Adb的全称为Android Debug Bridge,起到通过PC对Android系统的调试桥的作用,是一个多用途的工具,它能够执行多种命令,还能提供一个shell。这儿简单介绍一下Adb的代码结构,并在某些情况下我们可以获取root权限。

Adb的代码在system/core/adb里,它的入口函数很直接了当:

int main(int argc, char **argv)

{

#if ADB_HOST            //代码被ADB_HOST宏分成两部分,一部分是宿主,即被ADB_HOST定义包括的部分,运行在Windows或Linux系统上。另一部分是目标,即Android系统上的deamon程序。

    adb_sysdeps_init();

    adb_trace_init();

    D("Handling commandline()\n");

    return adb_commandline(argc - 1, argv + 1);

#else

    /* If adbd runs inside the emulator this will enable adb tracing via

     * adb-debug qemud service in the emulator. */

    adb_qemu_trace_init();

    if((argc > 1) && (!strcmp(argv[1],"recovery"))) {

        adb_device_banner = "recovery";

        recovery_mode = 1;

    }

    start_device_log();

    D("Handling main()\n");

    return adb_main(0, DEFAULT_ADB_PORT);

#endif

}

先看宿主代码的路径,我们看到它进入了adb_commandline()函数,这里主要是负责解析参数并执行相应的命令,注意这儿在执行命令之前还有一个启动本地服务的动作:

    if (is_server) {

        if (no_daemon || is_daemon) {

            r = adb_main(is_daemon, server_port);  //Linux平台

        } else {

            r = launch_server(server_port);  //Windows平台

        }

        if(r) {

            fprintf(stderr,"* could not start server *\n");

        }

        return r;

    }

这儿会区分宿主平台是Linux还是Windows,他们的服务形态是不一样 的。我们可以使用adb start-server, adb kill-server这样的命令原因在此。

在本地服务启动前会有一些初始化工作,例如USB的初始化:

#if ADB_HOST

    HOST = 1;

    usb_vendors_init();

    usb_init();

    local_init(DEFAULT_ADB_LOCAL_TRANSPORT_PORT);

    char local_name[30];

    build_local_name(local_name, sizeof(local_name), server_port);

    if(install_listener(local_name, "*smartsocket*", NULL)) {

        exit(1);

    }

#else

因为adb是通过USB 进行socket通信,以adb devices的命令执行过程分析如下:

1. 组织命令格式,

    if(!strcmp(argv[0], "devices")) {

        char *tmp;

        snprintf(buf, sizeof buf, "host:%s", argv[0]);  //命令格式为:host:devices

        tmp = adb_query(buf);                           //发送命令并返回命令执行结果

        if(tmp) {

            printf("List of devices attached \n");

            printf("%s\n", tmp);                        //打印结果

            return 0;

        } else {

            return 1;

        }

    }

2. 在adb_query()函数中调用adb_connect()函数发送socket数据,返回后再调用adb_close()关闭socket连接

下面再来分析目标机器即Android上的adbd守护进程,在刚才的入口函数中,它直接进入了adb_main()函数,并传入DEFAULT_ADB_PORT  5037作为默认端口。在adb_main()函数里进行了一系列初始化动作如,USB,端口监听,运行级别,权限设置等,最后进入到事件循环中等待连接(这儿使用epoll机制)。

fdevent_loop();

其中我们对运行级别比较感兴趣,一般情况下我们的adb都是运行在shell用户下,而事实上,adb.c中的代码都是以root权限运行的,以完成部分初始化工作,直到执行了下面的代码:

if (should_drop_privileges()) {

    ......

        if (setgid(AID_SHELL) != 0) {

            exit(1);                        //这儿曾经是个漏洞,没有检查返回值,可以被某些恶意软件利用来破解root权限

        }

        if (setuid(AID_SHELL) != 0) {

            exit(1);

        }

它被强行将为shell用户,失去了root权限,那么它在什么情况下才被降级呢?我们看到是因为should_drop_privileges()函数,代码如下:

static int should_drop_privileges() {

#ifndef ALLOW_ADBD_ROOT

    return 1;

