Android9开机启动与FBE过程完整介绍与LOG流程

已于 2023-12-22 16:20:29 修改
阅读量1k 收藏 5
点赞数
文章标签: 服务器 前端 网络 linux android
于 2023-08-14 15:05:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/suixin______/article/details/132276211
版权

一,开机整体流程概述

Init进程作为Android的第一个user space(用户空间)的进程,它是所有 Android 系统 native service 的祖先,它的进程号是 1。

init进程工作分为第一阶段和第二阶段。

二,init fisrt stage 

代码参考: http://androidxref.com/9.0.0_r3/xref/system/core/init/init.cpp 

init第一阶段都是为第二阶段准备的工作,主要工作如下:

  • ueventd/watchdogd跳转以及其它初始化
  • 挂载基础文件系统并创建目录
  • 初始化日志输出(InitKernelLogging)
  • 挂载分区设备 (mount fstab)
  • 启用SELinux安全策略
  • 开始第二阶段前的准备。

1, ueventd跟watchdogd

从init进程的Android.bp可以看到,ueventd跟watchdogd都是Init进程的软连接。

symlinks: [
"sbin/ueventd",
"sbin/watchdogd",
],

ueventd进程用来管理设备,如果有新设备插入,就会在/dev创建对应的设备文件。ueventd会fork一个新的子进程做检测工作。

watchdogd进程是看门狗程序,每隔一段时间通过系统调用write向内核看门狗设备发一个信息,以确保系统正常运行。

2,挂载基础文件,创建目录。

3,InitKernelLogging

init进程是用户空间进程,为了把LOG打印到Kernel log里面,需要初始化InitKernelLogging。InitKernelLogging的源码路径是 system/core/init/log.cpp,该函数首先是将标准输入输出重定向到"/sys/fs/selinux/null",然后调用InitLogging初始化log日志系统。

4,DoFirstStageMount

http://androidxref.com/9.0.0_r3/xref/system/core/init/init_first_stage.cpp   DoFirstStageMount()
Cross Reference: /system/core/fs_mgr/fs_mgr_fstab.cpp (androidxref.com)

fs_mgr流程是先从启动命令行中获取bootdir 拼接字符串得到 fstab的位置 

通过mount fstab,加载UFS中 system vendor 分区文件系统。

三,init second stage

1,加载system vendor 分区的selinux规则

2,初始化Property与property_service

      加载property service是因为init.rc 很多触发时机是通过property 回调执行的。

3,加载system vendor各种init.rc脚本

4,解析init.rc 

     下面为各个section的执行顺序,英文编号的section是系统内建的,数字是可客制化的。

1) early-init

a) wait_for_coldboot_done

b) property_init

c) keychord_int

d) console_init

e) set_init_properties

2) init

3) early-fs

4) fs

5) post-fs

6) post-fs-data

f) property_service_init

g) signal_init

h) check_startup

7) early-boot

8) boot

9) hal

10) core

11) service

5,其中解析厂商的规则

其中高通的init.target.rc中:

on fs
# exec u:r:vendor_init:s0 -- /vendor/bin/init.qti.getbootdevice.sh
mount_all /vendor/etc/fstab.qcom

 挂载/data分区。此过程结果接下面第四章节FBE过程。

四,FBE过程

1, 进入FBE加密

解析脚本installkey /data准备对data分区加密。加密方式有多种,本例说FBE加密。

384on post-fs-data
385    # We chown/chmod /data again so because mount is run as root + defaults
386    chown system system /data
387    chmod 0771 /data
388    # We restorecon /data in case the userdata partition has been reset.
389    restorecon /data
390
391    # Make sure we have the device encryption key.
392    start vold
393    installkey /data

Cross Reference: /system/vold/KeyUtil.cpp (androidxref.com) 

