网上流传比较多的,是重打包boot.img。读aosp的init进程源码,发现通过patch init进程也可以实现相同目的。

首先看一下init进程对ro只读属性的检查:

/* property_service.c */

int property_set(const char *name, const char *value)

{

...

    pi = (prop_info*) __system_property_find(name);

    if(pi != 0) {

        /* ro.* properties may NEVER be modified once set */

        if(!strncmp(name, "ro.", 3)) return -1;  /* 如果是只读属性,不允许set,返回-1 */

        __system_property_update(pi, value, valuelen);

    }

...

从上面代码看出,如果将“ro.”改为“\0”即空字符串,即可绕过property_set对可读属性的检查。

同时为了防止误修改,我们查看init进程是否还有其它使用“ro.”字符串的地方,只找到一处,位于check_perms函数中:

/*

 * Checks permissions for setting system properties.

 * Returns 1 if uid allowed, 0 otherwise.

 */

static int check_perms(const char *name, unsigned int uid, unsigned int gid, char *sctx)

{

    int i;

    unsigned int app_id;

    if(!strncmp(name, "ro.", 3))

        name +=3;

    if (uid == 0)

        return check_mac_perms(name, sctx);

...

分析init进程的汇编代码,发现property_set函数地址位于check_perms函数之前,因此只要修改搜索到的第一处内存即可。

使用ptrace实现,代码如下:

kiiim@ubuntu:~/Android_prj/patch_init_process$ cat 1.c

#include <stdio.h>

#include <sys/ptrace.h>

#include <errno.h>

#include <memory.h>

#include <string.h>

int main(int argc, char **argv) {

        int rc;

        unsigned long maps, mape, addr, test, fake;

        FILE *fp;

        char line[512];

        char *buffer, *ro;

        fp = fopen("/proc/1/maps", "r");

        if (!fp) {

                perror("fopen");

                return 1;

        }

        memset(line, 0, sizeof(line));

        fgets(line, sizeof(line), fp);

        fclose(fp);

        rc = sscanf(line, "%08x-%08x", &maps, &mape);

        if (rc < 2) {

                perror("sscanf");

                return 1;

        }

        buffer = (char *) malloc(mape - maps);

        if (!buffer) {

                perror("malloc");

                return 1;

        }

        rc = ptrace(PTRACE_ATTACH, 1, 0, 0);

        if (rc < 0) {

                perror("ptrace");

                return rc;

        }

        for (addr = maps; addr < mape; addr += 4) {

                test = ptrace(PTRACE_PEEKTEXT, 1, (void *) addr, 0);

                *((unsigned long *)(buffer + addr - maps)) = test;

        }

        ro = memmem(buffer, mape - maps, "ro.", 3);

        if (ro) {

                printf("Patching init.\n");

                fake = 0;

                rc = ptrace(PTRACE_POKETEXT, 1, (void *)(maps + ro - buffer), &fake);

                if (rc < 0) {

                        perror("ptrace");

                }

        }

        free(buffer);

        rc = ptrace(PTRACE_DETACH, 1, 0, 0);

        return rc;

}

编译并在Nexus 5中运行:

$ arm-linux-androideabi-gcc 1.c -o patch_init

运行后kill掉zygote进程:

root@hammerhead:/data/local/tmp # ps |grep zygote

ps |grep zygote

root      18887 1     860616 56352 ffffffff 400e26d8 S zygote

root@hammerhead:/data/local/tmp # kill -9 18887

zygote进程结束后,会自动被init进程拉起。待zygote重启后,执行:


root@hammerhead:/data/local/tmp # setprop ro.debuggable 1

setprop ro.debuggable 1

root@hammerhead:/data/local/tmp # getprop ro.debuggable

getprop ro.debuggable

1

以上,ro.debuggable属性已经被修改。只要手机不重启,此修改一直生效,手机重启后需重新patch。

Android全局可调试(ro.debuggable = 1)的一种另类改法的更多相关文章

  1. 简单实现Android手机“全局可调试”(ro.debuggable = 1)的方法【锤子坚果3】

    在Android真机上调试程序有一个前提,就是这个apk包必须有 debuggable=true 的属性才行.而除了自己开发的apk能够控制打包属性之外,其他的程序发行之后显然不会设这个值为 true ...

  2. android加载大量图片内存溢出的三种方法

    android加载大量图片内存溢出的三种解决办法 方法一:  在从网络或本地加载图片的时候,只加载缩略图. /** * 按照路径加载图片 * @param path 图片资源的存放路径 * @para ...

