Android系统篇之—-Android中的run-as命令引出升降权限的安全问题(Linux中的setuid和setgid)

Android技术篇 尼古拉斯.赵四 16136℃ 0评论

一、前言

最近一周比较忙,没时间写东西了,今天继续开始我们今天的话题:run-as命令,在上周的开发中,遇到一个问题,就是在使用run-as命令的时候出现了一个错误,不过当时因为工作进度的问题,这问题就搁浅没有解决,用了其他一个曲线救国的方式去解决的。那么咋们今天闲来说说Android中的run-as命令吧。

 

二、遇到的问题&解决问题

Android中我们知道如果设备没有root,我们想看一个应用的沙盒数据(/data/data/目录内容),在以前的方式很难办到,一般人都是选择root之后,去查看对应的数据库,xml等数据。但是如果如果我们没有root了,照样也想看这些数据,怎么办呐?其实Android中提供了一个命令,那就是:run-as,不过这个命令有一个缺陷,就是只有Debug应用才能查看,这个到后面在分析run-as源码的时候再说。这个命令的用法很简单:run-as [packagename]

其中packagename就是我们想查看的应用的包名,运行命令之后,就直接进入到指定应用的目录下:/data/data/packagename/

那么我现在稍微了解了Android中有这个命令,可以查看Debug应用的沙盒数据,那么我遇到一个什么问题呢?下面来看我运行的结果:

呵呵,点够北的,为毛这个命令会报错呢?遇到这个问题我们只有两种方式去解决:一种是网上查资料,一种是自己去看那操蛋的源码,好吧,现在我们有时间了,那就去看源码吧,关于Android中的这些命令,一般都在/system/bin/system/xbin目录下,这些命令的源码一般都是放在源码的:Android源码目录\system\core\ 下:

那么我们就来看看run-as的源码:run-as.c:

看到这里,我们知道了,原来run-as命令运行有很多限制的:

第一个限制:运行的uid限制,运行命令的用户id只能是shell和root用户

下面我们可以验证一下,我们使用system的uid运行命令:

这里我们用于测试的设备已经root了,因为我要讲解问题,所以需要root之后操作方便。这里看到使用su可以随意设定uid,这个后面分析su源码在说他是如何做到的。这里我们将uid变成了system了,在运行run-as,发现报错了,符合预期吧。

第二限制:这个应用的安装必须合法

这里我们在仔细看看get_package_info这个函数的源码了,它位于run-as.c同目录下的package.c

这里通过map_file函数来获取PACKAGES_LIST_FILE文件的buffer内容,我们再来看一下PACKAGES_LIST_FILE的定义:

是这个文件,我们导出这个文件,查看内容:

这个文件记录所有安装应用的信息:

包名,用户id(uid),是否为debug模式,对应的数据目录,是否是release版,组id(gid)

这里我们看到,demo.systemapi应用是debug模式的。一般正式app都是非debug模式。

这里通过读取这些信息就可以构造出一个PackageInfo了:

注意:

这里我们看到了packages.list文件是存储安装包的简略信息的,其实和他同一目录下还有一个重要文件:packages.xml,我们可以导出来看看:

看到了,这里就记录了安装应用的详细信息,还有一个重要信息就是还能够知道应用的安装来源,有些app可以做到这点,就是通过这个信息来获取到的,还有签名信息,权限等。

当然我们可以使用Android中的dumpsys packageinfo命令来查看指定应用的详细信息:

第三个限制:应用的uid必须合法

我们看到这里AID_APP的定义,在 Android源码目录\system\core\include\private\android_filesystem_config.h

这里定义了一些uid信息,看到:

AID_ROOT对应的是root用户,uid=0

AID_SYSTEM对应的是system用户,uid=100

AID_SHELL对应的是shell用户,uid=2000

从这里我们可以看到,root用户的权限》system用户的权限》shell用户的权限》第三方应用的权限

不过这里所说的权限只是对于一些情况,不是全部哦,比如一个简单的例子,Android中有些api是会做uid限制的,即时我们用反射机制也是访问失败的,那么比如有一个api他限制只能uid=1000的用户就是system用户才能调用,那么这时候,即时你是root用户也是没办法的,不过可以使用su进行降权,这个后面会通过一个例子来看。

这三个用户的id最好记住啦,算是常识了。

在往下看:

看到了,这里的AID_APP是10000,我们也知道,我们安装的应用的uid都是从10000开始的,所以uid都是大于10000的,这里所以做了一层uid的合法性判断限制。

注意:

我们一般查看应用的uid的时候,很简单,拿到最后的整数+10000就是应用的uid了,比如demo.systemapi的uid就是:

10000+140 = 10140;

这个我们可以验证的,查看上面提到的packages.list文件中的信息:

第四个限制:应用是否是debug模式

这个在之前就说过了,run-as有一个最大的限制就是查看对应应用的数据,其必须是debug模式的,所以我们在开发程序的时候,千万要保证一点,就是debug包不能外泄,不然数据就等于外泄了。

那么言归正传,源码看的差不多了,看一下问题,我们在运行run-as的时候遇到的问题是:

那么问题就出在这里:

再看get_package_info函数:

再看map_file函数:

好吧,终于找到原因了,原来是,/data/system/packages.list文件读取权限是AID_SYSTEM,我们查看一下:

好吧,问题找到了,原来是文件访问权限的问题,那么我们尝试使用su进行升级权限在查看一下:

呵呵,明显是不行的,原因很简单,run-as有限制呢,本身这个命令只能是root和shell用户才可以访问的,这里我也可以看到,shell用户也不比system用户权限低,所以要视情况而定来看这root,system,shell三个用户的权限范围。

那么我们在root用户下去尝试一下:

擦,这是可以的,因为run-as的限制权验证过去了

首先root的uid限制可以放行的,然后是debug模式可以放行,packages.list文件的访问权限是system,但是这个对于root用户来说没有限制的,因为在文件的读取权限上,root可以操作任何文件的,demo.systemapi的uid合法放行

注意:

这里运行完run-as命令之后,进入到了/data/data/demo.systemapi目录下了,看到了,变成了sh命令,#变成$了,这个其实是run-as会在启动一个shell程序,可以查看run-as的源码:

好了,到这里我们就分析了我们为什么运行run-as命令失败了,失败的原因也找到了,解决的办法也有了,但是还是需要root,这个貌似和我们开始说的有点出入,因为本身run-as命令就是在非root设备上可以查看debug模式下应用的沙盒数据的,那现在root了,还有什么意义呢,其实不是的,run-as这个命令很特殊的,我找到了一个没有root的设备,然后运行run-as命令,结果如下:

也是可以运行成功的,而且这个设备没有root。但是我们在上面一个已经root的设备运行run-as却报错误,那是为什么呢?下面我们就开始今天的正式主题,为何没有root,run-as命令还能运行成功,进入指定的应用目录下。

其实故事是这样的:我开始的时候为了讲解run-as源码和一些前提知识,我提前做了一件事,就是修改了run-as命令的权限:

我们查看run-as命令的本来权限是:-rwsr-sr-x root     shell        9440 2016-04-06 17:44 run-as

然后我修改了他的权限:chmod 0755 run-as

变成:-rwxr-xr-x root     shell        9440 2016-04-06 17:44 run-as

这个操作是为了我开始今日的话题的前奏,所以请大家原谅我瞒着你们干了一件坏事,不过现在大家应该明白吧

本来run-as的权限是:-rwsr-sr-x root     shell        9440 2016-04-06 17:44 run-as

下面我们把run-as权限改回原来的值,然后在运行run-as:

开到了吧,运行成功了啦~

 

三、引出Linux中的setuid和getuid概念

那么问题来了,为何我改了一个权限,就run-as运行报错了呢?我们看到修改的命令是:chmod 0755 run-as

修改之后的权限:-rwxr-xr-x root     shell        9440 2016-04-06 17:44 run-as

和修改之前只有一个区别,就是x变成了s,那么这里是怎么个回事呢?

