利用ADB Root权限破解锁屏密码(原)

最新推荐文章于 2024-04-18 11:42:21 发布
最新推荐文章于 2024-04-18 11:42:21 发布
阅读量5.6w 收藏 121
点赞数 14
分类专栏: Android 文章标签: Android 源码 Root LockPatternView LockSettingsService
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010961631/article/details/47809081/
版权

        本文主要介绍Android ENG版本以及Root授权过ADB进程的手机解锁方法。


一、破解方法


1.1、破解条件

        该方法适用范围较为特殊,分为两种:
        1、手机是ENG版本。
        2、手机被ROOT,并且ADB可以直接升级为ROOT用户。

        第一种情况一般出现在某些工程机中,而第二种情况往往是手机被Root后再连接电脑并使用ADB后会出现。

1.2、破解步骤

        下面我们先说破解方法,然后再分析具体原理。具体步骤:
        1、手机连接电脑,使用adb shell命令进入ADB环境:

            如果成功,将会出现以下提示:

        

        2、利用su命令将adb提升为root用户,如果成功,将会出现以下提示:

        

            请注意,命令行之前的 $变为#,说明权限提升成功,否则说明没有Root成功

        3、进入data/system目录:

        

        4、用ls命令查看密码文件:
        
           上锁的手机可以看到该目录下有password.key(锁屏是密码解锁)或者gesture.key(锁屏是图案解锁)文件。

        5、用rm命令删除密码文件:

        

        6、随便输入密码即可完成解锁:


二、破解原理


        当用户对手机锁屏设置密码时,系统将会把用户的密码进行"SHA-1"或"MD5"加密,然后保存在一个只读的文件中,当用户需要解锁时,再进行相同的计算,然后去匹配文件中已经保存的密码,如果匹配成功就触发解锁,否则就认为密码错误,但是 如果该密码文件被删除,在匹配的时候就会出现异常,而当异常发生,系统就会认为匹配成功,从而绕过密码。
        而我们要做的破解动作,就是找到这些密码文件,然后强制删除,这样一来,系统就会误认为当前不需要密码,从而绕过解锁的步骤。

        因此找到这些包含密码的文件将是本文的重心。

2.1、用户解锁步骤

        我们从一次正常的解锁步骤来查找密码管理者究竟是谁。我们假如用户使用的是图案锁,那么解锁的动作一般是通过锁屏界面完成的。
        锁屏界面显示解锁图案的布局是KeyguardPatternView,在该Layout上的 图案解锁控件是LockPatternView,他在onFinishInflate中被初始化: 
        @KeyguardPatternView.java
        protected void onFinishInflate() {
            super.onFinishInflate();
            //解锁控件是LockPatternView
            mLockPatternView = (LockPatternView) findViewById(R.id.lockPatternView);
            mLockPatternView.setSaveEnabled(false);
            mLockPatternView.setFocusable(false);
            //注册监听器
            mLockPatternView.setOnPatternListener(new UnlockPatternListener());
        }
        在上面的控件初始化过程中,注册了监听器,当用户在图案上滑动时,就会触发该监听器: 
        private class UnlockPatternListener implements LockPatternView.OnPatternListener {
            public void onPatternDetected(List<LockPatternView.Cell> pattern) {
                //密码匹配
                if (mLockPatternUtils.checkPattern(pattern)) {
                    //匹配成功,解锁完成
                    mCallback.reportUnlockAttempt(true);
                    mLockPatternView.setDisplayMode(LockPatternView.DisplayMode.Correct);
                    mCallback.dismiss(true);
                } else {
                }
            }
        }
        我们可以看到,通过 mLockPatternUtils的checkPattern方法进行密码匹配,我们继续往下分析: 
        @LockPatternUtils.java
        public boolean checkPattern(List<LockPatternView.Cell> pattern) {
            final int userId = getCurrentOrCallingUserId();
            try {
                return getLockSettings().checkPattern(patternToString(pattern), userId);
            } catch (RemoteException re) {
                return true;
            }
        }
        这里通过getLockSettings获取mLockSettingsService服务,然后向该服务查询密码真伪。这个mLockSettingsService服务就是lock_settings: 
        private ILockSettings getLockSettings() {
            if (mLockSettingsService == null) {
                mLockSettingsService = LockPatternUtilsCache.getInstance(
                        ILockSettings.Stub.asInterface(ServiceManager.getService("lock_settings")));
            }
            return mLockSettingsService;
        }

        通过上面看到,LockPatternUtils是密码管理的接口,其他应用可以通过该对象实现密码的设置、解锁操作,而该类将会把这些操作申请传递给真正的密码管理者,也就是Name为"lock_settings"的Service,那么这个Service的实体是什么呢?    

