关于android:Android源码定制5root指纹定制与抹除

1. 前言

本文为源码定制学习的 root 指纹抹除篇，通过本文的学习，读者能够把握 Android 指纹的根本定制能力和 root 定制能力，本文参考了看雪大佬利用 root 检测通杀篇，为试验记录笔记。有问题，能够一一指出：

本文第二节次要讲述基本原理

本文第三节次要讲述试验

本文第四节次要为总结

2. 基础知识

2.1 指纹解析

须要对 Android 指纹进行批改，最重要是明确 build.prop 的参数含意，这里截取网上文章中的一部分，不便大家了解：

# begin build properties（开始设置零碎性能）# autogenerated（通过设置造成零碎信息）ro.=GRI40 (版本 ID)
ro.build.=GRJ22（版本号）ro.build.version.incremental=eng.buildbot.20110619.060228（版本增量）ro.build.version.sdk=10（sdk 版本）ro.build.version.codename=REL（版本代号）ro.build.version.release=2.3.4（Android 2.3.4 零碎）ro.build.date=Sun Jun 19 06:02:58 UTC 2011（制作者及制作工夫）ro.build.date.utc=0
ro.build.type=user (编译模式, 如 user,userdebug,eng,test 模式)
ro.build.user=buildbot (编译账户)
ro.build.host=bb1 (编译主机零碎)
ro.build.tags=test-keys (编译标签)
ro.product.model=HTC Wildfire（HTC 外部手机代号）ro.product.brand=htc_wwe（手机品牌）ro.product.name=htc_buzz（手机正式名称）ro.product.device=buzz（采纳的设施）ro.product.board=buzz（采纳的处理器）ro.product.cpu.abi=armeabi-v6j（cpu 的版本）ro.product.cpu.abi2=armeabi（cpu 的品牌）ro.product.manufacturer=HTC（手机制造商）ro.product.locale.language=zh（手机默认语言）ro.product.locale.region=CN（地区语言）ro.wifi.channels=（WIFI 连贯的渠道）ro.board.platform=msm7k（主板平台）# ro.build.product is obsolete; use ro.product.device（旧代码 ro.build.product，应用代码 ro.product.device）ro.build.product=buzz（建设产品）# Do not try to parse ro.build.description or .fingerprint（不要试图批改 description 和 fingerprint）ro.build.description=passion-user 2.3.3 GRI40 102588 release-keys（用户的 KEY）ro.build.fingerprint=google/passion/passion:2.3.3/GRI40/102588:user/release-keys（零碎指纹）# end build properties（性能代码结束）#
# system.prop for buzz（零碎技术支持由 BUZZ 提供）#
# Density in DPI of the LCD of this board. This is used to scale the UI（高密度的液晶的 DPI 板。这是用来大规模 UI 的）# appropriately. If this property is not defined, the default value is 160 dpi.（appropriately. 如果这个属性没有定义, 缺省值是 160 dpi 的分辨率）ro.sf.lcd_density=240（显示屏分辨率，数值越大分辨率越底，240 就是 800*480 的）# View configuration for QVGA.（屏幕的设置）view.fading_edge_length=8
view.touch_slop=15（触摸屏灵敏度，数值越大越灵活）view.minimum_fling_velocity=25（滑动速度）view.scroll_friction=0.008（滑动误差）# RIL specific configuration.（特定设置）rild.libpath=/system/lib/libhtc_
ro.ril.ecc.HTC-WWE=999
ro.ril.ecc.HTC-ELL=92,93,94
ro.ril.enable.a52.HTC-ITA=1
ro.ril.enable.a53.HTC-ITA=1
ro.ril.enable.a52=0
ro.ril.enable.a53=1
ro.ril.vmail.23415=1571,BT
ro.ril.hsdpa.category=8（hsdpa 全称 High Speed Downlink Packet Access 中文意思：高速上行分组接入, 设置的数越大传输越快）ro.ril.htcmaskw1.bitmask=429496
ro.ril.htcmaskw1=14449
ro.ril.def.agps.mode=2（关上 AGPS 服务反对，可改为 ro.ril.def.agps.mode=0 改后能省电但 GPS 定位速度会变慢）ro.ril.gprsclass=12（GPRS 设置）# For HSDPA low throughput（HSDPA 低输量）ro.ril.disable.power.collapse=1（关闭电源）# Modify MMS APN retry timer from 5s to 2s.（批改短信的 APN 设置 5 秒为 2 秒）ro.gsm.2nd_data_retry_config=max_retries=3, 2000, 2000, 2000
# Time between scans in seconds. Keep it high to minimize battery drain.（扫描在几秒之内，可升高用电量）# This only affects the case in which there are remembered access points,（这个批改仅能影响此文件）# but none are in range.（然而没有一项是在范畴内的）wifi.interface=eth0（WIFI 界面）wifi.supplicant_scan_interval=45（WIFI 扫描间隔时间，这里设置是 45 秒。把这个工夫设置长点能省电）# Mobile data interfaces（挪动数据的接口）mobiledata.interfaces=rmnet0,rmnet1,rmnet2
# Allow or deny tethering.（容许和回绝绑定）ro.tether.denied=false
# Default network type.（默认的网络类型）# 0 => WCDMA Preferred.（0=WCDMA 优先）ro.telephony.default_network=0
# Enable Google-specific location features,（谷歌特定地点的设置）# like NetworkLocationProvider and LocationCollector.（如网络服务器提供商和服务器地位）ro.c o m.google.locationfeatures=1
# The OpenGL ES API level that is natively supported by this device.（开放式绘图介面）# This is a 16.16 fixed point number.（界面有 16 个点，16 个不动点数量）ro.opengles.version=65536（开放式绘图介面参数）# Disable fs check on boot by default.（开机时默认禁用 FS 查看）sys.checkfs.fat=false
# Performance settings.（性能设置）dalvik.vm.execution-mode=int:jit
dalvik.vm.heapsize=24m（虚拟内存大小，可设置为 16m 或 24m 或 32m 或 48m）persist.sys.use_dithering=1
persist.sys.purgeable_assets=1
# Increase SKIA decode memory capability for progressive jpg file.
ro.media.dec.jpeg.memcap=20000000
#
# ADDITIONAL_BUILD_PROPERTIES（其余性能设置）no_require_sim=true（手机卡爱护设置）ro.rommanager.developerid=cyanogenmodnightly（固件管理器开发者是 CM 大神）ro.url.legal=http://www./intl/%s/mobile/android/basic/phone-legal.html
ro.url.legal.android_privacy=http://www]/intl/%s/mobile/android/basic/privacy.html
ro. com.google.clientidbase=android-google（谷歌客户身份）ro. com.android.wifi-watchlist=GoogleGuest（WIFI 用户名单）ro.setupwizard.enterprise_mode=1（默认情景模式）ro. com.android.dateformat=MM-dd-yyyy（默认工夫格局，改为 yyyy-MM-dd，显示成果就是 XXXX 年 XX 月 XX 日）ro. com.android.dataroaming=false（漫游设置）ro.config.ringtone=Playa.ogg（默认铃声设置，文件在 /system/media/audio/ringtones 把喜爱的铃声放这里，比方 123. MP3 放入 ringtones 文件夹中，这里代码改为 ro.config.ringtone=123. mp3）ro.config.notification_sound=regulus.ogg（默认提示音，文件在 /system/media/audio/notifications 批改办法同上）ro.config.alarm_alert=Alarm_Beep_03.ogg（默认闹铃，文件在 /system/media/audio/alarms 批改办法同上）ro.modversion=CyanogenMod-7-06192011-NIGHTLY-buzz（版本信息，改这个能让你小名呈现零碎对于中，改为 ro.modversion=xxxxx）ro.setupwizard.mode=OPTIONAL（装置向导模式）net. bt. name=Android（零碎名称）dalvik.vm.stack-trace-file=/data/anr/traces.txt 