这个就引出了今天的话题,Linux中的setuid和setgid问题了,那Linux中的setuid和setgid问题是个什么鬼?Android中有哪些场景都用到了这个呢?下面来一一讲解

第一、首先来看一下Linux中的setuid和setgid概念

linux/unix 下的可执行文件,被设置了setuid, 当一个程序一旦设置了该标记以后, 使用该可执行程序的进程将拥有该执行文件的所有者的权限,可提升使用者的权限,普通用户可以执行改命令,使自己升级为root权限。
setuid的用法是: chmod 4755 program 或 chmod u+s program (setuid 只对文件有效)
被设置了setgid, 同理使用该程序的进程将拥有该程序所有组的权限,单独setGid的文件非常少用,通常都是即setUid又setGid,同时setuid,setgid 是为了绑定某个特殊用户及其组的特殊权限。
setgid的用法是:chmod 2755 dir 或 chmod g+s dir (setgid 只对目录有效)
同时设置setuid,setgid的用法:chmod 6755 program
被设置粘着位,设置的用法是: chmod 1777 file 或 chmod o+t file (sticky只对文件有效)
当一个目录被设置为”粘着位”(用chmod a+t),则该目录下的文件只能由
1、超级管理员删除
1、该目录的所有者删除
1、该文件的所有者删除
也就是说,即便该目录是任何人都可以写,但也只有文件的属主才可以删除文件 。

那么我们如何使用chmod命令修改文件的权限和这两个函数有什么关系呢?

我们知道修改文件的权限命令是chmod,他后面可以使用字母组合或者是数字组合。

注意:

Android中的toolbox对chmod命令做了限制,chmod只能使用数字代替字母来修改文件的权限,看下面例子:

看到了,这里使用字母组合方式来修改文件的权限会报错的:Bad mode

就是因为google自带的toolbox中chmod语法不支持+x, -x这类

第二、下面继续讲解chmod的命令的用法和参数详解

我们知道Linux中的文件权限构造是这样的:

我们可以使用ll命令查看一个文件,样式式是类似这样的:-rwxr-xr-x

下面解析一下格式所表示的意思。
这种表示方法一共有十位:
9 8 7 6 5 4 3 2 1 0
– r w x r – x r – x
第9位表示文件类型,可以为p、d、l、s、c、b和-:
p表示命名管道文件
d表示目录文件
l表示符号连接文件
-表示普通文件
s表示socket文件
c表示字符设备文件
b表示块设备文件
第8-6位、5-3位、2-0位分别表示文件所有者的权限,同组用户的权限,其他用户的权限

其形式为rwx:
r表示可读,可以读出文件的内容,对应的数字是4
w表示可写,可以修改文件的内容,对应的数字是2
x表示可执行,可运行这个程序,对应的数字是1

那么我们可以知道了,rwx的组合就是7=1+2+4

如果我们想修改一个文件的权限为所有者为rwx,同组用户的权限是r–,其他用户的权限是–x,命令如下:

chmod u=rwx,g=r,o=x file

这里看到:u代表所有者,g代表同组,o代表其他用户

我们也可以使用数字更简单:

chmod 714 file

7代表所有者:1+2+4

1代表同组用户:1

4代表其他用户:4

那么下面再来看一下如何修改文件为setuid和setgid呢?

