网上流传比较多的,是重打包boot.img。读aosp的init进程源码,发现通过patch init进程也可以实现相同目的。

首先看一下init进程对ro只读属性的检查:

/* property_service.c */

int property_set(const char *name, const char *value)

{

...

    pi = (prop_info*) __system_property_find(name);

    if(pi != 0) {

        /* ro.* properties may NEVER be modified once set */

        if(!strncmp(name, "ro.", 3)) return -1;  /* 如果是只读属性,不允许set,返回-1 */

        __system_property_update(pi, value, valuelen);

    }

...

从上面代码看出,如果将“ro.”改为“\0”即空字符串,即可绕过property_set对可读属性的检查。

同时为了防止误修改,我们查看init进程是否还有其它使用“ro.”字符串的地方,只找到一处,位于check_perms函数中:

/*

 * Checks permissions for setting system properties.

 * Returns 1 if uid allowed, 0 otherwise.

 */

static int check_perms(const char *name, unsigned int uid, unsigned int gid, char *sctx)

{

    int i;

    unsigned int app_id;

    if(!strncmp(name, "ro.", 3))

        name +=3;

    if (uid == 0)

        return check_mac_perms(name, sctx);

...

分析init进程的汇编代码,发现property_set函数地址位于check_perms函数之前,因此只要修改搜索到的第一处内存即可。

使用ptrace实现,代码如下:

kiiim@ubuntu:~/Android_prj/patch_init_process$ cat 1.c

#include <stdio.h>

#include <sys/ptrace.h>

#include <errno.h>

#include <memory.h>

#include <string.h>

int main(int argc, char **argv) {

        int rc;

        unsigned long maps, mape, addr, test, fake;

        FILE *fp;

        char line[512];

        char *buffer, *ro;

        fp = fopen("/proc/1/maps", "r");

        if (!fp) {

                perror("fopen");

                return 1;

        }

        memset(line, 0, sizeof(line));

        fgets(line, sizeof(line), fp);

        fclose(fp);

        rc = sscanf(line, "%08x-%08x", &maps, &mape);

        if (rc < 2) {

                perror("sscanf");

                return 1;

        }

        buffer = (char *) malloc(mape - maps);

        if (!buffer) {

                perror("malloc");

                return 1;

        }

        rc = ptrace(PTRACE_ATTACH, 1, 0, 0);

        if (rc < 0) {

                perror("ptrace");

                return rc;

        }

        for (addr = maps; addr < mape; addr += 4) {

                test = ptrace(PTRACE_PEEKTEXT, 1, (void *) addr, 0);

                *((unsigned long *)(buffer + addr - maps)) = test;

        }

        ro = memmem(buffer, mape - maps, "ro.", 3);

        if (ro) {

                printf("Patching init.\n");

                fake = 0;

                rc = ptrace(PTRACE_POKETEXT, 1, (void *)(maps + ro - buffer), &fake);

                if (rc < 0) {

                        perror("ptrace");

                }

        }

        free(buffer);

        rc = ptrace(PTRACE_DETACH, 1, 0, 0);

        return rc;

}

编译并在Nexus 5中运行:

$ arm-linux-androideabi-gcc 1.c -o patch_init

运行后kill掉zygote进程:

root@hammerhead:/data/local/tmp # ps |grep zygote

ps |grep zygote

root      18887 1     860616 56352 ffffffff 400e26d8 S zygote

root@hammerhead:/data/local/tmp # kill -9 18887

zygote进程结束后,会自动被init进程拉起。待zygote重启后,执行:


root@hammerhead:/data/local/tmp # setprop ro.debuggable 1

setprop ro.debuggable 1

root@hammerhead:/data/local/tmp # getprop ro.debuggable

getprop ro.debuggable

1

以上,ro.debuggable属性已经被修改。只要手机不重启,此修改一直生效,手机重启后需重新patch。

Android全局可调试(ro.debuggable = 1)的一种另类改法的更多相关文章

  1. 简单实现Android手机“全局可调试”(ro.debuggable = 1)的方法【锤子坚果3】

    在Android真机上调试程序有一个前提,就是这个apk包必须有 debuggable=true 的属性才行.而除了自己开发的apk能够控制打包属性之外,其他的程序发行之后显然不会设这个值为 true ...