参考文章：Android 零碎 build.prop 文件生成过程

前面咱们要批改设施的指纹，次要关注两个文件：buildinfo.sh和Makefile

2.2 root 检测形式

个别 Android 上 root 检测的根本形式蕴含：

（1）查看 su 命令是否存在（2）查看罕用目录是否存在 su（或检测是否存在 s 权限的文件）（3）应用 which 命令查看是否存在 su（4）被动申请 root 权限（5）执行 busybox（6）查看 Android 属性（读取 build.prop 中要害属性，如 ro.build.tags 和 ro.build.type）（7）查看特定门路是否有写权限（在 Android 零碎中，有些目录是普通用户不能拜访的，例如 /data、/system、/etc 等）（8）查看市面支流的模拟器（9）检测 frida、xposed 等 Hook 框架的特色

具体能够分为：Android root 的零碎指纹、root 的门路指纹、root 的执行操作、第三方工具等

参考文章：批改 ROM 实现自定义 su 命令 -root 检测通杀，这里给出了一些根本的 root 检测指纹：

1.detectRootManagementApps—检测常见 su 包名, 如{“com.noshufou.android.su”,“com.noshufou.android.su.elite”,“eu.chainfire.supersu”,“com.koushikdutta.superuser”,“com.thirdparty.superuser”,“com.yellowes.su”,“com.topjohnwu.magisk”,“com.kingroot.kinguser”,“com.kingo.root”,“com.smedialink.oneclickroot”,“com.zhiqupk.root.global”,“com.alephzain.framaroot”}

