让用户管理允许谁获得root权限,也算是给

系统加了一层保险吧!

我们来介绍一种最传统的ROOT方法。
下面的代码是android系统原版的su中的部分代码,可以看出只允许getuid()为AID_ROOT和AID_SHELL的进

程可以使用su进行登陆。
/* Until we have something better, only root and the shell can use su. */
myuid = getuid();
if (myuid != AID_ROOT && myuid != AID_SHELL) {
fprintf(stderr,"su: uid %d not allowed to su\n", myuid);
return 1;
}

下面我们先清点一下我们需要破解系统情况,假设需要破解的Android系统具备如下条件:
1、可以通过adb连接到设备,一般意味着驱动程序已经安装。       
2、但是adb获得用户权限是shell用户,而不是root。

要想理解root破解过程我们首先需要了解一下adb工具,SDK中包含adb工具,设备端有adbd服务程序后台

运行,为开发机的adb程序提供服务,adbd的权限,决定了adb的权限。具体用户可查看/system/core/adb

下的源码,查看Android.mk你将会发现adb和adbd其实是一份代码,然后通过宏来编译。

查看adb.c的adb_main函数你将会发现adbd中有如下代码:
   1: int adb_main(int is_daemon)
   2: {
   3:     ......
  //执行若干程序后,提升权限为root权限
   4:     property_get("ro.secure", value, "");
   5:     if (strcmp(value, "1") == 0) {
   6:         // don't run as root if ro.secure is set...
   7:         secure = 1;
   8:         ......
   9:     }
  10:
//setgid、setuid决定是否为root权限,一旦secure为1,则降级用户权限。
  11:     if (secure) {
  12:         ......
  13:         setgid(AID_SHELL);
  14:         setuid(AID_SHELL);
  15:         ......
  16:     }
  17: }

从中我们可以看到adbd会检测系统的ro.secure属性,如果该属性为1则将会把自己的用户权限降级成

shell用户。一般设备出厂的时候在/default.prop文件中都会有:
   1: ro.secure=1

这样将会使adbd启动的时候自动降级成shell用户。
然后我们再介绍一下adbd在什么时候启动的呢?答案是在init.rc中配置的系统服务,由init进程启动。

我们查看init.rc中有如下内容:
   1: # adbd is controlled by the persist.service.adb.enable system property
   2: service adbd /sbin/adbd
   3:     disabled

对Android系统属性有了解的朋友将会知道,在init.rc中配置的系统服务启动的时候都是root权限(因为

init进行是root权限,其子程序也是root)。由此我们可以知道在adbd程序在执行:
   1: /* then switch user and group to "shell" */
   2: setgid(AID_SHELL);
   3: setuid(AID_SHELL);
/*setgid和setuid是降级命令,执行此语句之后,用户权限被降级为普通权限,没有root功能*/

代码之前都是root权限,只有执行这两句之后才变成shell权限的。
这样我们就可以引出root破解过程中获得root权限的方法了,那就是让以上面setgid和setuid函数执行失

败,也就是降级失败,那就继续在root权限下面运行了。
这其实利用了一个RageAgainstTheCage漏洞,具体分析请参考《Android adb setuid提权漏洞的分析》和

《RageAgainstTheCage》。

这里做一个简单说明:
1、出厂设置的ro.secure属性为1,则adbd也将运行在shell用户权限下;
2、adb工具创建的进程ratc也运行在shell用户权限下;
3、ratc一直创建子进程(ratc创建的子程序也将会运行在shell用户权限下),紧接着子程序退出,形成

僵尸进程,占用shell用户的进程资源,直到到达shell用户的进程数为RLIMIT_NPROC的时候(包括adbd、

ratc及其子程序),这是ratc将会创建子进程失败。这时候杀掉adbd,adbd进程因为是Android系统服务

,将会被Android系统自动重启,这时候ratc也在竞争产生子程序。在adbd程序执行上面setgid和setuid

之前,ratc已经创建了一个新的子进程,那么shell用户的进程限额已经达到,则adbd进程执行setgid和

setuid将会失败。根据代码我们发现失败之后adbd将会继续执行。这样adbd进程将会运行在root权限下面

了。
4、这时重新用adb连接设备,则adb将会运行在root权限下面了。
(UID 和 GUI溢出返回为0)

如果发现setgid和setuid函数执行失败,则adbd进程异常退出,就把这个漏洞给堵上了。为什么这么多设

备都没有堵上这个漏洞呢?我觉得是设备厂商的策略(不排除傻X的厂商存在哦),虽然知道怎么封堵漏

洞但是就是留着个后门给大家,让第三方给自己定制rom,提高自己系统的易用性。


源生的ROM一般都比较容易ROOT,而定制的手机,电信运营商为了保护自己的ROM不容易被擦写,保护自己

APP不被轻易去除,都会修改内核加锁等措施预防。所以遇到这种情况最好去厂家下载一个源生ROM,利用

SD卡刷升级后,再进行ROOT

root后能干什么?
1、超级用户权限管理器管理APP权限(一般ROOT后自带)
2、备份/恢复系统(在安卓系统中,不需要busybox)(Titanium )
3、截图(ShootMe)
4、任意视觉主题(Metamorph)
5、屏蔽所有广告(Adfree)
6、把你手机变成热点WIFI(4.0以上系统自带此功能)
7、管理进程(Tasker)
8、在安卓系统运行Linux命令(Busybox)
9、刷ROM
10、文件权限操作(Root Explorer)

当uboot(fastboot)被装载后便开始运行,它一般会先检测用户是否按下了某些特别按键,这些特别按键

是uboot编译时预先约定好的,用于进入调试模式。如果用户没有按这些特别的按键,则uboot会从NAND

Flash中装载Liunx内核,装载的地址是在编译uboot时预先约定好的。(安卓内核)
所以现在安卓手机开机时,有三种选择,一是直接进入安卓系统,二是进入线刷(PC机),三是进入

recovery。

你可能感兴趣的:(android ROOT 原理)