如果一个文件被设置了SUID或SGID位,会分别表现在所有者或同组用户的权限的可执行位上。例如:
1、-rwsr-xr-x 表示SUID和所有者权限中可执行位被设置
2、-rwsr–r– 表示SUID被设置,但所有者权限中可执行位没有被设置
3、-rwxr-sr-x 表示SGID和同组用户权限中可执行位被设置
4、-rw-r-sr– 表示SGID被设置,但同组用户权限中可执行位没有被社
其实在UNIX的实现中,文件权限用12个二进制位表示,如果该位置上的值是
1,表示有相应的权限:
11 10 9 8 7 6 5 4 3 2 1 0
s g t r w x r w x r w x
第11位为SUID位,第10位为SGID位,第9位为sticky位,第8-0位对应于上面的三组rwx位。
11 10 9 8 7 6 5 4 3 2 1 0
上面的-rwsr-xr-x的值为: 1 0 0 1 1 1 1 0 1 1 0 1
-rw-r-sr–的值为: 0 1 0 1 1 0 1 0 0 1 0 0

所有者的s位数字对应是:4

所有组的s位数字对应是:2

粘着位的数字对应是:1
给文件加SUID和SUID的命令如下:
chmod u+s filename 设置SUID位
chmod u-s filename 去掉SUID设置
chmod g+s filename 设置SGID位
chmod g-s filename 去掉SGID设置
另外一种方法是chmod命令用八进制表示方法的设置。如果明白了前面的12位权限表示法也很简单。

如果设置文件的setuid,gid,ticky位,使用数字来表示:

chmod 7555 file

第一位的7就代表:1+2+4=7 设置了这三个位。

 

四、Android中关于setuid和setgid的使用场景

好了,上面说了那么多,就是为了介绍Linux中的setuid,setgid的用法和作用,以及如何使用chmod命令来操作。

下面我们就来看看Android中有哪些场景用到了setuid,setgid。

第一个场景:zygote降权处理

首先不得不说Zygote这个进程了,在之前我们说过Android中应用启动的过程都是和这个进程息息相关的,后面也会写文章详细介绍这个进程的,这里就简单说一下了,Android中每个应用启动都是来找zygote来做事的,zygote启动之后,会进入一个轮训使用socket来监听来自ActivityManagerService发来的消息,比如应用的启动,然后zygote就fork出一个进程,开始运转,那么问题来了,我们知道Linux中,父进程fork出一个子进程,默认的话,子进程会拥有和父进程一样的uid,那么我们知道zygote是root用户的。那么按照常理,所有fork出来的应用都是root用户了,看上去好危险,每个应用都有root权限了,当然这里肯定做了手脚,不然我们后面看到每个应用只有指定的权限的,可以看到这里zygote使用setuid,setgid做了降权处理。

下面来看一下源码:dalvik_system_Zygote.cpp

源码位置:Android源码\dalvik\vm\native\dalvik_system_Zygote.cpp

zygote中主要主要做处理的就是forkAndSpecializeCommon函数

往下面看:

哈哈,果然是,这里讲fork出来的进程的gid和uid设置成上层传递过来的值,从而实现降权了。

这里我们还看一个知识点,还有这个函数:enableDebugFeatures,这个是干什么的,其实看到名字都知道,就是能够让一个应用具备可调式功能,在debug的情况下。

继续往下看:

注意:

我们看到了一个重要点:gDvm.jdwpAllowed,我们知道java中的调试系统还是很复杂的,后面也会出一篇文章专门讲解调试系统,这里就不多说了,这里就说一点,Java中的调试有jdb,jdbserver,jwdp组成的,这里遵从的是C/S模式

jdb就是客户端,就是需要调试的应用

jdbserver就是服务端,就是调试代码信息处理的那一端

jwdp就是调试协议

而且每个可以调试的应用启动之后,都会有一个jwdp线程来运作这些事,我们可以使用:

ps -t 进程号

来查看进程的线程:

这里说一下的原因是为了接下来分析Android中的调试工具gdb,gdbserver做准备的。

第二场景:su工具原理

上面就讲完了setuid的一个场景zygote来对每个创建出来的应用进行降权,下面再来看一个场景:su工具

我们现在应该可以理解Android手机的root原理了吧:一个普通的进程通过执行su,从而获得一个具有root权限的进程。有了这个具有root权限的进程之后,就可以想干什么就干什么了。su所做的事情其实很简单,它再fork另外一个子进程来做真正的事情,也就是我们在执行su的时候,后面所跟的那些参数。由于su所运行在的进程的UID是root,因此由它fork出来的子进程的UID也是root。于是,子进程也可以想干什么就干什么了。不过呢,用来root手机的su还会配合另外一个称为superuser的app来使用。su在fork子进程来做真正的事情之前,会将superuser启动起来,询问用户是否允许fork一个UID是root的子进程。这样就可以对root权限进行控制,避免被恶意应用偷偷地使用。

下面来看看su的源码:

我们可以看到,这里其实很简单,就是用了setuid和setgid来设置指定的uid,如果没有指定uid默认就是root用户,uid=0。

第三、chmod修改setuid和setgid场景:run-as命令

关于上面说到的chmod命令来达到setuid等效果,在Android中也有类似的场景,首先我们前面分析的run-as命令,就是一个很好的例子,run-as命令本生的uid是root,gid是shell

如果当我们chmod 6755 run-as 设置完权限之后,他就具备了这种功效:

只要运行run-as命令的用户就会立马升级到root用户,那么我们知道root用户可以进入到任何应用的data/data/目录下面的。

现在我们也知道了,当初为什么我修改了run-as命令之后,会报错,然后在修改回来之后又可以了。

从这里我们可以看到Android中的run-as命令其实还是蛮危险的,虽然他本身有很多限制,不过追根到底还是Linux中的setuid的安全性最为值得考验,这个setuid危险性还是很大的,很多漏洞都是通过这个特性来发现的,比如著名的:MasterKey漏洞。

补充:

既然这里说到了run-as命令,我们现在知道了,他能够在非root设备上查看debug模式的应用沙盒数据,其实他还有一个重要疗效,就是为Android中的调试做基础,上面再分析zygote源码的时候提到了一句java中的调试系统jdb,其实Android中的调试系统是gdb

过gdb和gdbserver来调试APP的。具体来说,就是通过gdbserver通过ptrace附加上目标APP进程去,然后gdb再通过socket或者pipe来链接gdbserver,并且向它发出命令来对APP进程进行调试,那么需要有这些关键点:
1、第一个关键点是每一个需要调试的APK在打包的时候,都会带上一个gdbserver。因为手机上面不带有gdbserver这个工具。这个gdbserver就负责用来ptrace到要调度的APP进程去。

2、第二个关键点是ptrace的调用。一般来说,只有root权限的进程只可以调用。例如,如果我们想通过ptrace向目标进程注入一个SO,那么就需要在root过的手机上通过向su申请root权限。但是,这不是绝对的。如果一个进程与目标进程的UID是相同的,那么该进程就具有调用ptrace的权限。gdbserver在调试一个APP之前,首先要通过ptrace_attach来附加到该APP进程去。ptrace_attach在执行实际操作之后,会调用__ptrace_may_access来检查调用进程的权限,如果调用进程与目标进程具有相同的UID和GID,那么权限检查就通过。否则的话,就要求调用者进程具有执行ptrace的capability,这是通过另外一个函数ptrace_has_cap来检查的。如果是调用进程的UID是root,那么ptrace_has_cap一定会检查通过。当然,通过了上述两个权限检查之后,还要接受内核安全模块的检查,这个就不是通过UID或者Capability这一套机制来控制的了

3、第三个关键点是如何让gdbserver进程的UID与要调试的APP进程的UID一样。因为在没有root过的手机上,要想获得root权限是不可能的了,因此只能选择以目标进程相同的UID运行这个方法。这时候就可以使用run-as工具了

