安卓 root权限笔记
Root原理
Root的终极目标就是要把编译好的su文件拷贝到Android手机的/system/bin或者/system/xbin/目录下。su一定要放到/system/bin/或者/system/xbin/,su不能放在data分区原因是因为data分区在mount时就指定了不能给可执行程序加s位。
需要获得root的时候:Process p = Runtime.getRuntime().exec("su")。换句话说你必须把su放到环境变量PATH所有的目录里,APP才能调用到它。如果你不想放到bin或者xbin下,你就必须给PATH增加一个目录。PATH是root权限才能修改的,你如果能修改PATH,说明你已经有root权限了,修改PATH就没必要了,还不如直接放到bin下面。
Superuser与su授权原理
Superuser与su授权交互图
su和Suepruser进行root授权的处理流程:对于su命令行程序在对来自应用的Root权限请求处理流程大致如图所示图中Android应用是申请Root权限的申请者,su命令行程序时Root权限拥有者,因su设置了suid位,因此任何执行它的进程都会获得和它一样的权限,这个好像在之前的文章中提到过,其实细节上并非这么容易,和Superuser用户权限管理apk结合起来使用的话还会有一些仲裁的过程。 描述起来就是:
1.Android应用调用su程序,来申请root权限;
2.su启动LocalSocket服务,LocalSocket的功能和通常我们进程通信的Socket类似,其实是在本地共享一块内存来实现和本地其他进程之间进行通信的Socket服务;
3.su命令行程序通过am命令请求显示Superuser应用的RequestActivity窗口,这个窗口里面显示哪个uid的和user的应用申请权限;
4.Superuser连接到由su进程建立的LocalSocket服务上,至此LocalSocket连接成功,之后进程和Superuser对应的进程可以通过这个LocalSocket来进行信息传递了;
5.LocalSocket的数据通道成功连接库,su程序通过socket传递调用者(申请root权限的Android应用)的一些信息。
6.Superuser将用户的仲裁结果数据返回给su程序,如果用户允许授权则,则 ALLOW root授权,反之DENY。(其中还有用户在一定时间内未作出选择的情况,默认为DENY)
这是从Android应用申请root权限到su和Superuser配合实现用户选择后的仲裁的整个过程。 下面我一步一步分析一下这些过程中的细节。
从su的main函数开始,分析细节 因为su是一个linux命令行程序,故我们首先在Superuser的源码的jni目录下找到su.c文件,定位到main函数处。
main函数中主要完成了三个主要的工作:
1.初始化调用者数据和效验
1)获取调用者调用su命令的命令行参数-from_init函数
2)获取su命令的链接路径-user_init函数
3)获取调用者的名称
2.通过SQLlite数据库检查申请“Root授权”的Android应用程序是否还需要进一步效验
3.建立LocalSocket服务,并进行相应的数据通信
main函数中第二个主要完成的工作就是:检查申请“Root”授权的Android应用程序是否还需要进一步的效验。然后在本地SQLite数据库中进行查询,如果数据库中显示授予root权限就直接 授予root权限,拒绝过就直接拒绝,如果没有记录就进入到下一阶段,和Superuser进行通信,然后Superuser接收到用户的选择后将选择数据传回到su程序中来决定是否授予新申请root权限的Android应用Roo权限。 main中完成的。第三个主要的主要工作就是建立本地LocalSocket服务,等待Superuser的连接,当连接成功后传递调用者信息即初始化后的su_context结构体,Superuser在收到调用者的信息后显示出来让用户仲裁是否授予权限,最后将用户选择回传到su程序,su根据结果来执行deny()或者allow()函数(允许或拒绝root权限授权的关键allow()函数和deny()函数)。
到现在为止,我们已经了解了su命令和Superuser在授权root权限时,su端的工作原理,但是su.c文件中的两个函数allow()和deny()的具体实现我们还没有看到,这两个函数才是最终允许或拒绝root权限授权的关键。原文link
参考:
Android 的提权 (Root) 原理是什么? Root的过程原理★★★★★
Superuser进行授权管理的原理浅析 Superuser与su授权交互原理★★★★★
Android Root原理分析及防Root新思路 root原理
怎么删除安卓授权管理 su删除
方案参考:
P1.Xposed Installer + RootCloak Xposed插件MATE7安装失败,基于安卓系统进程劫持原理;
P2.RootSwitch 方案较复杂,实现方案改动大,风险高;
最终实现方案:
实现原理基于以下几点:
S1.root的终极目标就是在/system/bin/或者/system/xbin/目录下刷入su文件;
S2. Process p = Runtime.getRuntime().exec("su")相当于windows在系统环境变量path目录下查找可执行程序,因此su可以更名为xxx。
S3.su与superuser的交互原理,通过LocalSocket建立交互类似于Socket通信,授权结果存贮在SQLite数据库中。Root软件有其一套对应的su与superuser。
使用KingRoot root后,复制/system/xbin/su为/system/xbin/sudo,卸载KingRoot(与移除su文件)。再重新装上KingRoot,程序执行Runtime.getRuntime().exec("sudo")才能获取权限,其他程序检测su文件失效。
测试代码
/** * 应用程序运行命令获取 Root权限,设备必须已破解(获得ROOT权限) * http://blog.csdn.net/zhufuing/article/details/7875216/ * @return 应用程序是/否获取Root权限 */ public static boolean getRootPermission(String pkgCodePath) { Process process = null; DataOutputStream os = null; try { String cmd="chmod 777 " + pkgCodePath; // process = Runtime.getRuntime().exec("su"); //切换到root帐号 process = Runtime.getRuntime().exec("sudo"); //切换到root帐号 os = new DataOutputStream(process.getOutputStream()); os.writeBytes(cmd + "\n"); os.writeBytes("exit\n"); os.flush(); process.waitFor(); } catch (Exception e) { return false; } finally { try { if (os != null) { os.close(); } process.destroy(); } catch (Exception e) { } } return true; }