  3. android中退出当前应用程序的四种方法

    android中退出当前应用程序的四种方法 [IT168 技术]Android程序有很多Activity,比如说主窗口A,调用了子窗口B,如果在B中直接finish(), 接下里显示的是A.在B中如何 ...

  4. Xamarin for android:为button设置click事件的几种方法

    原文:Xamarin for android:为button设置click事件的几种方法 在Xamarin中一个最基础的事情,就是为一个button指定click事件处理方法,可是即使是这么一件事也有 ...

  5. 怎样在Android开发中FPS游戏实现的两种方式比较

    怎样在Android开发中FPS游戏实现的两种方式比较 如何用Android平台开发FPS游戏,其实现过程有哪些方法,这些方法又有哪些不同的地方呢?首先让我们先了解下什么是FPS 英文名:FPS (F ...

  6. Android平台中实现对XML的三种解析方式

    本文介绍在Android平台中实现对XML的三种解析方式. XML在各种开发中都广泛应用,Android也不例外.作为承载数据的一个重要角色,如何读写XML成为Android开发中一项重要的技能. 在 ...

  7. Android图表库MPAndroidChart(十四)——在ListView种使用相同的图表

    Android图表库MPAndroidChart(十四)--在ListView种使用相同的图表 各位好久不见,最近挺忙的,所有博客更新的比较少,这里今天说个比较简单的图表,那就是在ListView中使 ...

  8. [Android] Android ViewPager 中加载 Fragment的两种方式 方式(二)

    接上文: https://www.cnblogs.com/wukong1688/p/10693338.html Android ViewPager 中加载 Fragmenet的两种方式 方式(一) 二 ...

  9. [Android] Android ViewPager 中加载 Fragment的两种方式 方式(一)

    Android ViewPager 中加载 Fragmenet的两种方式 一.当fragment里面的内容较少时,直接 使用fragment xml布局文件填充 文件总数 布局文件:view_one. ...

随机推荐

  1. Spring Boot系列之配置日志输出等级

    我们都知道Spring boot 默认使用 logback作进行日志输出,那么 在配置Spring boot日志输出时有两种方式: 通过application.properties 配置文件的方式来配 ...

  2. 【转】vue中动态设置meta标签和title标签

    因为和原生的交互是需要h5这边来提供meta标签的来是来判断要不要显示分享按钮,所有就需要手动设置meta标签,标题和内容 //router内的设置 { path: '/teachers', name ...

  3. python load mat

    from scipy import io dataset = io.loadmat("a.mat") exclude = ['__globals__', '__header__', ...

  4. win7下使用U盘安装双系统(Ubuntu-17)

    1.首先下载Ubuntu镜像文件,下载地址:http://mirrors.neusoft.edu.cn/ 2.下载 U盘操作系统安装工具- Universal USB Installer ,下载地址: ...

  5. 未来Linux系统将是运维行业必备的技能之一

    关于linux,这个并不是每个人都能用或者需要用的,因为平时有很多人用电脑只是为了上上网,聊聊天,打打游戏,这个是完全不需要用linux的.关于linux,是不能用正常的大家所熟知的window来认知 ...

  6. bzoj2440

    题解: 莫比乌斯反演 ans=sigma(x/(i*i)*miu[i]) 代码: #include<bits/stdc++.h> using namespace std; ; int T, ...

  7. .net core json配置相关用法

    在.net core中,配置文件差不多都是json文件.我们在开发程序的时候,可以使用系统默认的appsettings.json,可以自定义json配置文件.当json配置文件里面的参数改变时,程序也 ...

  8. 【转载四】Grafana系列教程–Grafana基本概念

    在上面几篇文章中,我们介绍了Grafana的安装配置以及运行的方法,本篇文章我们就来介绍下Grafana的基本概念. 有问题欢迎加群讨论,InfluxDB&Grafana技术交流群:58048 ...

  9. Python数据分析中对重复值、缺失值、空格的处理

    对重复值的处理 把数据结构中,行相同的数据只保留一行 函数语法: drop_duplicates() from pandas import read_csv df = read_csv(文件位置) n ...

  10. dubbo的几种配置方式(转)

    昨天刚接触公司dubbo,发现公司中项目里面的spring-dubbo-privider的dubbo中<dubbo:application name=""/>和< ...