2.detectPotentiallyDangerousApps—{“com.koushikdutta.rommanager”,“com.koushikdutta.rommanager.license”,“com.dimonvideo.luckypatcher”,“com.chelpus.lackypatch”,“com.ramdroid.appquarantine”,“com.ramdroid.appquarantinepro”,“com.android.vending.billing.InAppBillingService.COIN”,“com.android.vending.billing.InAppBillingService.LUCK”,“com.chelpus.luckypatcher”,“com.blackmartalpha”,“org.blackmart.market”,“com.allinone.free”,“com.repodroid.app”,“org.creeplays.hack”,“com.baseappfull.fwd”,“com.zmapp”,“com.dv.marketmod.installer”,“org.mobilism.android”,“com.android.wp.net.log”,“com.android.camera.update”,“cc.madkite.freedom”,“com.solohsu.android.edxp.manager”,“org.meowcat.edxposed.manager”,“com.xmodgame”,“com.cih.game_cih”,“com.charles.lpoqasert”,“catch_.me_.if_.you_.can_”}

3.detectRootCloakingApps—{“com.devadvance.rootcloak”,“com.devadvance.rootcloakplus”,“de.robv.android.xposed.installer”,“com.saurik.substrate”,“com.zachspong.temprootremovejb”,“com.amphoras.hidemyroot”,“com.amphoras.hidemyrootadfree”,“com.formyhm.hiderootPremium”,“com.formyhm.hideroot”}

4.suPath—遍历执行可能存在的 su 文件夹, 如{“/data/local/”,“/data/local/bin/”,“/data/local/xbin/”,“/sbin/”,“/su/bin/”,“/system/bin/”,“/system/bin/.ext/”,“/system/bin/failsafe/”,“/system/sd/xbin/”,“/system/usr/we-need-root/”,“/system/xbin/”,“/cache/”,“/data/”,“/dev/”}

5.checkForDangerousProps—查看一些属性的值.{ro.debuggable”,“1”},{“ro.secure”,“0”}

6.checkForRWPaths—先执行(须要 root)mount 如果返回 true 而后再查看是否有读写权限{“/system”,“/system/bin”,“/system/sbin”,“/system/xbin”,“/vendor/bin”,“/sbin”,“/etc”}

7.detectTestKeys—查看编译类型是否为 {“test-keys”}

8.checkBuildProp—查看 Buildprop 的值,{“ro.build.display.id”,”ro.build.version.incremental”,”ro.build.date”,”ro.build.date.utc”,”ro.build.type”,”ro.build.user”,”ro.build.flavor”,”ro.build.tags”,”ro.build.description”,”ro.build.fingerprint”,”ro.product.model”,”ro.product.brand”,”ro.product.name”}

9.checkSuExists—执行 su, 看看是否执行胜利

10.checkForRootNative—Native 层 root 查看

11.checkForMagiskBinary—检测是否存在 Magisk-{“/data/local/”,“/data/local/bin/”,“/data/local/xbin/”,“/sbin/”,“/su/bin/”,“/system/bin/”,“/system/bin/.ext/”,“/system/bin/failsafe/”,“/system/sd/xbin/”,“/system/usr/we-need-root/”,“/system/xbin/”,“/cache/”,“/data/”,“/dev/”}

具体的大家能够参考原文

我在后面的文章：Android 破绽之战调试与反调试也用实在的代码进行了展演示，这里大家能够进行参考

3. 试验

试验环境：

pixel Android8.0.1
Ubuntu 18

3.1 user 版本的编译

首先，咱们编译 user 版本的镜像，里我须要编译的指标版本是 aosp_sailfish-user，那么在编译的选项中是没有这一项的，依据lunch 命令列出的文件，随便找一个文件进行批改，咱们以 device/google/marlin/vendorsetup.sh 文件为例，进行批改

source build/envsetup.sh

咱们轻易关上一个配置文件进行增加，例如这里咱们关上配置文件device/google/marlin/vendorsetup.sh

vim device/google/marlin/vendorsetup.sh

咱们也能够发现之前的 userdebug 版本申明也在这外面

而后咱们再次初始化并抉择设施：

source build/envsetup.sh
lunch

能够发现此时咱们就多了 user 版本，而后咱们抉择该版本

编译：make -j4

编译实现

咱们能够发现当初就是 user 的版本，也没有 root 权限，和咱们平时应用的手机一样

这里咱们在网上找一个 root 检测工具，咱们能够发现此时的手机是未通过 root 的

只管咱们当初编译的是 user 版本，然而咱们试验了一些测试的 APP，发现其中有一些 APP 还是检测零碎含有 root，通过剖析咱们发现，无论是 user 编译还是 user-debug 编译，咱们的零碎签名都应用的是 test-key，而咱们真正的手机个别是 release-key 签名后公布的，所以很多 APP 将这里作为检测点

