【转自黑吧】Android 获取ROOT权限原理

一、 概述
本文介绍了android中获取root权限的方法以及原理，让大家对android 玩家中常说的“越狱”有一个更深层次的认识。
二、 Root 的介绍
1. Root 的目的
可以让我们拥有掌控手机系统的权限，比如删除一些system/app下面的无用软件，更换开关机铃声和动画，拦截状态栏弹出的广告等。
2. Root的原理介绍
谷歌的android系统管理员用户就叫做root，该帐户拥有整个系统至高无上的权利，它可以访问和修改你手机几乎所有的文件，只有root才具备最高级别的管理权限。我们root手机的过程也就是获得手机最高使用权限的过程。同时为了防止不良软件也取得root用户的权限，当我们在root的过程中，还会给系统装一个程序，用来作为运行提示，由用户来决定，是否给予最高权限。这个程序的名字叫做Superuser.apk。当某些程序执行su指令想取得系统最高权限的时候，Superuser就会自动启动，拦截该动作并作出询问，当用户认为该程序可以安全使用的时候，那么我们就选择允许，否则，可以禁止该程序继续取得最高权限。Root的过程其实就是把su文件放到/system/bin/ Superuser.apk 放到system/app下面，还需要设置/system/bin/su可以让任意用户可运行，有set uid和set gid的权限。即要在android机器上运行命令：adb shell chmod 4755 /system/bin/su。而通常，厂商是不会允许我们随便这么去做的，我们就需要利用操作系统的各种漏洞，来完成这个过程。
特别说明：我们烧机中的Eng版本并没有Root权限
3. Root的方法
从Root的原理我们了解到，root 过程分三步：
a. adb push su /system/bin
b. adb push SuperUser.apk /system/app
c. adb shell chmod 4755 /system/bin/su
若系统是eng版的，做到以上三步，那么我们Root就大功告成，但实际是不行的。为什么呢？
原因有三：
1、user版的/system路径是只读权限，不能简单写入
2、 chmod需要Root权才能运行（死循环了）
3、有些系统在启动时会自动将su的4755权限设成755，甚至直接删除su
那么针对这种情况，我们怎么办呢？非常简单：烧一个eng版本的boot.img就行了
可以用展讯的烧录工具，或者用fastboot模式从sd卡烧一个boot.img文件即可

至此，我们Root就成功了，可以用R.E(Root Explorer)在根目录创建和删除文件。
三、 深入理解Root机制
其流程是：
1. Su 被用户调用
2. Su 创建了一个socket监听
3. Su 向Superuser发送了一个广播，说是有一个程序要请求root
4. Su 等待socket 数据接收。有超时处理。
5. Superuser 界面收到广播后，弹出一个对话框，询问用户
6. Superuser 向传来的数据中的socket写回用户应答结果。
7. Su 根据socket得到的结果处理应该不应该继续执行
8. 完成提权管理
superuser.apk这个程序是root成功后，专门用来管理root权限使用的，防止被恶意程序滥用。
源码地址： http://superuser.googlecode.com/svn/trunk
我们有两点疑问：
1. superuser是怎么知道谁想用root权限？
2. superuser是如何把用户的选择告诉su程序的？
即superuser和su程序是如何通讯的，他们俩位于不通的时空，一个在java虚拟中，一个在linux的真实进程中。
superuser共有两个activity: SuperuserActivity 和 SuperuserRequestActivity ，其中SuperuserActivity 主要是用来管理白名单的，就是记住哪个程序已经被允许使用root权限了，省的每次用时都问用户。
SuperuserRequestActivity 就是用来询问用户目前有个程序想使用root权限，是否允许，是否一直允许，即放入白名单。
这个白名单比较关键，是一个sqlite数据库文件，位置：
/data/data/com.koushikdutta.superuser/databases/superuser.sqlite