  2. android加载大量图片内存溢出的三种方法

    android加载大量图片内存溢出的三种解决办法 方法一:  在从网络或本地加载图片的时候,只加载缩略图. /** * 按照路径加载图片 * @param path 图片资源的存放路径 * @para ...

  3. android中退出当前应用程序的四种方法

    android中退出当前应用程序的四种方法 [IT168 技术]Android程序有很多Activity,比如说主窗口A,调用了子窗口B,如果在B中直接finish(), 接下里显示的是A.在B中如何 ...

  4. Xamarin for android:为button设置click事件的几种方法

    原文:Xamarin for android:为button设置click事件的几种方法 在Xamarin中一个最基础的事情,就是为一个button指定click事件处理方法,可是即使是这么一件事也有 ...

  5. 怎样在Android开发中FPS游戏实现的两种方式比较

    怎样在Android开发中FPS游戏实现的两种方式比较 如何用Android平台开发FPS游戏,其实现过程有哪些方法,这些方法又有哪些不同的地方呢?首先让我们先了解下什么是FPS 英文名:FPS (F ...

  6. Android平台中实现对XML的三种解析方式

    本文介绍在Android平台中实现对XML的三种解析方式. XML在各种开发中都广泛应用,Android也不例外.作为承载数据的一个重要角色,如何读写XML成为Android开发中一项重要的技能. 在 ...

  7. Android图表库MPAndroidChart(十四)——在ListView种使用相同的图表

    Android图表库MPAndroidChart(十四)--在ListView种使用相同的图表 各位好久不见,最近挺忙的,所有博客更新的比较少,这里今天说个比较简单的图表,那就是在ListView中使 ...

  8. [Android] Android ViewPager 中加载 Fragment的两种方式 方式(二)

    接上文: https://www.cnblogs.com/wukong1688/p/10693338.html Android ViewPager 中加载 Fragmenet的两种方式 方式(一) 二 ...

  9. [Android] Android ViewPager 中加载 Fragment的两种方式 方式(一)

    Android ViewPager 中加载 Fragmenet的两种方式 一.当fragment里面的内容较少时,直接 使用fragment xml布局文件填充 文件总数 布局文件:view_one. ...

随机推荐

  1. [转载]Python正则表达式匹配反斜杠'\'问题

    转载自csdnblog:Python正则表达式匹配反斜杠'\'问题 在学习Python正则式的过程中,有一个问题一直困扰我,如何去匹配一个反斜杠(即“\”)? 一.引入 在学习了Python特殊字符和 ...

  2. Python----list&元祖常用方法总结

    一.创建列表,把使用逗号分隔的数据用中括号[  ]括起来即为一个列表,列表也叫数组.list.array:列表里面也可以再套列表,一个列表里面套一个列表,叫二维数组:一个里面套一个列表,里面的列表再套 ...

  3. Git clone 常见用法

    二 克隆Git仓库     1.1 从远程仓库中克隆整个代码仓库 mkdir Demo //在当前路径下新建一个文件夹,用来存放将要拉取的整个代码库 cd Demo           //进入这个文 ...

  4. Oracle12c CDB架构图

  5. WebSphere静默安装教程(WAS6.1为例)

    1.安装WebSphere 解压守装包: tar -zxf was_soft_64-bit.tar.gz 进入解压出的WAS目录编缉responsefile.nd.txt,将对应选项修值改成以下模样( ...

  6. vue 添加vux

    1.命令添加vux npm install vux --save 2.在build/webpack.base.conf.js中配置 const vuxLoader = require('vux-loa ...

  7. MATLAB统计工具箱 转

    D:\Program Files\MATLAB\R2012b\toolbox\stats\stats MATLAB统计工具箱包括概率分布.方差分析.假设检验.分布检验.非参数检验.回归分析.判别分析. ...

  8. day03_python_1124

    01 昨日内容回顾 while 条件: 循环体 如何终止循环: 1,改变条件. 2,break. 3,exit() quit() 不推荐. 关键字: break continue while else ...

  9. NIO完成网络通信(一)

    NIO:即非阻塞式IO 视频教程:  https://chuanke.baidu.com/v1982732-211322-1316084.html 使用步骤: 1.创建 ServerSocketCha ...

  10. java项目性能测试过程记录

    一 准备环境和指标 1.主机三台(linux,这里显示的都是伪主机地址):最好用干净的机子,做性能测试的时候别装其他东西在上面跑.  100.22.0.98  部署自己的项目服务 100.22.0.9 ...