网上流传比较多的,是重打包boot.img。读aosp的init进程源码,发现通过patch init进程也可以实现相同目的。

首先看一下init进程对ro只读属性的检查:

/* property_service.c */

int property_set(const char *name, const char *value)

{

...

    pi = (prop_info*) __system_property_find(name);

    if(pi != 0) {

        /* ro.* properties may NEVER be modified once set */

        if(!strncmp(name, "ro.", 3)) return -1;  /* 如果是只读属性,不允许set,返回-1 */

        __system_property_update(pi, value, valuelen);

    }

...

从上面代码看出,如果将“ro.”改为“\0”即空字符串,即可绕过property_set对可读属性的检查。

同时为了防止误修改,我们查看init进程是否还有其它使用“ro.”字符串的地方,只找到一处,位于check_perms函数中:

/*

 * Checks permissions for setting system properties.

 * Returns 1 if uid allowed, 0 otherwise.

 */

static int check_perms(const char *name, unsigned int uid, unsigned int gid, char *sctx)

{

    int i;

    unsigned int app_id;

    if(!strncmp(name, "ro.", 3))

        name +=3;

    if (uid == 0)

        return check_mac_perms(name, sctx);

...

分析init进程的汇编代码,发现property_set函数地址位于check_perms函数之前,因此只要修改搜索到的第一处内存即可。

使用ptrace实现,代码如下:

kiiim@ubuntu:~/Android_prj/patch_init_process$ cat 1.c

#include <stdio.h>

#include <sys/ptrace.h>

#include <errno.h>

#include <memory.h>

#include <string.h>

int main(int argc, char **argv) {

        int rc;

        unsigned long maps, mape, addr, test, fake;

        FILE *fp;

        char line[512];

        char *buffer, *ro;

        fp = fopen("/proc/1/maps", "r");

        if (!fp) {

                perror("fopen");

                return 1;

        }

        memset(line, 0, sizeof(line));

        fgets(line, sizeof(line), fp);

        fclose(fp);

        rc = sscanf(line, "%08x-%08x", &maps, &mape);

        if (rc < 2) {

                perror("sscanf");

                return 1;

        }

        buffer = (char *) malloc(mape - maps);

        if (!buffer) {

                perror("malloc");

                return 1;

        }

        rc = ptrace(PTRACE_ATTACH, 1, 0, 0);

        if (rc < 0) {

                perror("ptrace");

                return rc;

        }

        for (addr = maps; addr < mape; addr += 4) {

                test = ptrace(PTRACE_PEEKTEXT, 1, (void *) addr, 0);

                *((unsigned long *)(buffer + addr - maps)) = test;

        }

        ro = memmem(buffer, mape - maps, "ro.", 3);

        if (ro) {

                printf("Patching init.\n");

                fake = 0;

                rc = ptrace(PTRACE_POKETEXT, 1, (void *)(maps + ro - buffer), &fake);

                if (rc < 0) {

                        perror("ptrace");

                }

        }

        free(buffer);

        rc = ptrace(PTRACE_DETACH, 1, 0, 0);

        return rc;

}

编译并在Nexus 5中运行:

$ arm-linux-androideabi-gcc 1.c -o patch_init

运行后kill掉zygote进程:

root@hammerhead:/data/local/tmp # ps |grep zygote

ps |grep zygote

root      18887 1     860616 56352 ffffffff 400e26d8 S zygote

root@hammerhead:/data/local/tmp # kill -9 18887

zygote进程结束后,会自动被init进程拉起。待zygote重启后,执行:


root@hammerhead:/data/local/tmp # setprop ro.debuggable 1

setprop ro.debuggable 1

root@hammerhead:/data/local/tmp # getprop ro.debuggable

getprop ro.debuggable

1

以上,ro.debuggable属性已经被修改。只要手机不重启,此修改一直生效,手机重启后需重新patch。

Android全局可调试(ro.debuggable = 1)的一种另类改法的更多相关文章

  1. 简单实现Android手机“全局可调试”(ro.debuggable = 1)的方法【锤子坚果3】

    在Android真机上调试程序有一个前提,就是这个apk包必须有 debuggable=true 的属性才行.而除了自己开发的apk能够控制打包属性之外,其他的程序发行之后显然不会设这个值为 true ...

  2. android加载大量图片内存溢出的三种方法

    android加载大量图片内存溢出的三种解决办法 方法一:  在从网络或本地加载图片的时候,只加载缩略图. /** * 按照路径加载图片 * @param path 图片资源的存放路径 * @para ...

  3. android中退出当前应用程序的四种方法

    android中退出当前应用程序的四种方法 [IT168 技术]Android程序有很多Activity,比如说主窗口A,调用了子窗口B,如果在B中直接finish(), 接下里显示的是A.在B中如何 ...