上文说过，root的本质就是往 /system/bin/ 下放一个su文件，不检查调用者权限的su文件。普通程序可以调用该su来运行root权限的命令。superuser.apk中就自带了一个这样的su程序。一开始superuser会检测/system/bin/su是否存在:
File su = new File("/system/bin/su");
// 检测su文件是否存在,如果不存在则直接返回
if (!su.exists()) {
Toast toast = Toast.makeText(this, "Unable to find /system/bin/su.", Toast.LENGTH_LONG);
toast.show();
return;
}
//如果大小一样，则认为su文件正确，直接返回了事。
if (su.length() == suStream.available())
{
suStream.close();
return; //
}
// 如果检测到/system/bin/su 文件存在，但是不对头，则把自带的su先写到"/data/data/com.koushikdutta.superuser/su"
//再写到/system/bin/su。
byte[] bytes = new byte[suStream.available()];
DataInputStream dis = new DataInputStream(suStream);
dis.readFully(bytes);
FileOutputStream suOutStream = new FileOutputStream("/data/data/com.koushikdutta.superuser/su");
suOutStream.write(bytes);
suOutStream.close();
Process process = Runtime.getRuntime().exec("su");

DataOutputStream os = new DataOutputStream(process.getOutputStream());
os.writeBytes("mount -oremount,rw /dev/block/mtdblock3 /system\n");
os.writeBytes("busybox cp /data/data/com.koushikdutta.superuser/su /system/bin/su\n");
os.writeBytes("busybox chown 0:0 /system/bin/su\n");
os.writeBytes("chmod 4755 /system/bin/su\n");
os.writeBytes("exit\n");
os.flush();
有进程使用root权限，superuser是怎么知道的呢，关键是句：
sprintf(sysCmd, "am start -a android.intent.action.MAIN
-n com.koushikdutta.superuser/com.koushikdutta.superuser.SuperuserRequestActivity
--ei uid %d --ei pid %d > /dev/null", g_puid, ppid);
if (system(sysCmd))
return executionFailure("am.");
原理是am命令，am的用法：
usage: am [subcommand] [options]
start an Activity: am start [-D] [-W] <INTENT>
-D: enable debugging
-W: wait for launch to complete
start a Service: am startservice <INTENT>
send a broadcast Intent: am broadcast <INTENT>
start an Instrumentation: am instrument [flags] <COMPONENT>
-r: print raw results (otherwise decode REPORT_KEY_STREAMRESULT)

-e <NAME> <VALUE>: set argument <NAME> to <VALUE>
-p <FILE>: write profiling data to <FILE>
-w: wait for instrumentation to finish before returning
start profiling: am profile <PROCESS> start <FILE>
stop profiling: am profile <PROCESS> stop
<INTENT> specifications include these flags:
[-a <ACTION>] [-d <DATA_URI>] [-t <MIME_TYPE>]
[-c <CATEGORY> [-c <CATEGORY>] ...]
[-e|--es <EXTRA_KEY> <EXTRA_STRING_VALUE> ...]
[--esn <EXTRA_KEY> ...]
[--ez <EXTRA_KEY> <EXTRA_BOOLEAN_VALUE> ...]
[-e|--ei <EXTRA_KEY> <EXTRA_INT_VALUE> ...]
[-n <COMPONENT>] [-f <FLAGS>]
[--grant-read-uri-permission] [--grant-write-uri-permission]
[--debug-log-resolution]
[--activity-brought-to-front] [--activity-clear-top]
[--activity-clear-when-task-reset] [--activity-exclude-from-recents]
[--activity-launched-from-history] [--activity-multiple-task]
[--activity-no-animation] [--activity-no-history]
[--activity-no-user-action] [--activity-previous-is-top]

