Android安全之DM-verity中的Device Mapper机制分析

最新推荐文章于 2024-02-23 20:05:36 发布
VIP文章 最新推荐文章于 2024-02-23 20:05:36 发布
阅读量9k 收藏 39
点赞数 6
分类专栏: Android 文章标签: android dev-mapper dm-verity android安全 手机安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mayuming77/article/details/77988637
版权
  • 我们想法:
    1. 能不能将多个硬盘,映射成一个逻辑的硬盘,那样我们程序就不用关心复杂的地址问题了,也不用关系是哪个device了? DM-raid技术RAID全称为独立磁盘冗余阵列(Redundant Array of Independent Disks)
    2. 将某个地址段的数据进行加密,只有授权方式才可访问,比如FDE DM-crypt技术
    3. 访问存储介质上的数据时,校验下是否被篡改过。DM-verity技术。

 

总结一下:DM就是Device-Mapper的缩写,也就说上述的想法都可以基于Device Mapper实现,Device Mapper可不仅仅实现了这些,还包括LVM2DM-multipach等。

 

  • 什么是Device Mapper?
    1. Device Mapper Linux 2.6内核中提供的一种将物理块设备的映射虚拟(逻辑)块设备的框架机制,在该机制下,开发者可以很方便的根据自己的需要制定实现存储资源的管理策略,比如过滤、IO重定向、dm-verity这种hash tree的校验、raid多个磁盘管理等。
    2. Device Mapper在内核中是以一个块设备注册的。映射到Device Mapper框架上的物理设备,通过映射时所选择的方式进行IO处理。
    3. Device mapper本质功能就是根据映射关系和target driver描述的IO处理规则,将IO请求从逻辑设备mapped device转发相应的target device上。

 

举例:我将system分区以dm-verity target方式映射到devicemapper上,当用户程序访问system数据时,要通过device mapper的规则后才能转发到system分区上。

 Device Mapper处于LinuxStorage Stack位置:

 



 

简单点:

 

 


 

  • 理论部分:

Device Mapper在内核中的体系架构:


 

 

从上图就可以看出,Device Mapper有三部分组成,分别有Mapped DeviceMapping TableTarget Device,说此图的时候必须说一下内核设计的哲学,内核设计经常将一个框架实现,给用户态提供尽量少、简单接口来下发策略,内核根据用户态下发策略运行相应机制。Device Mapper机制也不例外:

Mapped Device:又称MD,注意不是DMMD是一个逻辑的抽象设备,用户态可以通过IOCTL访问操作,它通过Mapping Table描述的映射关系与Target Device建立映射关系。