119bool installKey(const KeyBuffer& key, std::string* raw_ref) {
120    // Place ext4_encryption_key into automatically zeroing buffer.
121    KeyBuffer ext4KeyBuffer(sizeof(ext4_encryption_key));
122    ext4_encryption_key &ext4_key = *reinterpret_cast<ext4_encryption_key*>(ext4KeyBuffer.data());
123
124    if (!fillKey(key, &ext4_key)) return false;
125    *raw_ref = generateKeyRef(ext4_key.raw, ext4_key.size);
126    key_serial_t device_keyring;
127    if (!e4cryptKeyring(&device_keyring)) return false;
128    for (char const* const* name_prefix = NAME_PREFIXES; *name_prefix != nullptr; name_prefix++) {
129        auto ref = keyname(*name_prefix, *raw_ref);
130        key_serial_t key_id =
131            add_key("logon", ref.c_str(), (void*)&ext4_key, sizeof(ext4_key), device_keyring);
132        if (key_id == -1) {
133            PLOG(ERROR) << "Failed to insert key into keyring " << device_keyring;
134            return false;
135        }
136        LOG(DEBUG) << "Added key " << key_id << " (" << ref << ") to keyring " << device_keyring
137                   << " in process " << getpid();
138    }
139    return true;
140}
141

init.rc 进入encrypt 状态

on property:vold.decrypt=trigger_encryption

start encrypt 

查看vdc.rc,通过exec 加上参数调用自己:

# One shot invocation to deal with encrypted volume.
on defaultcrypto
    exec - root -- /system/bin/vdc --wait cryptfs mountdefaultencrypted
    # vold will set vold.decrypt to trigger_restart_framework (default
    # encryption) or trigger_restart_min_framework (other encryption)

# One shot invocation to encrypt unencrypted volumes
on encrypt
    start surfaceflinger
    exec - root -- /system/bin/vdc --wait cryptfs enablecrypto
    # vold will set vold.decrypt to trigger_restart_framework (default
    # encryption)
vdc是个可执行文件,实际上功能不是vdc实现的,vdc是通过binder给VOLD发送响应的消息来实现的。具体代码跳过。

FBE相关技术参考下面文档

【数据安全】4. Android 文件级加密(File-based Encryption)之密钥管理_android fbe_zs.w的博客-CSDN博客

2,创建用户0

/system/core/rootdir/init.rc 中,on post-fs-data最后一个步骤是创建用户0:

on post-fs-data
    init_user0
查看 这个动作的代码/system/core/init/builtins.cpp,也是调用vdc来完成:
static Result<Success> do_init_user0(const BuiltinArguments& args) {
    return ExecWithRebootOnFailure(
        "init_user0_failed",
        {{"exec", "/system/bin/vdc", "--wait", "cryptfs", "init_user0"}, args.context});
}

​
和前面一样,VDC也是给vold发送消息,过程不再细说。

五,Android相关加载过程介绍

android加载两部分,一部分是在native 时候加载的,如surfaceflinger, ServiceManager, MediaServer。主要是为了完成跨进程通信和播放开机动画。不影响开机动画的服务由SystemServer加载。

service surfaceflinger /system/bin/surfaceflinger
    class core animation
    user system
    group graphics drmrpc readproc
    onrestart restart zygote

对应init.rc的脚本

on boot
    # Start standard binderized HAL daemons
    class_start hal

    class_start core

on nonencrypted
    class_start main
    class_start late_start

第二部分是zygote完成的加载,这部分网络资料很多,不再继续描述。

六,开机过程LOG介绍

为了让vold log打印在kernel log中,需要修改一下vold与kernel printk.

system/vold/main.cpp修改一下:

int main(int argc, char** argv) {
    atrace_set_tracing_enabled(false);
    if (getppid() == 1) {
        // If init is calling us then it's during boot and we should log to kmsg
        android::base::InitLogging(argv, &android::base::KernelLogger);
    } else {
        setenv("ANDROID_LOG_TAGS", "*:v", 1);
        android::base::InitLogging(argv, android::base::LogdLogger(android::base::SYSTEM));
    }

kernel/msm-4.14/kernel/printk/printk.c  删掉两行限制kernel log打印

static ssize_t devkmsg_write(struct kiocb *iocb, struct iov_iter *from)
{
	char *buf, *line;
	int level = default_message_loglevel;
	int facility = 1;	/* LOG_USER */
	struct file *file = iocb->ki_filp;
	struct devkmsg_user *user = file->private_data;
	size_t len = iov_iter_count(from);
	ssize_t ret = len;

	if (!user || len > LOG_LINE_MAX)
		return -EINVAL;