  4. Xamarin for android:为button设置click事件的几种方法

    原文:Xamarin for android:为button设置click事件的几种方法 在Xamarin中一个最基础的事情,就是为一个button指定click事件处理方法,可是即使是这么一件事也有 ...

  5. 怎样在Android开发中FPS游戏实现的两种方式比较

    怎样在Android开发中FPS游戏实现的两种方式比较 如何用Android平台开发FPS游戏,其实现过程有哪些方法,这些方法又有哪些不同的地方呢?首先让我们先了解下什么是FPS 英文名:FPS (F ...

  6. Android平台中实现对XML的三种解析方式

    本文介绍在Android平台中实现对XML的三种解析方式. XML在各种开发中都广泛应用,Android也不例外.作为承载数据的一个重要角色,如何读写XML成为Android开发中一项重要的技能. 在 ...

  7. Android图表库MPAndroidChart(十四)——在ListView种使用相同的图表

    Android图表库MPAndroidChart(十四)--在ListView种使用相同的图表 各位好久不见,最近挺忙的,所有博客更新的比较少,这里今天说个比较简单的图表,那就是在ListView中使 ...

  8. [Android] Android ViewPager 中加载 Fragment的两种方式 方式(二)

    接上文: https://www.cnblogs.com/wukong1688/p/10693338.html Android ViewPager 中加载 Fragmenet的两种方式 方式(一) 二 ...

  9. [Android] Android ViewPager 中加载 Fragment的两种方式 方式(一)

    Android ViewPager 中加载 Fragmenet的两种方式 一.当fragment里面的内容较少时,直接 使用fragment xml布局文件填充 文件总数 布局文件:view_one. ...

随机推荐

  1. spring boot 之如何在两个页面之间传递值(转)

    原文地址:spring boot 之如何在两个页面之间传递值 问题:页面之间的跳转,通常带有值的传输,但是,在现在比较流行的SPRING MVC WEB 开发模型中,设计机制导致页面之间的直接接跳转和 ...

  2. 【LeetCode】N数和

    1. 3Sum 给定一个无序数组(可能存在重复元素),是否存在三个数之和为0,输出所有不重复的三元组. e.g. 给定数组 [-1, 0, 1, 2, -1, -4], 结果集为:[ [-1, 0, ...

  3. Hadoop---hu-hadoop1: mv: cannot stat `/home/bigdata/hadoop-2.6.0/logs/hadoop-root-datanode-hu-hadoop1.out.4': No such file or directory

    hu-hadoop1: mv: cannot stat `/home/bigdata/hadoop-2.6.0/logs/hadoop-root-datanode-hu-hadoop1.out.4': ...

  4. springboot自动装配

    Spring Boot自动配置原理 springboot自动装配 springboot配置文件 Spring Boot的出现,得益于“习惯优于配置”的理念,没有繁琐的配置.难以集成的内容(大多数流行第 ...

  5. Qt Widgets——抽象滑块及其继承类

    三个可视类的默认外观分别如下(win7):它们的滑块都处于最小值0处. 理解QAbstractSlider时 可将它想成就是QScrollBar(该小部件的外观比较多地拥有QAbstractSlide ...

  6. 牛客网 PAT 算法历年真题 1008 : 锤子剪刀布 (20)

    锤子剪刀布 (20) 时间限制 1000 ms 内存限制 32768 KB 代码长度限制 100 KB 判断程序 Standard (来自 小小) 题目描述 大家应该都会玩“锤子剪刀布”的游戏:现给出 ...

  7. ubuntu16.10 安装ibus中文输入法

    安装以下几种常用输入法: IBus拼音:sudo apt-get install ibus-pinyin IBUS五笔:sudo apt-get install ibus-table-wubi 谷歌拼 ...

  8. AI工具(星形工具)(光晕工具)(移动复制)(柜子绘制)5.12

    星形工具;基本操作与矩形一样,拖动星形工具绘制,点击键盘上箭头增加星形的角数.下箭头减少星形的角数. 选择星形工具在屏幕单击,出现星形对话框,可以设置半径1半径2,角点数.图中的星形就可以用星形工具绘 ...

  9. laravel 连表查询数据库

    $this->model ->select($field) ->leftJoin('b', 'b.cid', '=', 'a.id') ->orderBy("a.ad ...

  10. 分布式链路追踪(Sleuth、Zipkin)

    技术背景 在微服务架构中,随着业务发展,系统拆分导致系统调用链路愈发复杂,一个看似简单的前端请求可能最终需要调用很多次后端服务才能完成,那么当整个请求出现问题时,我们很难得知到底是哪个服务出了问题导致 ...