共计 10487 个字符,预计需要花费 27 分钟才能阅读完成。
1. 前言
本文为源码定制学习的 root 指纹抹除篇,通过本文的学习,读者能够把握 Android 指纹的根本定制能力和 root 定制能力,本文参考了看雪大佬利用 root 检测通杀篇,为试验记录笔记。有问题,能够一一指出:
本文第二节次要讲述基本原理
本文第三节次要讲述试验
本文第四节次要为总结
2. 基础知识
2.1 指纹解析
须要对 Android 指纹进行批改,最重要是明确 build.prop
的参数含意,这里截取网上文章中的一部分,不便大家了解:
# begin build properties(开始设置零碎性能)# autogenerated(通过设置造成零碎信息)ro.=GRI40 (版本 ID)
ro.build.=GRJ22(版本号)ro.build.version.incremental=eng.buildbot.20110619.060228(版本增量)ro.build.version.sdk=10(sdk 版本)ro.build.version.codename=REL(版本代号)ro.build.version.release=2.3.4(Android 2.3.4 零碎)ro.build.date=Sun Jun 19 06:02:58 UTC 2011(制作者及制作工夫)ro.build.date.utc=0
ro.build.type=user (编译模式, 如 user,userdebug,eng,test 模式)
ro.build.user=buildbot (编译账户)
ro.build.host=bb1 (编译主机零碎)
ro.build.tags=test-keys (编译标签)
ro.product.model=HTC Wildfire(HTC 外部手机代号)ro.product.brand=htc_wwe(手机品牌)ro.product.name=htc_buzz(手机正式名称)ro.product.device=buzz(采纳的设施)ro.product.board=buzz(采纳的处理器)ro.product.cpu.abi=armeabi-v6j(cpu 的版本)ro.product.cpu.abi2=armeabi(cpu 的品牌)ro.product.manufacturer=HTC(手机制造商)ro.product.locale.language=zh(手机默认语言)ro.product.locale.region=CN(地区语言)ro.wifi.channels=(WIFI 连贯的渠道)ro.board.platform=msm7k(主板平台)# ro.build.product is obsolete; use ro.product.device(旧代码 ro.build.product,应用代码 ro.product.device)ro.build.product=buzz(建设产品)# Do not try to parse ro.build.description or .fingerprint(不要试图批改 description 和 fingerprint)ro.build.description=passion-user 2.3.3 GRI40 102588 release-keys(用户的 KEY)ro.build.fingerprint=google/passion/passion:2.3.3/GRI40/102588:user/release-keys(零碎指纹)# end build properties(性能代码结束)#
# system.prop for buzz(零碎技术支持由 BUZZ 提供)#
# Density in DPI of the LCD of this board. This is used to scale the UI(高密度的液晶的 DPI 板。这是用来大规模 UI 的)# appropriately. If this property is not defined, the default value is 160 dpi.(appropriately. 如果这个属性没有定义, 缺省值是 160 dpi 的分辨率)ro.sf.lcd_density=240(显示屏分辨率,数值越大分辨率越底,240 就是 800*480 的)# View configuration for QVGA.(屏幕的设置)view.fading_edge_length=8
view.touch_slop=15(触摸屏灵敏度,数值越大越灵活)view.minimum_fling_velocity=25(滑动速度)view.scroll_friction=0.008(滑动误差)# RIL specific configuration.(特定设置)rild.libpath=/system/lib/libhtc_
ro.ril.ecc.HTC-WWE=999
ro.ril.ecc.HTC-ELL=92,93,94
ro.ril.enable.a52.HTC-ITA=1
ro.ril.enable.a53.HTC-ITA=1
ro.ril.enable.a52=0
ro.ril.enable.a53=1
ro.ril.vmail.23415=1571,BT
ro.ril.hsdpa.category=8(hsdpa 全称 High Speed Downlink Packet Access 中文意思:高速上行分组接入, 设置的数越大传输越快)ro.ril.htcmaskw1.bitmask=429496
ro.ril.htcmaskw1=14449
ro.ril.def.agps.mode=2(关上 AGPS 服务反对,可改为 ro.ril.def.agps.mode=0 改后能省电但 GPS 定位速度会变慢)ro.ril.gprsclass=12(GPRS 设置)# For HSDPA low throughput(HSDPA 低输量)ro.ril.disable.power.collapse=1(关闭电源)# Modify MMS APN retry timer from 5s to 2s.(批改短信的 APN 设置 5 秒为 2 秒)ro.gsm.2nd_data_retry_config=max_retries=3, 2000, 2000, 2000
