原创] 初探安卓隐藏Bootloader锁

初探安卓隐藏Bootloader锁https://bbs.kanxue.com/thread-278445.htm 做完硬件断点记录器后就开始研究如何隐藏Android的Bootloader锁了,当然最近没啥兴趣继续研究了,把目前为止的思路发出来 首先想到的一个方向是要先spoof安卓Setting里的oemlock status 收集所需信息 在aoxpxref网站上搜索 bootloader unlocked 看到一个可疑的文件 /frameworks/base/core/java/android/service/oemlock/OemLockManager.java xref 找到 /frameworks/base/services/core/java/com/android/server/oemlock/OemLockService.java 看到函数 1 2 3 4 5 6 7 8 9 10 11 12 13 private static final String FLASH_LOCK_PROP = "ro.boot.flash.locked"; private static final String FLASH_LOCK_UNLOCKED = "0" public boolean isDeviceOemUnlocked() { enforceOemUnlockReadPermission(); String locked = SystemProperties.get(FLASH_LOCK_PROP); switch (locked) { case FLASH_LOCK_UNLOCKED: return true; default: return false; } } 可以看到Setting检测的是系统属性 ro.boot.flash.locked 来判断Bootloader是否解锁 AOSP搜索ro.boot.flash.locked,发现/system/core/init/init.cpp 有初始化该属性值的代码 1 2 3 4 5 6 7 8 static void export_oem_lock_status() { if (!android::base::GetBoolProperty("ro.oem_unlock_supported", false)) { return; } SetProperty( "ro.boot.flash.locked", android::base::GetProperty("ro.boot.verifiedbootstate", "") == "orange" ? "0" : "1"); } ro.boot.flash.locked 的值是受到 ro.boot.verifiedbootstate 的值影响 google搜了一下后面的这个属性,发现这个属性可能的值有red,orange,yellow,green 看到一个隐藏bl锁的github项目 https://github.com/topjohnwu/Magisk/blob/3c04dab47274e9bbbfb3ddd1fcf71c929c8ed0c0/native/jni/magiskhide/hide_policy.cpp#L12 看到替换表 1 2 3 4 5 6 7 8 9 10 11 12 13 static const char *prop_key[] = { "ro.boot.vbmeta.device_state", "ro.boot.verifiedbootstate", "ro.boot.flash.locked", "ro.boot.veritymode", "ro.boot.warranty_bit", "ro.warranty_bit", "ro.debuggable", "ro.secure", "ro.build.type", "ro.build.tags", "ro.vendor.boot.warranty_bit", "ro.vendor.warranty_bit", "vendor.boot.vbmeta.device_state", nullptr }; static const char *prop_val[] = { "locked", "green", "1", "enforcing", "0", "0", "0", "1", "user", "release-keys", "0", "0", "locked", nullptr }; 可以确定green是bl未解锁,还有一个 ro.boot.vbmeta.device_state 要改成locked状态,实机看这个属性解锁bl状态下是unlocked,除了前三个之外其他属性解bl之后没变 还有 googleplay service 的验证 https://developer.android.com/training/safetynet/attestation https://developer.android.com/google/play/integrity/overview 对应的解决方案是 https://github.com/kdrag0n/safetynet-fix 这个问题不大,国内又不用googleplay service 总结需要修改的信息 按照上述总结一下,隐藏bl锁需要修改以下属性 Property Value ro.boot.flash.locked 1 ro.boot.verifiedbootstate green ro.boot.vbmeta.device_state locked 寻找修改Property的方法 Java层最终会调用native_get方法获取Property的值 顺着native_get 找到函数__system_property_find 这个是用户层标准的获取property值的函数,来自libc.so,往下翻就是android property系统的实现了,可以看这篇文章 https://bbs.kanxue.com/thread-274100.htm 进用户层初始化property service的地方 /system/core/init/property_service.cpp 找到函数 PropertyInit 从名字猜测这是init进程初始化系统基本property值的地方,ProcessBootconfig和ProcessKernelCmdline最后是通过读取/proc/bootconfig和/proc/cmdline调用_system_property_add来设置ro.boot.verifiedbootstate和ro.boot.vbmeta.device_state的值 cat一下这两个设备文件,确实有相关信息 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 adb shell su -c cat /proc/bootconfig androidboot.hardware = "qcom" androidboot.memcg = "1" androidboot.usbcontroller = "a600000.dwc3" androidboot.bootdevice = "1d84000.ufshc" androidboot.boot_devices = "soc/1d84000.ufshc" androidboot.prjname = "22803" androidboot.startupmode = "pwrkey" androidboot.mode = "normal" androidboot.product.hardware.sku = "0" androidboot.hw_region_id = "1" androidboot.serialno = "xxxxxxx" androidboot.baseband = "msm" androidboot.dtbo_idx = "12" androidboot.dtb_idx = "1" androidboot.force_normal_boot = "0" androidboot.fstab_suffix = "default" androidboot.verifiedbootstate = "orange" androidboot.keymaster = "1" androidboot.vbmeta.device = "PARTUUID=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx" androidboot.vbmeta.avb_version = "1.0" androidboot.vbmeta.device_state = "unlocked" androidboot.vbmeta.hash_alg = "sha256" androidboot.vbmeta.size = "23232" androidboot.vbmeta.digest = "xxxxx" androidboot.vbmeta.invalidate_on_error = "yes" androidboot.veritymode = "enforcing" androidboot.slot_suffix = "_a" 我想到了三个思路 在内核层修改/proc/bootconfig和/proc/cmdline的内容 对_system_property_add下硬件断点,回调里修改value的参数 修改/dev/properties/u:object_r:bootloader_prop:s0里的信息 第一个思路 kernel版本 5.10.168 路径/common/fs/proc/bootconfig.c 中的proc_boot_config_init 函数初始化了/proc/bootconfig的输出,顺着全局变量 xbc_data 找到系统获取bootconfig的地方/common/init/main.c -> setup_bootconfig , 可以看到bootconfig是从initrd里拿的 将返回的data copy进全局变量,然后由驱动打印出来看到数据 1 2 www1@www1s-Mac-mini ~ % adb shell su -c dmesg | grep "\[+" [ 0.278576] [+] androidboot.hardware=qcom\x0aandroidboot.memcg=1\x0aandroidboot.usbcontroller=a600000.dwc3\x0a\x0aandroidboot.bootdevice=1d84000.ufshc\x0aandroidboot.boot_devices=soc/1d84000.ufshc\x0aandroidboot.prjname=22803\x0aandroidboot.startupmode=hard_reset\x0aandroidboot.mode=normal\x0aandroidboot.product.hardware.sku=0\x0aandroidboot.hw_region_id=1\x0aandroidboot.serialno=xxxxxxxx\x0aandroidboot.baseband=msm\x0aandroidboot.dtbo_idx=12\x0aandroidboot.dtb_idx=1\x0aandroidboot.force_normal_boot=0\x0aandroidboot.fstab_suffix=default\x0a\x0aandroidboot.verifiedbootstate=orange\x0aandroidboot.keymaster=1\x0aandroidboot.vbmeta.device=PARTUUID=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx\x0aandroidboot.vbmeta.avb_version=1.0\x0aandroidboot.vbmeta.device_state=unlocked\x0aandroidboot.vbmeta.hash_alg=sha256\x0aandroidboot.vbmeta.size=23232\x0aandroidboot.vbmeta.digest=xxxxxxxxxxxxx\x0aandroidboot.vbmeta.invalidate_on_error=yes\x0aandroidboot.veritymode=enforcing\x0aandroidboot.slot_suffix=_a\x0a\x0d 尝试文本替换 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 void regen_bootcfg(char* buffer) { char * pos; pos = strstr(buffer, "verifiedbootstate=orange"); if(pos) { memcpy(pos,"verifiedbootstate=green\n",24); } pos = strstr(buffer, "vbmeta.device_state=unlocked"); if(pos) { memcpy(pos,"vbmeta.device_state=locked\n\n",28); } pos = strstr(buffer, "xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx"); if(pos) { memcpy(pos,"xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxx1",36); } } 实验发现替换 uuid 和 vbmeta.device_state 系统正常启动,一旦修改 verifiedbootstate 系统就无法启动了,第一个思路就结束在这里了 第二个思路 先说结果: 成功了!!!!!! 安卓的linker使用的是mmap映射的elf文件,hook do_mmap的返回处,判断pgoff和filepath就能拦截到init进程加载libc.so,在这个时机里对_system_property_add函数下execute hook, 1 2 3 4 5 6 7 8 9 10 11 12 13 14 void rwhandler_hidebl_mmap_callback(unsigned long addr,struct file *file) { char fullpath[1024]; char *path = d_path(&file->f_path, fullpath, 1024); if( path && !strcmp(path,"/system/lib64/bootstrap/libc.so") && current->pid == 1) { rwhandler_start_debug(); rwhandler_set_hbp(1,addr+0x90430,4,HW_BREAKPOINT_X); printk("task = %s file = %s addr = %llX\r\n",current->comm,path,addr); } } hook回调里对参数进行简单处理 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 static const char *hide_props[]={"ro.boot.verifiedbootstate","ro.boot.vbmeta.device_state",NULL}; static char *hide_value[]={"green","locked",NULL}; static bool hidebl_hbpcallback(struct perf_event *bp, struct perf_sample_data *data, struct pt_regs *regs) { if(current->pid == 1) { char key[100]; unsigned long keyaddr = regs->regs[0]; unsigned long varaddr = regs->regs[2]; memset(key, 0, 100); printk("[+] init hit pc = %llX x0 = %llX x1 = %llX\r\n", regs->pc,regs->regs[0],regs->regs[1]); keyaddr &= 0xFFFFFFFFFFFFFF; varaddr &= 0xFFFFFFFFFFFFFF; if(rwhandler_read_memory( 1, (unsigned long)keyaddr, key, 99)>0) { char value[100]; memset(value, 0, 100); printk("[+] value = %llX\r\n",*(uint64_t*)key); printk("[+] init key = %s\r\n",key); if(rwhandler_read_memory( 1, (unsigned long)varaddr, value, 99)>0) { int idx = 0; printk("[+] init value = %s\r\n",value); while(hide_props[idx]) { if(!strcmp(key,hide_props[idx])) { if(rwhandler_do_ptrace_write(1, varaddr, hide_value[idx], strlen(hide_value[idx])+1)) { regs->regs[3]=strlen(hide_value[idx]); } break; } idx++; } } } return true; } return false; }; 修改成功 成功 Spoof Setting 结尾 第三个方法暂时没试过,感兴趣的可以试试看 有空就把第二个思路用kprobe来实现hook,包装成驱动连带硬件断点记录器分别开源到github上 刚入坑安卓,如有不对的地方或者有其他方法检测bl锁请大佬们在评论区指出!!! [培训]科锐软件逆向50期预科班报名即将截止,速来!!! 50期正式班报名火爆招生中!!!