最低0.47元/天 解锁文章
小十九多喝热水
关注
  • 6
    点赞
  • 39
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
(免费)提供 adb -disable-verity 支持
04-04
只是备份。资源来自: https://download.csdn.net/download/Guan_li_peng/87900502 【说明】 此adb工具包包含了adb disable-verity命令,这里免费提供给大家使用,具体可看本人的文章 ”/system/bin/sh: disable-verity: not found 的解决方案“ 【使用方式】 platform-tools解压后即可使用。在cmd通过cd命令进入到platform-tools文件夹,然后输入adb /? 可查看说明。如果你电脑上已经有adb,并且配置了环境变量,可以用这个文件进行替换,或者只替换adb.exe 【其他说明】 platform-tools路径默认在:C:\Users\你的电脑用户名\AppData\Local\Android\Sdk\platform-tools
adb,支持adb disable-verity命令,解锁system分区
01-24
重新编译的支持adb disable-verity命令的adb,通常用于解锁system分区
一文读懂Linux内核Device mapper映射机制
最新发布
kwdecsdn的博客
02-23 314
Linux内核Device mapper映射机制
无 adb disable-verity 命令的adb应用程序
06-13
【说明】 此adb无adb disable-verity命令,如果在cmd输入以上命令会报 /system/bin/sh: disable-verity: not found 的错误。具体可看本人的文章 ”/system/bin/sh: disable-verity: not found 的解决方案“ 【使用方式】 此文件直接放到platform-tools文件夹替换原有的adb.exe即可生效。platform-tools路径默认在:C:\Users\你的电脑用户名\AppData\Local\Android\Sdk\platform-tools 如果你配置了adb的环境变量,还可以直接在cmd输入:adb /? 其第三行就是adb的安装路径。
fs-verity-rs:不使用libfsverity的Rust支持Linux的fs-verity
02-16
fs-verity 此板条箱实现了用于处理Linux内核的fs-verity功能的实用程序。 什么是fs-verity ? 它使您可以使文件永久不变,并使内核为该文件计算并存储基于的哈希,可以立即从该文件检索该哈希。 内核还将再次验证从文件读取的所有数据以及Merkle树数据,如果不匹配,则拒绝读取。 这意味着(只要您信任正在运行的内核),就可以绝对确定此即时可检索的哈希将与您从文件读取的数据匹配。 您应该通过其他方式来确定哈希是否是预期的哈希,例如检查哈希是否在已由某些密钥签名的可接受哈希列表。 内核的fs-verity代码确实实现了基本的(和可选的)内核内签名验证方案。 但是,由于您仍然必须手动检查打开的文件是否启用了fs-verity ,因此它不会增加太多价值,并且可能更多是概念验证。 此板条箱目前不支持此方案。 当前, fs-verity仅在f2fs和ext4文件系统
dm-verity原理剖析
内核工匠
09-10 6030
一、技术模块简介Dm-veritydevice-mapper 架构下的一个目标设备类型, 通过它来保障设备或者设备分区的完整性。Dm-verity类型的目标设备有两个底层设备,一个...
verity:适用于Android的各种dm-verity工具
05-12
适用于Android的经过验证的启动(dm-verity)工具 适用于Android的各种dm-verity工具和脚本。 用于启用验证启动。 有关详细信息,请参见博客文章:
深入理解dm-verity机制
whuzm08的专栏
12-27 3万+
近期做的一个项目,由于客户对安全性要求比较高,涉及到文件系统校验的问题,起初是在ramdisk挂载rootfs后对所有重要的文件检查sha256,但是随着rootfs的逐步增大,发现校验花费的时间太长,竟然达到十几秒,于是就想改用一种方案,首先想到的是整个rootfs校验后在挂载,这样肯定是比一个文件一个文件校验要来得快些,但是项目用的是nandflash,并不是EMMC,所以文件系统只能采用...
Android dm-verity
热门推荐
u011280717的博客
07-09 4万+
Android 的Verified Boot之dm-verity之前做了一个Verified Boot模块相关的工作,但是在网上只有找到google的文档和一个nexus的patch。虽然有patch,但在不同版本的代码上实现起来却可能有一些bug,所以特此记录一下debug这个东西的过程。之前debug的过程一直没找到问题,归根到底还是这个原理没搞清楚就下手,所以我分成原理,接口和应用来说明dm
DM-VERITY流程分析
lieye_leaves的专栏
11-22 2226
dm-verity流程分析
linux安全机制dm-verity