#else /* ALLOW_ADBD_ROOT */

    int secure = 0;

    char value[PROPERTY_VALUE_MAX];

   /* run adbd in secure mode if ro.secure is set and

    ** we are not in the emulator

    */

    property_get("ro.kernel.qemu", value, "");

    if (strcmp(value, "1") != 0) {

        property_get("ro.secure", value, "1");

        if (strcmp(value, "1") == 0) {

            // don't run as root if ro.secure is set...

            secure = 1;

            // ... except we allow running as root in userdebug builds if the

            // service.adb.root property has been set by the "adb root" command

            property_get("ro.debuggable", value, "");

            if (strcmp(value, "1") == 0) {

                property_get("service.adb.root", value, "");

                if (strcmp(value, "1") == 0) {

                    secure = 0;

                }

            }

        }

    }

    return secure;

#endif /* ALLOW_ADBD_ROOT */

}

首先考虑ALLOW_ADBD_ROOT宏,这是编译系统决定的,eng版本会打开该宏,其次我们看到变量secure初始值为0,但是在检查了一些属性之后,它变成了1,导致权限降级。而如果ro.debuggable激活,service.adb.root也为1的话,我们还是root权限。在userdebug版本中我们可以在shell下执行:

setprop service.adb.root 1

然后杀死并重启adbd守护进程,来提升root权限。

adb里面有个root命令,可以用来获取root权限。Android守护进程adbd启动时,会调用create_local_service_socket()创建socket套接字,

fd = service_to_fd(name);

在service_to_fd(name)函数里,有各种命令的处理方法,如root命令:

else if(!strncmp(name, "root:", 5)) {

        //ret = create_service_thread(restart_root_service, NULL);

        ret = create_service_thread(restart_root_service, (void *)(name + 5));

    }

它在一个新线程里面执行restart_root_service()函数,原始的调用中参数为NULL,我们可以添加一个密码参数,使得该命令只有加上正确的密码才能执行。

void restart_root_service(int fd, void *cookie)

{

    char buf[100];

    char value[PROPERTY_VALUE_MAX];

    if (getuid() == 0) {                //本来就运行在root用户下

        snprintf(buf, sizeof(buf), "adbd is already running as root\n");

        writex(fd, buf, strlen(buf));

        adb_close(fd);

    } else {

        property_get("ro.debuggable", value, "");

        if (strcmp(value, "1") != 0) {              //始终绕不过的一个只读属性

            snprintf(buf, sizeof(buf), "adbd cannot run as root in production builds\n");

            writex(fd, buf, strlen(buf));

            adb_close(fd);

            return;

        }

        property_set("service.adb.root", "1");         //恭喜你拥有root了

        snprintf(buf, sizeof(buf), "restarting adbd as root\n");

        writex(fd, buf, strlen(buf));

        adb_close(fd);

        // quit, and init will restart us as root

        sleep(1);

        exit(1);

    }

}

Adb分析及获取root权限的更多相关文章

  1. 获取root权限及破解原理分析

    2012-03-18 17:58:45|  分类: android |字号 订阅 如今Android系统的root破解基本上成为大家的必备技能!网上也有非常多中一键破解的软件,使root破解越来越ea ...

  2. ADB工具 获取ROOT权限及复制文件方法

    adb push d:\tm3_sqlit.db data/zouhao/tm3_sqlit.dbadb pull data/zouhao/tm3_sqlit.db d:\tm3_sqlit.db a ...

  3. Android获取Root权限之后的静默安装实现代码示例分析

    转:http://blog.csdn.net/jiankeufo/article/details/43795015 Adroid开发中,我们有时会遇到一些特殊功能的实现,有些功能并没有太高技术难度,但 ...

  4. android中获取root权限的方法以及原理(转)

    一. 概述 本文介绍了android中获取root权限的方法以及原理,让大家对android 玩家中常说的“越狱”有一个更深层次的认识. 二. Root 的介绍 1. Root 的目的 可以让我们拥有 ...