	/* Ignore when user logging is disabled. */
	if (devkmsg_log & DEVKMSG_LOG_MASK_OFF)
		return len;

	/* Ratelimit when not explicitly enabled. */
	if (!(devkmsg_log & DEVKMSG_LOG_MASK_ON)) {
        //删掉下面两行
		//if (!___ratelimit(&user->rs, current->comm))
		//	return ret;
	}

LOG打印参考

#这可以看作LINUX启动标志
01-01 08:00:00.000     0     0 I         : Booting Linux on physical CPU 0x0
01-01 08:00:00.016     0     0 I SELinux : Initializing.
#VFS加载后,可以进入第一阶段挂载文件系统
01-01 08:00:02.484     0     0 I VFS     : Mounted root (ext4 filesystem) readonly on device 253:0.
01-01 08:00:02.489     0     0 I         : Freeing unused kernel memory: 6144K
01-01 08:00:02.514     0     0 I init    : init first stage started!
01-01 08:00:02.515     0     0 I init    : Using Android DT directory /proc/device-tree/firmware/android/
01-01 08:00:02.520     0     0 I init    : [libfs_mgr]fs_mgr_read_fstab_default(): failed to find device default fstab
01-01 08:00:02.790     0     0 I         : init (266) used greatest stack depth: 13264 bytes left
01-01 08:00:02.793     0     0 I init    : [libfs_mgr]Enabling dm-verity for vendor (mode 0)
01-01 08:00:02.798     0     0 I device-mapper: verity: sha256 using implementation "sha256-ce"
01-01 08:00:02.816     0     0 I init    : [libfs_mgr]__mount(source=/dev/block/dm-0,target=/vendor,type=ext4)=0: Success
01-01 08:00:02.817     0     0 I init    : Skipped setting INIT_AVB_VERSION (not in recovery mode)
01-01 08:00:02.819     0     0 I init    : Loading SELinux policy
01-01 08:00:03.856     0     0 I selinux : SELinux: Loaded file_contexts
#/system与/vendor挂载后,可以开始解析里面的.rc文件
01-01 08:00:03.863     0     0 I init    : init second stage started!
01-01 08:00:03.996     0     0 I init    : Parsing file /init.rc...

01-01 08:00:05.114     0     0 I init    : processing action (early-init) from (/init.rc:14)
01-01 08:00:05.122     0     0 I init    : starting service 'ueventd'...

01-01 08:00:05.576     0     0 I ueventd : Coldboot took 0.372 seconds
01-01 08:00:05.582     0     0 I init    : wait for '/dev/.coldboot_done' took 239ms

01-01 08:00:05.683     0     0 I init    : processing action (SetMmapRndBits) from (<Builtin Action>:0)
01-01 08:00:05.685     0     0 I init    : processing action (SetKptrRestrict) from (<Builtin Action>:0)
01-01 08:00:05.686     0     0 I init    : processing action (keychord_init) from (<Builtin Action>:0)
01-01 08:00:05.688     0     0 E init    : could not open /dev/keychord: No such file or directory
01-01 08:00:05.689     0     0 I init    : processing action (console_init) from (<Builtin Action>:0)
01-01 08:00:05.690     0     0 I init    : processing action (init) from (/init.rc:41)

01-01 08:00:05.788     0     0 I init    : processing action (late-init) from (/init.rc:278)
01-01 08:00:05.790     0     0 I init    : processing action (late-init) from (/system/etc/init/atrace.rc:3)
01-01 08:00:05.798     0     0 I init    : processing action (queue_property_triggers) from (<Builtin Action>:0)
01-01 08:00:05.801     0     0 I init    : processing action (early-fs) from (/vendor/etc/init/hw/init.target.rc:46)
01-01 08:00:05.808     0     0 I init    : processing action (fs) from (/vendor/etc/init/hw/init.target.rc:54)