这里有两种计划：

（1）编译 release-key 版本的零碎

因为前面咱们还要发展指纹抹除试验，所以这里给大家举荐一个文章，想要实现能够去试下：Android——编译 release 版签名零碎

（2）批改指纹

咱们这里为了简略的试验，前面在试验中将这里的进行抹除

test-keys--->release-keys

而后为了发展前面的实现，咱们尝试拿到 user 版本的指纹，因为此时无奈 root，所以无奈查看 /system/build.prop的信息，所以咱们间接对设施进行 root

8.0 刷入 root 步骤：（1）刷入 twrp（2）应用 twrp 刷入 Magisk
既能够取得 root

针对 Android8.0 的设施取得 root，最不便的便是刷入 Magisk

此时咱们再次查看设施的指纹：

能够发现此时咱们能够找到指纹，这里咱们保留该指纹信息

3.2 userdebug 版本编译

咱们按下面的编译步骤抉择 userdebug 版本

咱们能够发现 userdebug 的指纹显著不一样，此时咱们再查看一下

3.3 root 指纹抹除

后面咱们别离对 user 版和 debug 版的零碎进行了剖析，相应不少敌人应答一些常见的 root 检测的利用进行解决，那能不能即取得 root 的操作，又领有 user 一样的镜像呢，这里咱们就须要对 root 进行定制和指纹抹除

首先咱们用文件比照工具来进行比拟：

咱们只须要将这些差别的中央一一进行批改即可

（1）test-keys

后面咱们提到了这个问题，所以这里咱们须要将其进行批改，这里间接将 test-keys 批改为release-keys

咱们先查找一下地位：

而后咱们搜寻 ro.build.tags，能够在buildinfo.sh 中找到

而后咱们持续定位前面的值，在 build/make/core/Makefile 中

这里咱们间接批改为release-keys

（2）ro.build.display.id

依照后面的思路进行定位：

build/make/core/Makefile

这里咱们将其值批改为和 user 保持一致

留神这里咱们应用 release-key

（3）ro.build.version.incremental

这里咱们能够将 buildinfo.sh 和Makefile 文件都批改

即咱们批改 BF_BUILD_BUMBER 的值就能够了

（4）ro.build.date 和 ro.build.date.utc

这两个是编译是工夫，为了与前面保持一致，咱们还是进行批改

而后咱们进行批改：

（5）ro.build.type

buildinfo.sh

Makefile

间接在此处批改即可

（6）ro.build.user 和 ro.build.host

buildinfo.sh

这里咱们间接批改为用户名和主机

（6）ro.build.flavor

而后咱们间接进行批改

（7）ro.build.description

应批改为：

aosp_sailfish-user 8.1.0 OPM1.171019.011 eng.Windaa.20221109.050000 release-keys 

（8）ro.build.fingerprint

一样，咱们进行定位

而后咱们进行批改

Android/aosp_sailfish/sailfish:8.1.0/OPM1.171019.011/Windaa11090500:user/release-keys

（9）ro.product.model、ro.product.brand、ro.product.name

一些敌人想要设施向 google 的原设施一样，能够批改手机的代号和产品名称，这里就不批改了，感兴趣敌人能够批改

3.4 root 定制

root 定制这里参考通用的办法：xu 为自定义的名称

AOSP/system/extras/su 下批改 Android.mk 中 su 批改为 xu
AOSP/system/core/libcutils/fs_config.cpp 中 /system/xbin/su 批改为 /system/xbin/xu
AOSP/system/sepolicy/private/file_contexts 中 /system/xbin/su 批改为 /system/xbin/xu

第一处

第二处

第三处

3.5 编译

而后再次编译，抉择 user-debug 版

lunch：24
make -j4

3.6 成果演示

咱们从新刷机，刷机实现后，就能够发现定制的镜像和原理看起来统一

定制后：

定制前（user 版）：

咱们能够试下，看能不能失常 root

能够发现是没有问题的

4. 总结

本文编译了 user 版和 user-debug 版，并通过指纹定制将 user-debug 魔改为 user 版，为后续试验提供了更多的不便，相干文件后续上传 github

5. 参考文献

https://bbs.pediy.com/thread-273485.htm#msg_header_h2_0
http://lzonel.cn/3136.html
https://blog.csdn.net/u010142437/article/details/78030485
https://www.jianshu.com/p/dd6cca4ec27d

本文由平安后厨团队分享，转载请注明起源，违者必究！