[--activity-reorder-to-front] [--activity-reset-task-if-needed]
[--activity-single-top]
[--receiver-registered-only] [--receiver-replace-pending]
[<URI>]
还有个疑点，就是su怎么知道用户是允许root权限还是反对呢？原来是上面提到的白名单起来作用，superuser把用户的选择放入：
/data/data/com.koushikdutta.superuser/databases/superuser.sqlite 数据库中，然后su进程再去读该数据库来判断是否允许。
static int checkWhitelist()
{
sqlite3 *db;
int rc = sqlite3_open_v2(DBPATH, &db, SQLITE_OPEN_READWRITE, NULL);
if (!rc)
{
char *errorMessage;
char query[1024];
sprintf(query, "select * from whitelist where _id=%d limit 1;", g_puid);
struct whitelistCallInfo callInfo;
callInfo.count = 0;
callInfo.db = db;
rc = sqlite3_exec(db, query, whitelistCallback, &callInfo, &errorMessage);
if (rc != SQLITE_OK)
{
sqlite3_close(db);
return 0;
}

以下是问与答

Root 手机的原理 ？
Root 是Linux 等类Unix 系统的超级管理员用户账户，手机Root 也就是系统破解（在 iOS 设备中叫做“越狱”），当手机被Root ，其他用户就可以以超级管理员的身份运行程序。
Root 的原理是 修改系统的/system/bin/su 文件
su 源代码 下载地址：http://download.csdn.net/detail/jinzhu117/4821630
SuperUser 是什么？
SuperUser 是用来管理用户Root 权限的软件。当手机被Root 之后，相当于所有的用户都有了以Root 用户的身份运行只能Root 用户才能执行的程序和命令，用户可以任意的修改系统密码，删除系统重要文件等等，系统变得非常不安全，SuperUser 就是用来管理其他用户是否有权限使用超级管理员身份的运行应用程序的系统软件。当有用户（程序）想以root 权限 或者以root 权限执行命令及程序时，su.c 会先启动SuperUser ，询问用户是否给予该程序（用户）Root 权限，如果给则将该进程设置为root
安装SuperUser 后，会替换掉 /system/bin/su 文件，
SuperUser 源代码下载地址：http://download.csdn.net/detail/jinzhu117/4821569
一个软件获取Root 权限之后，能给其他应用程序 Root 权限吗？
能
1.把su.c 替换成自己修改后的su.c
2.把共享应用程序的UserId.
Root 手机？
其实就是修改系统的/system/bin/su 文件

应用获得Root 权限
Root 之前，只有Root 用户才能以超级管理员的权限运行应用程序，
看su.c 的代码：
[cpp] view plaincopyprint?
if (myuid != AID_ROOT && myuid != AID_SHELL) {
fprintf(stderr,"su: uid %d not allowed to su\n", myuid);
return 1;
}
if(setgid(gid) || setuid(uid)) {
fprintf(stderr,"su: permission denied\n");
return 1;
}

Root 之后，使用SuperUser 管理系统的Root 权限，SuperUser 有一个白名单，白名单中都是允许以使用超级管理员的用户。
if (!checkWhitelist())
{
char sysCmd[1024];
sprintf(sysCmd, "am start -a android.intent.action.MAIN -n com.koushikdutta.superuser/com.koushikdutta.superuser.SuperuserRequestActivity --ei uid %d --ei pid %d > /dev/null", g_puid, ppid);
if (system(sysCmd))
return executionFailure("am.");
int found = 0;
int i;
for (i = 0; i < 10; i++)
{
sleep(1);
// 0 means waiting for user input
// > 0 means yes/always
// < 0 means no
int checkResult = checkWhitelist();
if (checkResult > 0)
{
found = 1;
break;
}
else if (checkResult < 0)
{
// user hit no
return permissionDenied();
}
}
Root 之后，一个程序，替换系统的su.c 文件，当其他应用程序想以 Root 用户的身份运行程序时，都放行。

root是linux系统下的管理员

其实认真看一下代码只是基本的cpp，描述的部分不复杂

好长，为毛我ROOT感觉很简单