#开始挂载/data分区
01-01 08:00:07.060     0     0 I init    : Command 'mount_all /vendor/etc/fstab.qcom' action=fs (/vendor/etc/init/hw/init.target.rc:56) took 1248ms and succeeded

#启动servicemanager等
01-01 08:00:07.218     0     0 I init    : Command 'load_system_props' action=post-fs (/init.rc:317) took 124ms and succeeded
01-01 08:00:07.219     0     0 I init    : starting service 'logd'...
01-01 08:00:07.223     0     0 I init    : starting service 'servicemanager'...
01-01 08:00:07.226     0     0 I init    : starting service 'hwservicemanager'...
01-01 08:00:07.227     0     0 I init    : Created socket '/dev/socket/logd', mode 666, user 1036, group 1036
01-01 08:00:07.230     0     0 I init    : starting service 'vndservicemanager'...

#init.rc处理 post-fs-data 执行installkey /data 启动vdc 开始FBE加密
01-01 08:00:07.325     0     0 I init    : processing action (post-fs-data) from (/init.rc:384)
01-01 08:00:07.348     0     0 I init    : starting service 'exec 4 (/system/bin/vdc --wait cryptfs enablefilecrypto)'...
01-01 08:00:07.423     0     0 I vold    : e4crypt_initialize_global_de
01-01 08:00:07.424     0     0 I vold    : Creating new key in /data/unencrypted/key

#根据init.rc on post-fs-data最后动作,创建user0
01-01 08:00:07.635     0     0 I init    : starting service 'exec 5 (/system/bin/vdc --wait cryptfs init_user0)'...
01-01 08:00:07.778     0     0 I vold    : Policy for /data/system_de/0 set to 74252c5158d80351 modes 127/4
01-01 08:00:07.779     0     0 I vold    : Policy for /data/misc_de/0 set to 74252c5158d80351 modes 127/4
01-01 08:00:07.781     0     0 I vold    : Policy for /data/vendor_de/0 set to 74252c5158d80351 modes 127/4
01-01 08:00:07.782     0     0 I vold    : Policy for /data/user_de/0 set to 74252c5158d80351 modes 127/4

#启动zygote
01-01 08:00:07.985     0     0 I init    : processing action (ro.crypto.state=encrypted && ro.crypto.type=file && zygote-start) from (/init.rc:575)
01-01 08:00:07.987     0     0 I init    : starting service 'update_verifier_nonencrypted'...

#后面进入android server与APP启动阶段。最后到boot_completed进入桌面。
01-01 08:00:08.023     0     0 I init    : starting service 'zygote'...
01-01 08:00:08.442   385   385 D AndroidRuntime: >>>>>> START com.android.internal.os.ZygoteInit uid 0 <<<<<<
01-01 08:00:08.442   385   385 I boot_progress_start: 8442
01-01 08:00:09.576   385   385 I boot_progress_preload_start: 9576
01-01 00:00:43.484   385   385 I boot_progress_preload_end: 10679
01-01 00:00:44.320   865   865 I boot_progress_system_run: 11515
01-01 00:00:48.177   865   865 I boot_progress_pms_start: 15372
01-01 00:00:48.206   865   865 I boot_progress_pms_system_scan_start: 15401
01-01 00:00:49.676   865   865 I boot_progress_pms_data_scan_start: 16871
01-01 00:00:49.685   865   865 I boot_progress_pms_scan_end: 16880
01-01 00:00:49.999   865   865 I boot_progress_pms_ready: 17194
01-01 00:01:13.262   865   865 I boot_progress_ams_ready: 40457
01-01 00:01:15.176   865  1073 I boot_progress_enable_screen: 42371