2.2、密码管理者

        上面分析到,密码的校对是通过一个Name为"lock_settings"的Service来实现的,那么该Service是什么呢?
        这个Service其实就是LockSettingsService对象,他在SystemServer.java中当系统启动时被创建和初始化,他负责密码的最终保管与核实。
        我们先来看一下这个Service的初始化流程: 
        @SystemServer.java
        private void startOtherServices() {
            try {
                //创建并注册Service
                lockSettings = new LockSettingsService(context);
                ServiceManager.addService("lock_settings", lockSettings);
            } catch (Throwable e) {
                reportWtf("starting LockSettingsService service", e);
            }
        }
        我们来看一下该Service的创建过程,也就是构造方法: 
        @LockSettingsService.java
        public LockSettingsService(Context context) {
            mContext = context;
            //初始化数据库
            mOpenHelper = new DatabaseHelper(mContext);


            mLockPatternUtils = new LockPatternUtils(context);
            mFirstCallToVold = true;


            IntentFilter filter = new IntentFilter();
            filter.addAction(Intent.ACTION_USER_ADDED);
            mContext.registerReceiverAsUser(mBroadcastReceiver, UserHandle.ALL, filter, null, null);
        }
        在这个构造方法中,完成了一些简单的初始化流程,主要是初始化Database和LockPatternUtils,并注册了用户账户的监听器。那么当用户设置密码时是怎样的处理呢?

2.3、密码上锁过程

        上锁过程将会调用到LockSettingsService的setLockPattern(图案锁)或者setLockPassword(密码锁)接口,我们分别来看:

2.3.1、图案锁的上锁过程

        public void setLockPattern(String pattern, int userId) throws RemoteException {
            //权限检查
            checkWritePermission(userId);
            maybeUpdateKeystore(pattern, userId);


            //将密码转换为hash数组
            final byte[] hash = LockPatternUtils.patternToHash( LockPatternUtils.stringToPattern(pattern));
            //将密码写入密码文件
            writeFile(getLockPatternFilename(userId), hash);
        }
        上面主要做了三个操作:
        1、权限检查,必须具备"android.permission.ACCESS_KEYGUARD_SECURE_STORAGE"权限。
        2、将密码转换为hash。
        3、将密码写入密码文件。
        我们先来看转换密码过程。  
       @LockPatternUtils.java
        public static byte[] patternToHash(List<LockPatternView.Cell> pattern) {
            if (pattern == null) {
                return null;
            }
            final int patternSize = pattern.size();
            byte[] res = new byte[patternSize];
            for (int i = 0; i < patternSize; i++) {
                LockPatternView.Cell cell = pattern.get(i);
                res[i] = (byte) (cell.getRow() * 3 + cell.getColumn());
            }
            try {
                //进行SHA加密
                MessageDigest md = MessageDigest.getInstance("SHA-1");
                byte[] hash = md.digest(res);
                return hash;
            } catch (NoSuchAlgorithmException nsa) {
                return res;
            }
        }
        在这个过程中可以看到,对图案锁的密码进行SHA-1进行加密。然后来看写入操作: 
        writeFile(getLockPatternFilename(userId), hash);
        这里写入的文件路径为getLockPatternFilename(): 
        private String getLockPatternFilename(int userId) {
            //data/system 目录
            String dataSystemDirectory = android.os.Environment.getDataDirectory().getAbsolutePath() + SYSTEM_DIRECTORY;
            userId = getUserParentOrSelfId(userId);
            if (userId == 0) {
                //LOCK_PATTERN_FILE="gesture.key",也就是图案锁的密码文件
                return dataSystemDirectory + LOCK_PATTERN_FILE;
            } else {
                return  new File(Environment.getUserSystemDirectory(userId), LOCK_PATTERN_FILE).getAbsolutePath();
            }
        }