# Time between scans in seconds. Keep it high to minimize battery drain.(扫描在几秒之内,可升高用电量)# This only affects the case in which there are remembered access points,(这个批改仅能影响此文件)# but none are in range.(然而没有一项是在范畴内的)wifi.interface=eth0(WIFI 界面)wifi.supplicant_scan_interval=45(WIFI 扫描间隔时间,这里设置是 45 秒。把这个工夫设置长点能省电)# Mobile data interfaces(挪动数据的接口)mobiledata.interfaces=rmnet0,rmnet1,rmnet2
# Allow or deny tethering.(容许和回绝绑定)ro.tether.denied=false
# Default network type.(默认的网络类型)# 0 => WCDMA Preferred.(0=WCDMA 优先)ro.telephony.default_network=0
# Enable Google-specific location features,(谷歌特定地点的设置)# like NetworkLocationProvider and LocationCollector.(如网络服务器提供商和服务器地位)ro.c o m.google.locationfeatures=1
# The OpenGL ES API level that is natively supported by this device.(开放式绘图介面)# This is a 16.16 fixed point number.(界面有 16 个点,16 个不动点数量)ro.opengles.version=65536(开放式绘图介面参数)# Disable fs check on boot by default.(开机时默认禁用 FS 查看)sys.checkfs.fat=false
# Performance settings.(性能设置)dalvik.vm.execution-mode=int:jit
dalvik.vm.heapsize=24m(虚拟内存大小,可设置为 16m 或 24m 或 32m 或 48m)persist.sys.use_dithering=1
persist.sys.purgeable_assets=1
# Increase SKIA decode memory capability for progressive jpg file.
ro.media.dec.jpeg.memcap=20000000
#
# ADDITIONAL_BUILD_PROPERTIES(其余性能设置)no_require_sim=true(手机卡爱护设置)ro.rommanager.developerid=cyanogenmodnightly(固件管理器开发者是 CM 大神)ro.url.legal=http://www./intl/%s/mobile/android/basic/phone-legal.html
ro.url.legal.android_privacy=http://www]/intl/%s/mobile/android/basic/privacy.html
ro. com.google.clientidbase=android-google(谷歌客户身份)ro. com.android.wifi-watchlist=GoogleGuest(WIFI 用户名单)ro.setupwizard.enterprise_mode=1(默认情景模式)ro. com.android.dateformat=MM-dd-yyyy(默认工夫格局,改为 yyyy-MM-dd,显示成果就是 XXXX 年 XX 月 XX 日)ro. com.android.dataroaming=false(漫游设置)ro.config.ringtone=Playa.ogg(默认铃声设置,文件在 /system/media/audio/ringtones 把喜爱的铃声放这里,比方 123. MP3 放入 ringtones 文件夹中,这里代码改为 ro.config.ringtone=123. mp3)ro.config.notification_sound=regulus.ogg(默认提示音,文件在 /system/media/audio/notifications 批改办法同上)ro.config.alarm_alert=Alarm_Beep_03.ogg(默认闹铃,文件在 /system/media/audio/alarms 批改办法同上)ro.modversion=CyanogenMod-7-06192011-NIGHTLY-buzz(版本信息,改这个能让你小名呈现零碎对于中,改为 ro.modversion=xxxxx)ro.setupwizard.mode=OPTIONAL(装置向导模式)net. bt. name=Android(零碎名称)dalvik.vm.stack-trace-file=/data/anr/traces.txt
参考文章:Android 零碎 build.prop 文件生成过程
前面咱们要批改设施的指纹,次要关注两个文件:buildinfo.sh
和Makefile
2.2 root 检测形式
个别 Android 上 root 检测的根本形式蕴含:
(1)查看 su 命令是否存在(2)查看罕用目录是否存在 su(或检测是否存在 s 权限的文件)(3)应用 which 命令查看是否存在 su(4)被动申请 root 权限(5)执行 busybox(6)查看 Android 属性(读取 build.prop 中要害属性,如 ro.build.tags 和 ro.build.type)(7)查看特定门路是否有写权限(在 Android 零碎中,有些目录是普通用户不能拜访的,例如 /data、/system、/etc 等)(8)查看市面支流的模拟器(9)检测 frida、xposed 等 Hook 框架的特色
具体能够分为:Android root 的零碎指纹、root 的门路指纹、root 的执行操作、第三方工具等
参考文章:批改 ROM 实现自定义 su 命令 -root 检测通杀,这里给出了一些根本的 root 检测指纹:
1.detectRootManagementApps—检测常见 su 包名, 如{“com.noshufou.android.su”,“com.noshufou.android.su.elite”,“eu.chainfire.supersu”,“com.koushikdutta.superuser”,“com.thirdparty.superuser”,“com.yellowes.su”,“com.topjohnwu.magisk”,“com.kingroot.kinguser”,“com.kingo.root”,“com.smedialink.oneclickroot”,“com.zhiqupk.root.global”,“com.alephzain.framaroot”}
2.detectPotentiallyDangerousApps—{“com.koushikdutta.rommanager”,“com.koushikdutta.rommanager.license”,“com.dimonvideo.luckypatcher”,“com.chelpus.lackypatch”,“com.ramdroid.appquarantine”,“com.ramdroid.appquarantinepro”,“com.android.vending.billing.InAppBillingService.COIN”,“com.android.vending.billing.InAppBillingService.LUCK”,“com.chelpus.luckypatcher”,“com.blackmartalpha”,“org.blackmart.market”,“com.allinone.free”,“com.repodroid.app”,“org.creeplays.hack”,“com.baseappfull.fwd”,“com.zmapp”,“com.dv.marketmod.installer”,“org.mobilism.android”,“com.android.wp.net.log”,“com.android.camera.update”,“cc.madkite.freedom”,“com.solohsu.android.edxp.manager”,“org.meowcat.edxposed.manager”,“com.xmodgame”,“com.cih.game_cih”,“com.charles.lpoqasert”,“catch_.me_.if_.you_.can_”}
3.detectRootCloakingApps—{“com.devadvance.rootcloak”,“com.devadvance.rootcloakplus”,“de.robv.android.xposed.installer”,“com.saurik.substrate”,“com.zachspong.temprootremovejb”,“com.amphoras.hidemyroot”,“com.amphoras.hidemyrootadfree”,“com.formyhm.hiderootPremium”,“com.formyhm.hideroot”}
4.suPath—遍历执行可能存在的 su 文件夹, 如{“/data/local/”,“/data/local/bin/”,“/data/local/xbin/”,“/sbin/”,“/su/bin/”,“/system/bin/”,“/system/bin/.ext/”,“/system/bin/failsafe/”,“/system/sd/xbin/”,“/system/usr/we-need-root/”,“/system/xbin/”,“/cache/”,“/data/”,“/dev/”}
5.checkForDangerousProps—查看一些属性的值.{ro.debuggable”,“1”},{“ro.secure”,“0”}
6.checkForRWPaths—先执行(须要 root)mount 如果返回 true 而后再查看是否有读写权限{“/system”,“/system/bin”,“/system/sbin”,“/system/xbin”,“/vendor/bin”,“/sbin”,“/etc”}
7.detectTestKeys—查看编译类型是否为 {“test-keys”}
8.checkBuildProp—查看 Buildprop 的值,{“ro.build.display.id”,”ro.build.version.incremental”,”ro.build.date”,”ro.build.date.utc”,”ro.build.type”,”ro.build.user”,”ro.build.flavor”,”ro.build.tags”,”ro.build.description”,”ro.build.fingerprint”,”ro.product.model”,”ro.product.brand”,”ro.product.name”}
9.checkSuExists—执行 su, 看看是否执行胜利
10.checkForRootNative—Native 层 root 查看
11.checkForMagiskBinary—检测是否存在 Magisk-{“/data/local/”,“/data/local/bin/”,“/data/local/xbin/”,“/sbin/”,“/su/bin/”,“/system/bin/”,“/system/bin/.ext/”,“/system/bin/failsafe/”,“/system/sd/xbin/”,“/system/usr/we-need-root/”,“/system/xbin/”,“/cache/”,“/data/”,“/dev/”}
具体的大家能够参考原文
我在后面的文章:Android 破绽之战调试与反调试也用实在的代码进行了展演示,这里大家能够进行参考
3. 试验
试验环境:
pixel Android8.0.1
Ubuntu 18
3.1 user 版本的编译
首先,咱们编译 user 版本的镜像,里我须要编译的指标版本是 aosp_sailfish-user
,那么在编译的选项中是没有这一项的,依据lunch
命令列出的文件,随便找一个文件进行批改,咱们以 device/google/marlin/vendorsetup.sh
文件为例,进行批改
source build/envsetup.sh