丶随心
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
android FBE应用验证
12-29
Android 7.0 及更高版本支持文件级加密 (FBE)。采用文件级加密时,可以使用不同的密钥对不同的文件进行加密,并且可以对这些文件进行单独解密。
Android系统安全技术---FBE密钥框架和技术详解
内核工匠
06-02 2654
一、前言用户数据加密是移动设备的重要功能,是使用对称加密算法对Android设备上的所有用户数据进行编码的过程,防止用户数据被未经授权的用户或应用程序访问。本文是Android系统安全技术系列第二篇,主要介绍基于文件的加密技术。首先介绍Android保护用户隐私数据的技术方案,包括全盘加密FDE、文件加密FBE和元数据加密ME。其次介绍基于文件加密FBE的密钥管理,涉及HAL、Linux Kern...
Android 加密之文件加密(FBE
小猪六月的博客
03-26 9940
一:加密简介: 加密是使用对称加密密钥对 Android 设备上的所有用户数据进行编码的过程。设备经过加密后,所有由用户创建的数据在存入磁盘之前都会自动加密,并且所有读取操作都会在将数据返回给调用进程之前自动解密数据。加密可确保未经授权方在尝试访问相应数据时无法进行读取。 Android 有两种设备加密方法,即文件级加密和全盘加密。 1)全盘加密(FDE):Android 5.0 到 Android 9 支持全盘加密。全盘加密是使用单个密钥(由用户的设备密码加以保护)来保护设备的整个用户数据分区。在启
SSD8网络与分布式计算.rar
01-05
本资源包含西工大SSD8网络于分布式计算的所有实验(含机试)代码,已经经过测试,直接利用eclipse导入工程就能运行看效果,虽然无法保证消除所有Bug,但其中的思想已经足够清晰,没有特别低级的错误。 详见http://mp.weixin.qq.com/s?__biz=MzU2NjY5MzI2NA==&mid=2247484986&idx=1&sn=f5d5d1c6bf8955c2e83456d57c182d05&chksm=fca9dac5cbde53d3f91a0bb474710d7b3e3bbcebbdaa1878d9ee3fbe9d1a3fa0522efc5b633f#rd
rootfs.extracted_iptv_FBE200_
09-30
The extracted rootfs for FBE200 IPTV streamer v
Android安全-FDE与FBE原理与流程.docx
02-23
Android安全_FDE与FBE原理与流程.docx
android fbe过程,bluefalconjun.github.io/source.android.com/android.security.encryption.filebased.md at...
weixin_34464974的博客
05-27 454
###[**File-Based Encryption**](http://source.android.com/security/encryption/file-based.html)> **基于文件的加密**-----Android 7.0及以上版本提供基于文件的加密方式(**`FBE`**). 这种方式允许使用不同的密钥对不同的文件进行加密, 并且可以独立进行解密.该文章描述如何在新设...
android fbe分析,(原创)Android FBE加密源码分析(二)
weixin_42498206的博客
05-26 2015
上一篇最后讲到,dispatchCommand是通过调用runCommand来执行具体的CMD操作,这一篇会接着说明。在进行说明前,需要先了解FBE的一些内容,为什么需要这些内容呢?因为在接下来的分析会涉及到CE、DE的存储位置,所以需要先了解。全盘加密和文件级加密的区别借助文件级加密,Android 7.0 中引入了一项称为直接启动的新功能。该功能处于启用状态时,已加密设备在启动后将直接进入锁定...
android 9.0后台服务,Android9.0保活后台service
weixin_26720479的博客
05-27 1352
Android8.0之后Service变为后台后很开就会被杀死。因此要采取一定的措施进行保活。启动service:Intent i=new Intent(context,TestIntentService.class);if(Build.VERSION.SDK_INT>=Build.VERSION_CODES.O){context.startForegroundService(i);}els...
【转】Linux内核安全技术(三):Android系统安全技术---FBE密钥框架和技术详解
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
06-10 904
用户数据加密是移动设备的重要功能,是使用对称加密算法对Android设备上的所有用户数据进行编码的过程,防止用户数据被未经授权的用户或应用程序访问。本文是Android系统安全技术系列第二篇,主要介绍基于文件的加密技术。首先介绍Android保护用户隐私数据的技术方案,包括全盘加密FDE、文件加密FBE元数据加密ME。其次介绍基于文件加密FBE的密钥管理,涉及HAL、Linux Kernel、TEE和Hardware。