留言

張貼留言

這個網誌中的熱門文章

⚡️有用的鏈接⚡️

圖片
  聯盟營銷者的有用鏈接的集合,保存到書籤! 如果要進入集合,請寫信給Telegram: @  StalkerOK 自動化   從    免費    FBTOOL   海豚    折扣    訂單    折扣    RKGEN    免費     免費  組合   AdPusher   青裡   eLama   瑪麗蓮   馬林軟件   防檢測   AEZAKMI    折扣    swSpyBrowser    折扣     AdsPower    折扣    AntBrowser   獎金      LinkenSphere    折扣    Incogniton    10 FREEP。    靛青   多登錄   OctoBrowser   多瀏覽器   GoLogin   幽靈瀏覽器   反檢測   龜尾   Accovod    折扣    史詩隱私瀏覽器   欺詐狐狸     泄殖腔   降低    折扣    IMKLO    折扣    隱藏。單擊“    折扣”    StopFraudClick    折扣    FairLab    折扣    黑洞    折扣    期望    折扣    交通裝甲   欺詐過濾器   只是披風   鉛斗篷   追踪器   慶太郎    折扣    Binom    折扣    AdsBridge    折扣    BeMob    折扣    對等點擊   宙斯軌道   CPA追踪器   體積   OctoTracker   RedTrack   zTDS    免費    ThriveTracker   CPV實驗室   ClickerVolt   金都拉   ClickGum   AnyTrack   登陸軌道   漏斗流量   ClickMagick   TrackWill   間諜服務   AdHeart   折扣    發行人    折扣    Facebook圖書館   AdSpy    折扣    ADLover    折扣    先進技術   AdPlexity    折扣    AdMobiSpy   折扣      金剛鸚鵡   折扣      SpyOver    折扣    間諜   折扣      Boost2Pro    免費    社交廣告偵察員   AdEspresso  
閱讀完整內容