爱她就要努力
11-27 441
Dm-veritydevice-mapper 架构下的一个目标设备类型, 通过它来保障设备或者设备分区的完整性。Dm-verity类型的目标设备有两个底层设备,一个是数据设备(data device), 是用来存储实际数据的,另一个是hash设备(hash device), 用来存储hash数据的,这个是用来校验data device数据的完整性的。
[高通SDM450][Android9.0]默认取消dm-verity以及解决OTA校验vbmeta失败问题
小小码农
05-07 2183
上面关闭dm-verify之后,终于可以直接执行remount了;但是,再打包输入正式固件的时候却发现OTA升级失败了,不管是全量包还是差分包都无法升级,通过cache目录下的日志可以看到报错。从上面的报错可以看到vbmeta跟framework matrix校验失败了,那么就干脆一点,OTA升级的时候,直接关闭校验。这时候,需要先关闭dm-verify,重启,再remount;整个过程过于复杂,于是决定关闭dm-verify。在user版本增加root权限之后,每次进行remount的时候,总会提示。
Android安全启动学习(四):device-mapper-verity (dm-verity)和哈希树
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
10-11 2222
dm-verity是内核子系统的Device Mapper的一个子模块,所以在介绍dm-verity之前先要介绍一下Device Mapper的基础知识。Device Mapper为Linux内核提供了一个从逻辑设备到物理设备的映射框架,通过它,用户可以定制资源的管理策略。当前Linux的逻辑卷管理器如LVM2(Linux Volume Manager 2)、EVMS(Enterprise Volume Mageagement System)、dmraid等都是基于该机制实现的。
Android Verified Boot dm-verity 优化和实战2
求变,从思想开始
06-20 3456
在网上查了很多的资料,有很多写的不错,但很系统的比较少。 我只是按自己的思路把 文档理顺一下。按如下的思路: 问题是什么,原理是什么,具体怎么去解,然后实际的打印log。 问题在前一篇已经写完,已经找到了内核的入口android-verity.c。 这里还是要补充一下dm的原理,否则的话,不管是别人写的文档还是下面写的东西,...
Linux块设备加密之dm-crypt分析
SonicLing的专栏
03-25 1万+
相关的分析工作一年前就做完了,一直懒得写下来。现在觉得还是写下来,以来怕自己忘记了,二来可以给大家分享一下自己的研究经验。 这篇文章算是《Device Mapper代码分析》的后续篇,因为dm-crypt是基于dm框架的,因此与上一篇一样,也以2.6.33内核代码为基础来讲述代码的分析过程。但是本文侧重点不同在于着重分析一下三个方面: 1、Linux密码管理 2、dm-crypt到与Linux密码的关联 3、dm-crypt的异步处理 一、Linux密码管理 Linux内核,密码相关的
DM-Verity整体流程
smj15263180896的博客
11-07 328
2.2.2 sudo veritysetup format A_1_6_gos0-fs_targetfs.img A_1_6_gos0-fs_targetfs.img --data-blocks 5767168 --hash-offset 23622320128 (生成文件data+hash)2.2 进入nv产出包 out_new1 在tii-a 和tii-b 生成加密 A_1_6_gos0-fs_targetfs.img。2.1 制作nv包,获得 A_1_6_gos0-fs_targetfs.img。
android dm-verity 功能
ee230的专栏
06-16 1万+
Android dm-verity 实现原理深入研究 思维导图: dm-verity 说明:源码基于 SC20 平台 Android5.1 Android dm-verify overview 目录 Android dm-verify overview.. 1 一、原理… 1 与Verified Boot关系… 1 dm-verity. 1 作用分区… 2 二、模
解锁BL后 显示dm-verity corruption your device is corrupt 解决办法-去除显示dm-verity corruption MTK
z920981023的博客
03-10 2万+
dm-verity corruption your device is corrupt dm-verity corruptionYour device is corrupt.It can't be trusted and may not work properly.Press power botton to continue.Or,device will power off in 5s 在实践 note9 5G K30U K40G NOTE10 NOTE10PRO NOTE11 NOTE11Pro
Android如何 如何关闭 DM-verity