咱们轻易关上一个配置文件进行增加,例如这里咱们关上配置文件device/google/marlin/vendorsetup.sh
vim device/google/marlin/vendorsetup.sh
咱们也能够发现之前的 userdebug 版本申明也在这外面
而后咱们再次初始化并抉择设施:
source build/envsetup.sh
lunch
能够发现此时咱们就多了 user 版本,而后咱们抉择该版本
编译:make -j4
编译实现
咱们能够发现当初就是 user 的版本,也没有 root 权限,和咱们平时应用的手机一样
这里咱们在网上找一个 root 检测工具,咱们能够发现此时的手机是未通过 root 的
只管咱们当初编译的是 user 版本,然而咱们试验了一些测试的 APP,发现其中有一些 APP 还是检测零碎含有 root,通过剖析咱们发现,无论是 user 编译还是 user-debug 编译,咱们的零碎签名都应用的是 test-key,而咱们真正的手机个别是 release-key 签名后公布的,所以很多 APP 将这里作为检测点
这里有两种计划:
(1)编译 release-key 版本的零碎
因为前面咱们还要发展指纹抹除试验,所以这里给大家举荐一个文章,想要实现能够去试下:Android——编译 release 版签名零碎
(2)批改指纹
咱们这里为了简略的试验,前面在试验中将这里的进行抹除
test-keys--->release-keys
而后为了发展前面的实现,咱们尝试拿到 user 版本的指纹,因为此时无奈 root,所以无奈查看 /system/build.prop
的信息,所以咱们间接对设施进行 root
8.0 刷入 root 步骤:(1)刷入 twrp(2)应用 twrp 刷入 Magisk
既能够取得 root
针对 Android8.0 的设施取得 root,最不便的便是刷入 Magisk
此时咱们再次查看设施的指纹:
能够发现此时咱们能够找到指纹,这里咱们保留该指纹信息
3.2 userdebug 版本编译
咱们按下面的编译步骤抉择 userdebug 版本
咱们能够发现 userdebug 的指纹显著不一样,此时咱们再查看一下
3.3 root 指纹抹除
后面咱们别离对 user 版和 debug 版的零碎进行了剖析,相应不少敌人应答一些常见的 root 检测的利用进行解决,那能不能即取得 root 的操作,又领有 user 一样的镜像呢,这里咱们就须要对 root 进行定制和指纹抹除
首先咱们用文件比照工具来进行比拟:
咱们只须要将这些差别的中央一一进行批改即可
(1)test-keys
后面咱们提到了这个问题,所以这里咱们须要将其进行批改,这里间接将 test-keys
批改为release-keys
咱们先查找一下地位:
而后咱们搜寻 ro.build.tags
,能够在buildinfo.sh
中找到
而后咱们持续定位前面的值,在 build/make/core/Makefile
中
这里咱们间接批改为release-keys
(2)ro.build.display.id
依照后面的思路进行定位:
build/make/core/Makefile
这里咱们将其值批改为和 user 保持一致
留神这里咱们应用 release-key
(3)ro.build.version.incremental
这里咱们能够将 buildinfo.sh
和Makefile 文件都批改
即咱们批改 BF_BUILD_BUMBER
的值就能够了
(4)ro.build.date 和 ro.build.date.utc
这两个是编译是工夫,为了与前面保持一致,咱们还是进行批改
而后咱们进行批改:
(5)ro.build.type
buildinfo.sh
Makefile
间接在此处批改即可
(6)ro.build.user 和 ro.build.host
buildinfo.sh
这里咱们间接批改为用户名和主机
(6)ro.build.flavor
而后咱们间接进行批改
(7)ro.build.description
应批改为:
aosp_sailfish-user 8.1.0 OPM1.171019.011 eng.Windaa.20221109.050000 release-keys
(8)ro.build.fingerprint
一样,咱们进行定位
而后咱们进行批改
Android/aosp_sailfish/sailfish:8.1.0/OPM1.171019.011/Windaa11090500:user/release-keys
(9)ro.product.model、ro.product.brand、ro.product.name
一些敌人想要设施向 google 的原设施一样,能够批改手机的代号和产品名称,这里就不批改了,感兴趣敌人能够批改
3.4 root 定制
root 定制这里参考通用的办法:xu 为自定义的名称
AOSP/system/extras/su 下批改 Android.mk 中 su 批改为 xu
AOSP/system/core/libcutils/fs_config.cpp 中 /system/xbin/su 批改为 /system/xbin/xu
AOSP/system/sepolicy/private/file_contexts 中 /system/xbin/su 批改为 /system/xbin/xu
第一处
第二处
第三处
3.5 编译
而后再次编译,抉择 user-debug 版
lunch:24
make -j4
3.6 成果演示
咱们从新刷机,刷机实现后,就能够发现定制的镜像和原理看起来统一
定制后:
定制前(user 版):
咱们能够试下,看能不能失常 root
能够发现是没有问题的
4. 总结
本文编译了 user 版和 user-debug 版,并通过指纹定制将 user-debug 魔改为 user 版,为后续试验提供了更多的不便,相干文件后续上传 github
5. 参考文献
https://bbs.pediy.com/thread-273485.htm#msg_header_h2_0
http://lzonel.cn/3136.html
https://blog.csdn.net/u010142437/article/details/78030485
https://www.jianshu.com/p/dd6cca4ec27d
本文由平安后厨团队分享,转载请注明起源,违者必究!