watchdogd:适用于 Linux:registered: 的看门狗计时器守护程序。-开源
06-01
watchdogd 守护进程在您的计算机内配置看门狗定时器设备。
永宏FBE-PLC数据采集通讯接口改造方案.docx
04-17
永宏FBE-40MA系列PLC设备联机数据采集解决方案,使得原本不支持通讯的PLC可以通过以太网完成联机设备组网
Android FBE学习笔记
我是黄大仙
08-03 8387
1.FBE和FDE FBE:Full-Disk Encryption 全盘加密 BDE:File-Based Encryption基于文件的加密 2.适配FBE 2.1存储位置 ce默认存储位置(user/0):用户解锁后才可以使用; de(user_de/0)”直接启动“(direct boot)模式和用户解锁后均可用; 在开机未解锁的场景,ce目录被锁定,只能访问de目录,但是有些应用场景,例...
Android加密之文件级加密
热门推荐
FamilyYuan的博客
08-11 4万+
Android加密之文件级加密.Android 的安全性问题一直备受关注,Google 在 Android 系统的安全方面也是一直没有停止过更新,努力做到更加安全的手机移动操作系统。文件级加密和全盘加密相比,有一些非常实用的优点,本文将论述文件级加密的过程,和加密后的结果。
android锁屏密码和fbe关系,Android FBE
weixin_35812176的博客
05-25 3134
Android FBE1. FBE 简介名称: FBE, File-Based Encryption,基于文件的加密凭据加密 (CE) 存储空间:这是默认存储位置,只有在用户解锁设备后才可用。设备加密 (DE) 存储空间:在直接启动模式期间以及用户解锁设备后均可用。开启 FBE 方式,在相关的 fstab 文件中添加相关的代码:/dev/block/bootdevice/by-name/userd...
android锁屏密码和fbe关系,bluefalconjun.github.io/android.security.encryption.filebased.md at master · bluef...
weixin_39889214的博客
05-25 587
基于文件的加密Android 7.0及以上版本提供基于文件的加密方式(FBE). 这种方式允许使用不同的密钥对不同的文件进行加密, 并且可以独立进行解密.该文章描述如何在新设备上提供基于文件的加密方式, 以及系统应用如何高效使用新的**Direct Boot APIs**来提供给用户优质和安全的体验.Direct BootAndroid 7.0为基于文件的加密引入了新的功能, 命名为Direct ...
android logging 机制及优化
yzy9508的博客
09-07 1418
用户空间 Java:                 frameworks/base/core/java/android/util/Log.java 用户空间native http://androidxref.com/5.0.0_r2/xref/frameworks/base/core/jni/android_util_Log.cpp
Linux报错处理:‘abrt-cli status’ timed out
最新发布
Rita_rr的博客
04-23 616
abrt-cli是ABRT(Automated Bug Reporting Tool)的命令行接口,用于在Linux系统中处理和报告程序崩溃。 如果abrt-cli status命令超时,这可能是由于多种原因,包括但不限于系统资源不足、ABRT服务未正常运行、网络问题或配置错误。
android fbe
06-06
Android FBEAndroid Full Disk Encryption的简称,是一种安全机制,用于对Android设备的所有数据进行加密,保护用户的个人隐私和敏感数据。 在Android FBE中,设备解锁后,系统会启动解密过程,以便用户可以使用设备。在用户使用Android设备时,所有数据都会被加密存储,包括应用程序、照片、联系人、短信等。这可以确保即使设备被盗,用户的数据也是安全的。 在FBE中,每个用户都有自己的唯一密钥。这样,即使有其他人访问设备,他们也无法访问另一个用户的数据。如果用户更改了设备的屏幕锁定密码,系统将使用新密码重新加密其数据。 尽管FBE可以保护用户的数据,但也需要更多的处理器和存储空间进行加密和解密。这可能会带来一些性能问题,例如延迟启动和较长的应用程序启动时间。 在一些计算能力较弱的设备上可能会出现更严重的问题。 总的来说,Android FBE是一种用于保护移动设备数据安全的有效机制。 尽管其需要额外的处理器和存储空间,并会引起一些性能问题,但它确保用户敏感数据的保密性和安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值