  5. 一则利用内核漏洞获取root权限的案例【转】

    转自:https://blog.csdn.net/u014089131/article/details/73933649 目录(?)[-] 漏洞描述 漏洞的影响范围 漏洞曝光时间 漏洞产生的原因 漏洞 ...

  6. Android 获取ROOT权限原理解析

    一. 概述 本文介绍了android中获取root权限的方法以及原理,让大家对android玩家中常说的“越狱”有一个更深层次的认识. 二. Root的介绍 1.       Root 的目的 可以让 ...

  7. Android 上SuperUser获取ROOT权限原理解析

    Android 上SuperUser获取ROOT权限原理解析 一. 概述 本文介绍了android中获取root权限的方法以及原理,让大家对android 玩家中常说的“越狱”有一个更深层次的认识. ...

  8. Android获取ROOT权限的通用方法

    背景 自从Android问世以后,给手机获取ROOT权限变成了玩机爱好者老生常谈的话题.拥有手机,却不能拥有操作手机的最高权限,这对于手机爱好者而言,这怎么可以忍?所以无论Android升到什么什么版 ...

  9. Android刷第三方Recovery &获取root权限

    一.基础环境 Make sure your computer has working adb and fastboot. Setup instructions can be found here. E ...

随机推荐

  1. HRBUST 1212 乘积最大

    $dp$,大数运算. $dp[i][j]$表示到$i$位置切成了$j$段的最大收益.数字爆$longlong$,$Java$上大数. import java.math.BigInteger; impo ...

  2. 洛谷P2751[USACO]工序安排

    题目传送门 怎么说呢,这个题目我刚开始随便乱搞了几下,交了个暴力代码上去居然还水了49分,数据确实有点弱啊,然后看到洛谷上那位大佬Redbag的题解瞬间就佩服的五体投地,那真的是简洁.易懂又高效.直接 ...

  3. Eclipse控制台

    Eclipse中的控制台,是以卡片布局方式来管理的.每运行一个新的程序,创建一个新的控制台,覆盖到原来的控制台之上. 控制台的控制按钮有10个,仅对其中部分作介绍 第1个按钮结束当前程序的运行 第2个 ...

  4. 验证二叉查找树(LintCode)

    验证二叉查找树 给定一个二叉树,判断它是否是合法的二叉查找树(BST) 一棵BST定义为: 节点的左子树中的值要严格小于该节点的值. 节点的右子树中的值要严格大于该节点的值. 左右子树也必须是二叉查找 ...

  5. 2.1(java编程思想笔记)位移操作

    java位移操作主要有两种: 有符号位移:有符号位移会保留原有数字正负性,即正数依然是正数,负数依然是负数. 有符号位左移时,低位补0. 有符号右移时:当数字为正数,高位补0.当数字为负时高位补1. ...

  6. GitHub 给已存在的仓库增加开原协议LICENSE

    如果你创建仓库时没有设置开原协议LICENSE,后续可以按下面方法增加开原协议LICENSE. 1.点击Create new file,如下图 2.文件名填LICENSE.md,右边就会出现choos ...

  7. Failed to Attach to Process ID Xcode 解决办法

    方法1. go to the Product menu and find the Edit Scheme menu there. While in Edit Scheme window, select ...

  8. 一个简单的MVC模式练习

    控制层Action接受从模型层DAO传来的数据,显现在视图层上. package Action; import java.sql.Connection; import java.sql.SQLExce ...

  9. 猫、路由器、交换机和PC

    转载:http://duanzw102.blog.163.com/blog/static/161838173201392431722650/ 猫是 modem,是有网络供应商,比如电信公司提供的拨号工 ...

  10. Java中设置classpath、path、JAVA_HOME的作用?

    1.classpath是用来找编译后的class文件的,操作系统或者编译器等会在这些目录下寻找对应的.class文件 2.path时用来找命令行执行文件的,操作系统或者其他软件会在这些目录下找对应的命 ...