cczhengv
10-09 2万+
[DESCRIPTION] 在需要对image文件(如system.img)等进行解包->修改->打包->烧录后,可能会出现无法开机的现象。 这个问题主要是受到了DM-Verity的影响。 从P版本开始,DM-Verity由vboot1.0 更新到了 avb2.0,dm-verity 的关闭标志也从system image 的dm-verity metadata(vboot1.0...
linux dm-verity源码解析
08-13
### 回答1: Linux dm-verity是一个Linux内核模块,用于对块设备进行数据完整性校验。它通过使用哈希函数和预先计算的哈希树来实现校验,可以防止恶意修改或篡改块设备的数据。 dm-verity的源代码位于Linux内核的"drivers/md/dm-verity.c"文件。该文件包含了实现dm-verity功能所需的所有函数和数据结构。 dm-verity的主要流程如下: 1. 初始化:在加载模块时,dm-verity会注册自己为块设备处理器,并初始化一些数据结构和参数。 2. 设置参数:当用户通过命令行或者sysfs文件系统设置dm-verity参数时,dm-verity会解析这些参数并存储到对应的数据结构。 3. 启动校验:当用户通过命令行或者sysfs文件系统启动dm-verity时,dm-verity会从块设备读取哈希树,并使用哈希函数进行校验。 4. 处理请求:当用户对块设备发出读写请求时,dm-verity会拦截这些请求并进行数据校验。如果数据完整,则将请求转发到原始的块设备;如果数据不完整,则返回错误 ### 回答2: Linux dm-verity是一种用于数据完整性校验的Linux内核模块。它通过计算数据块的校验值,确保数据在存储或传输过程没有被篡改。下面对dm-verity的源码进行解析。 dm-verity的源码位于Linux内核的源码树的drivers/md/dm-verity目录下。主要的源码文件包括verity_target.c、verity_blk.c和verity_metadata.c。 verity_target.c文件实现了dm-verity的核心逻辑。它定义了用于创建和管理verity设备的API接口函数。在这个文件dm-verity模块会将读取和写入请求传递给真实的存储设备,并使用verity_blk.c的函数来计算和验证数据的校验值。它还负责处理校验失败的情况,例如将读取请求重定向到镜像设备。 verity_blk.c文件实现了校验块设备的功能。它使用了基本块设备的API函数,例如bio和request_queue,来处理请求。在这个文件,校验模块会计算每个数据块的哈希值,将其与元数据的预期值进行比较,并确定数据的完整性。这个过程是通过使用散列函数和加密算法来计算和比较校验值的。 verity_metadata.c文件定义了元数据的结构和操作函数。元数据是用于存储每个数据块的哈希值和其他校验相关信息的地方。它使用了dm自带的二叉树数据结构来组织数据块。 除了这些源码文件,dm-verity还涉及到一些其他的文件,如kconfig和Makefile等。这些文件用于配置和编译dm-verity模块,并将其与Linux内核进行集成。 总结起来,Linux dm-verity源码的解析涉及到多个文件,用于实现数据完整性校验的各个方面,包括读写请求的管理、校验值的计算和验证、元数据的存储等。通过分析这些源码文件,我们可以更深入地了解dm-verity模块的工作原理和实现细节。 ### 回答3: DM-Verity 是一种用于保护 Linux 文件系统完整性的技术。它基于数据验证和完整性保护,可防止篡改和数据损坏。DM-Verity的源代码解析可以帮助我们了解其工作原理和实现细节。 DM-Verity 的源代码主要分为两个部分:内核模块和用户空间工具。 内核模块部分是通过 Linux 内核的 Device MapperDM)框架实现的。它包含了核心的验证逻辑,在存储设备的块层进行数据验证。DM-Verity使用 Merkle 树的数据结构来计算和验证每个块的哈希值,这些哈希值存储在一个元数据区域。当读取文件时,DM-Verity会对读取的数据块进行哈希计算,并与元数据的哈希进行比对,以验证数据的完整性。如果哈希不匹配,则说明数据已被篡改。 用户空间工具部分提供了一套命令行工具来配置和管理 DM-Verity。主要的工具有 veritysetup 和 fsverityctl。veritysetup用于创建和配置DM-Verity设备,包括进行根文件系统的完整性保护。fsverityctl用于管理和查询已配置的 DM-Verity 设备,提供了一些实用的操作,比如启用和禁用 DM-Verity,查询校验结果等。 通过分析 DM-Verity 的源代码,我们可以了解到其实现的核心原理和具体实现细节。例如,可以了解到 DM-Verity 是如何在内核通过设备映射层实现数据验证和完整性保护的。此外,还可以学习到DM-Verity如何使用 Merkle 树来计算和验证数据块的哈希值,以及如何通过元数据区域存储和管理这些哈希值。对于学习和理解 Linux 文件系统的完整性保护机制以及数据安全性的提升,DM-Verity的源代码解析是非常有价值的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值