DeepNude 2.0 – Deepnude AI算法一键脱衣,绿色破解版,免费下载

圖片
  最近很火的国外的AI算法脱衣软件:DeepNude 2.0, Deepnude AI算法“脱”衣服,官方售价50美元(现已下架),该版本未绿色破解付费版,无水印。感兴趣的朋友可下载尝试,对正面识别还好,侧面识别不太理想。 识别出来图片有些模糊,结合另一款 AI图片无损放大软件Topaz Gigapixel AI 与  Luminar AI一键智能修图软件 ,效果完美! DeepNude一键脱衣使用演示 软件使用说明: 1、软件为绿色版,不用安装直接解压运行DeepNude.exe即可使用。 2、需要注意软件所有文件目录层级不允许出现中文名字,处理的图片不易过大,图片不允许出现中文名字,否则容易闪退。 软件截图: 下载地址: 原始文件被人举报,文件链接失效,已重新压缩后给大家分享, 请勿在线解压,容易失效。 2020-10-11 文件重新压缩上传,下方为下载地址。 百度网盘  密码:23uj    解压密码: vipc6.com 2020-10-30 补充:https://pan.baidu.com/s/1PWNrlHR62ZzzAz6io8DSQg#list/path=%2F 一键脱衣DeepNude软件解压演示 部分网友评论说解压密码错误或者不会解压,文件亲测保证可用。请把文件全部下载到本地之后解压,解压密码全部小写,不要有空格,请参考上图,如有疑问,欢迎评论。
閱讀完整內容

15 種 SMS 激活服務 - 通過 SMS 激活的號碼(免費和付費)

圖片
  該列表包括目前沒有號碼可用性問題的服務,可以免費接收 SMS。 馬上收藏這篇文章,或者去你的頻道,100% 會派上用場,我回答。 sms-activate.org  是最受歡迎的服務之一。 您可以購買 76 個網站的號碼。 提供來自 185 個國家/地區的號碼。 對於大多數 GEO,可以選擇運營商。 對於FB,我們建議不要拿虛擬號,要拿實體號。 sim 短信正常。 5sim.net 是一項向虛擬號碼接收短信的服務。 適用於許多流行的平台。 186 個國家/地區可提供訂購編號。 Grizzly SMS  是一種出售一次性電話號碼以激活所有已知社交網絡、服務和即時消息程序中的帳戶的服務。 來自世界上 100 多個國家/地區的號碼。 OnlineSIM  是 2013 年推出的一項服務。 您可以訂購許多熱門網站和應用程序的號碼。 49 個國家可用。 VAK-sms.com  是一項相對年輕的即時 SMS 接收服務。 您可以購買來自 6 個國家/地區的號碼。 90 多個站點正在運行。 SimSMS.ORG  是一項短信激活服務。 您可以從 49 個可能的國家中訂購任何國家的號碼。 與 100 多個站點合作。 SMS-REG.com  是最古老的 SMS 消息接收服務之一。 該武器庫包括來自 4 個國家(俄羅斯、烏克蘭、哈薩克斯坦和中國)的號碼。 他們接收來自 30 個服務的消息。 SMS-acktiwator.ru  是 2013 年推出的短信激活服務。 SMS-MAN  是一種用於接收 SMS 消息的虛擬號碼服務。 提供一次性接收短信和租號服務。 2300 多種可用資源,來自 182 個國家/地區的號碼。  cheapsms.ru 是一個強大的激活器,用於租用高質量和廉價的虛擬號碼,用於在社交網絡上註冊任何服務和帳戶。 sms-online.pro 是一項絕對平庸的服務,不起眼,但順其自然。 receivesms.store  - 我不知道我為什麼要寫這個了,最合適的服務是這個列表中的前 5 個,為什麼你需要這個,例如,沒有任何線索。 getsms.online  - 我愚蠢地需要佈置盡可能多的服務以便在標題中寫一個很酷的數字,事實上這是另一個無用但有效的服務。 kopeechka.store   - 嗯,順便說一句,在寫這篇文章的時候,我想起了它。 SMS 很受歡迎
閱讀完整內容