到这里我们知道了,Android中如果要调试一个程序,首先这个程序必须是debug模式的,也就是在AndroidManifest.xml中设置的属性,所以我们知道我们以往在使用动态方式破解apk的都是,首先都是反编译,然后修改xml中的这个debug属性,然后才能进行代码关联调试,而且我们知道动态调试so的强大工具IDA也是利用附加到目标进程中才进行调试的。原理和这里的gdb一样。后面会单独写一篇文章来介绍Android中使用动态方式来破解apk。

注意:

关于ptrace去想目标进程注入一个so的知识,这里不多说,请看我的另外一篇文章:Android中应用程序行为拦截

 

五、知识整理

好了到这里,我们貌似做了这么几件事,我们稍微整理一下:

1、首先我们使用run-as命令查看应用的沙盒数据失败,通过错误信息查看run-as的源码,发现run-as命令做了很多限制

2、通过追踪发现,是/data/system/packages.list的读取权限问题导致的,不过这些问题都是我们一开始设置了run-as权限的问题印出来的。

3、通过修改run-as的权限,引出来了linux中的setuid和setgid相关知识,已经chmod命令修改文件权限的详细说明。

4、通过了解了linux中的setuid和setgid相关知识之后,我们分析了Android中使用该功能进行每个应用的降权,具体又分析了zygote源码。而且这里还分析了每个应用是否可调式的相关知识,主要是Java中的调试系统。

5、通过分析完了run-as命令之后 ,我们又扩展了一下,Android中的调试系统gdb,他其实就是基于run-as命令的,原因很简单,以为gdb调试应用的话,首先这个应用的AndroidManifest.xml中必须设置debug属性,然后要附加到目标进程中,但是对于非root设备来说如何附件目标进程呢?那么这时候就要借助run-as工具来操作了,因为run-as可以短暂的获取root权限。

 

六、如何调用系统受uid限制的api

那么到这里还没有结束,为什么呢?我们文章中说到了好几次关于降权的问题,这里我们在做一个例子来详细介绍Android中如何降权,这个例子,很简单,我们模拟一个系统的api,但是这个api只能system用户可以调用,代码如下:

这里做了用户uid的判断,如果不是system用户直接返回错误信息。

这里我们为了简单,也是为了向广大新老用户演示Android中如何执行jar功能,这里就在加一个入口类:

我们把工程导出jar,然后用dx命令进程转化成dex,因为不管怎么样Android中是不识别class文件的,他只是别dex文件:

dx –dex –output=输入的dex目录文件  输入的jar文件

然后在将生成的classes.dex文件塞到jar中,这个直接使用压缩软件就可以了:

然后把exec.jar导入到设备的/data目录下,这个目录随便导入,这里就为了简单导入到/data下面了:

然后把exec.jar设置到到类环境变量中,运行即可:

export CLASSPATH= jar的路径

exec /system/bin/app_process jar的目录  jar中的入口类

不过这里为了演示问题,都在root用户下做的操作:

我们看到了,运行成功,但是看到打印的log信息,权限拒绝了,因为只能system用户可以访问的,下面我们就用su进行降权到system在运行:

注意:每次切换用户的时候,一定要记得从新设置一下类变量,不然运行失败的。

呵呵,成功获取到值了。

总结一下步骤:

1》导出可执行的jar文件

2》使用dx命令将class文件转化成dex文件

3》将转化之后的dex文件塞到jar文件中,然后倒入到设备的指定目录

4》设置可执行jar文件到类环境变量中

5》执行app_process命令运行jar文件

补充:

上面我们看到了可以成功的使用app_process命令来运行一个jar文件,其实关于app_process的相关知识,在之前的一篇文章中已经说过了,他是Android系统中启动Java代码的关键。但是这里为了简单,我们没必要这么做,可以直接运行dex文件的,这里就要在介绍一个命令:dalvikvm

首先我们将上面dx之后的classes.dex文件push到/data目录下:

然后就执行dalvikvm命令:

dalvikvm -cp dex文件路径 入口类

这里同样看到权限拒绝的,我们降级切换到system用户:

运行成功啦

好了,到这里,我们就学会了如何使用app_process来运行jar文件,而且也体验到了Android中的一些api的访问限制该如何处理,主要是用过su来进行降权处理的,而su能够降权是因为,他本生提供了可以修改uid的功能,为什么可以修改,原因很简单,调用setuid和setgid函数即可,所以以后大家在手机root之后,发现还是不能调用系统的一些api的时候,可以尝试使用su来降权进行调用。

 

七、技术概要

1、关于run-as命令

1)run-as命令的作用是可以查看非root设备的debug应用的沙盒数据

2)从源码分析可以得知,run-as有四个限制:

A>运行的uid限制运行命令的用户id只能是shell和root用户

B>被查看应用的安装必须合法,主要通过分析/data/system/packages.list文件来获知

C>被查看的应用必须是debug模式

D>被查看的应用的uid必须是第三方的安装应用,也就是uid必须大于10000

3)run-as的特殊权限:-rwsr-sr-x root     shell        9440 2016-04-06 17:44 run-as  设置了setuid和setgid位,所以可以访问应 用沙盒数据。

4)run-as的另一个作用就是为调试gdb做了基础。调试必须要附加到目标进程中,那么对于非root设备,只能使用run-as实现

2、Android中关于Linux中的setuid和setgid的使用场景

1)第一个场景就是zygote为每个应用程序进行降权,分析了zygote源码,知道zygote需要对每个fork出来的应用做降权处理, 不然默认都是和zygote一样的权限,也就是root用户了,这样会很危险的。

2)第二场景就是su工具源码,他可以做到设置指定的uid,既可以升权,也可以降权。

3、关于chmod命令的参数详解

既可以支持字母,又可以支持数字,字母和数字有相对应的关系,而且知道Android中的chmod名 只支持数字,不支持字母 的

4、关于Android中如何运行Java代码

1)第一种方式,使用app_process命令直接执行,需要做以下工作:

A>导出可执行的jar文件

B>使用dx命令将class文件转化成dex文件

C>将转化之后的dex文件塞到jar文件中,然后倒入到设备的指定目录

D>设置可执行jar文件到类环境变量中

E>执行app_process命令运行jar文件

2)第二种方式,使用dalvikvm命令直接执行dex文件

5、我们在以后在获取root的情况下,也不能调用系统的一些api,我们可以使用降权来进行处理

6、文章中用到了一些常用工具命令

1)查看一个进程的线程情况:ps -t 进程号

2)查看一个安装应用包的信息:dumpsys packageinfo [packagename]

 

八、总结

总算是分析完了,知识点涉及的有点多,主要是一环扣着一环,本来想只分析run-as命令的用法,结果遇到问题,去分析源码,发现错误的根源之后,去查看他的权限,引出来了Linux中的setuid和setgid问题,了解完了这个知识点之后,发现他在Android中有一些场景用到了,那就继续分析哪些场景,分析完了,之后,我们又解决一个问题,就是如何调用系统中那些有uid限制的api问题,这里通过一个例子来解析问题,引出了Android中如何执行jar文件,好吧,问题总算是结束了,但是写的还是蛮累的。知识点也是很多,希望对你有帮助,就点个大大的赞吧~~

《Android应用安全防护和逆向分析》

点击立即购买:京东  天猫

更多内容:点击这里

关注微信公众号,最新Android技术实时推送

转载请注明:尼古拉斯.赵四 » Android系统篇之—-Android中的run-as命令引出升降权限的安全问题(Linux中的setuid和setgid)

喜欢 (11)or分享 (0)
发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
(1)个小伙伴在吐槽
  1. awesome! 好奇问下,博主真的是两年android的水平吗?之前有没有做过其他的比如linux系统下的开发?
    gaolf2016-05-24 15:30 回复