        从这里可以看到图案锁的密码文件就保存在data/system/gesture.key中

2.3.2、密码锁的上锁过程

        密码锁的上锁过程与图案锁几乎完全一样,不同之处在于密码的hash转换和密码锁文件的名字。 
        public void setLockPassword(String password, int userId) throws RemoteException {
            checkWritePermission(userId);
            maybeUpdateKeystore(password, userId);
            writeFile(getLockPasswordFilename(userId), mLockPatternUtils.passwordToHash(password, userId));
        }
        我们先来看一下密码锁的hash转换过程: 
        @LockPatternUtils.java
        public byte[] passwordToHash(String password, int userId) {
            if (password == null) {
                return null;
            }
            String algo = null;
            byte[] hashed = null;
            try {
                byte[] saltedPassword = (password + getSalt(userId)).getBytes();
                byte[] sha1 = MessageDigest.getInstance(algo = "SHA-1").digest(saltedPassword);
                byte[] md5 = MessageDigest.getInstance(algo = "MD5").digest(saltedPassword);
                hashed = (toHex(sha1) + toHex(md5)).getBytes();
            } catch (NoSuchAlgorithmException e) {
                Log.w(TAG, "Failed to encode string because of missing algorithm: " + algo);
            }
            return hashed;
        }
        这里我们发现,密码锁的加密强度更大, 对密码进行SHA-1、MD5同时加密,并添加了UID的随机因素
        然后看密码锁文件的保存位置: 
        @LockSettingsService.java
        private String getLockPasswordFilename(int userId) {
            userId = getUserParentOrSelfId(userId);
            //也是data目录下的system目录
            String dataSystemDirectory = android.os.Environment.getDataDirectory().getAbsolutePath() + SYSTEM_DIRECTORY;
            if (userId == 0) {
                //LOCK_PASSWORD_FILE = "password.key"这是密码锁的保存文件
                return dataSystemDirectory + LOCK_PASSWORD_FILE;
            } else {
                return new File(Environment.getUserSystemDirectory(userId), LOCK_PASSWORD_FILE) .getAbsolutePath();
            }
        }

        从这里看出,密码锁文件保存在data/system/password.key里面,他与图案锁的区别在于,一个是gesture.key文件,另一个是password.key文件。

2.4、密码解锁过程

        前面介绍了密码的上锁过程,其实就是进行加密后保存在system下的不同文件里面,而解锁过程就是根据用户输入进行相同加密运算,然后与加密文件中的内容进行匹配,如果匹配成功就认为解锁成功,否则就是解锁失败。

2.4.1、图案锁解锁过程

        图案解锁过程是在checkPattern中完成的: 
        public boolean checkPattern(String pattern, int userId) throws RemoteException {
            //权限检查
            checkPasswordReadPermission(userId);
            try {
                //获取密码文件
                RandomAccessFile raf = new RandomAccessFile(getLockPatternFilename(userId), "r");
                final byte[] stored = new byte[(int) raf.length()];
                int got = raf.read(stored, 0, stored.length);
                raf.close();
                if (got <= 0) {
                    return true;
                }
                //将用户输入的密码做相同的加密运算
                final byte[] hash = LockPatternUtils.patternToHash(LockPatternUtils.stringToPattern(pattern));
                //然后尝试匹配原始密码
                final boolean matched = Arrays.equals(stored, hash);
                if (matched && !TextUtils.isEmpty(pattern)) {
                    maybeUpdateKeystore(pattern, userId);
                }
                return matched;
            } catch (FileNotFoundException fnfe) {
                Slog.e(TAG, "Cannot read file " + fnfe);
            } catch (IOException ioe) {
                Slog.e(TAG, "Cannot read file " + ioe);
            }
            //如果读取失败或者出现异常,就直接返回true,也就是解锁成功。
            return true;
        }

        从这里看到,如果文件不存在,或者文件读取出现异常,系统就会返回true,也就是解锁成功,这也是我们本文使用的破解思路。

2.4.2、密码锁解锁过程

        密码解锁过程是在checkPassword中完成的: 
        public boolean checkPassword(String password, int userId) throws RemoteException {
            //权限检查
            checkPasswordReadPermission(userId);
            try {
                // Read all the bytes from the file
                RandomAccessFile raf = new RandomAccessFile(getLockPasswordFilename(userId), "r");
                final byte[] stored = new byte[(int) raf.length()];
                int got = raf.read(stored, 0, stored.length);
                raf.close();
                if (got <= 0) {
                    return true;
                }
                //对用户输入的密码进行加密运算
                final byte[] hash = mLockPatternUtils.passwordToHash(password, userId);
                //匹配
                final boolean matched = Arrays.equals(stored, hash);
                if (matched && !TextUtils.isEmpty(password)) {
                    maybeUpdateKeystore(password, userId);
                }
                return matched;
            } catch (FileNotFoundException fnfe) {
                Slog.e(TAG, "Cannot read file " + fnfe);
            } catch (IOException ioe) {
                Slog.e(TAG, "Cannot read file " + ioe);
            }
            //如果读取失败或者出现异常,就直接返回true,也就是解锁成功。
            return true;
        }

        从上面过程来看,其与图案解锁的流程是相同的,也会在密码文件出现异常时直接解锁。


三、建议


        Root有风险!!!
        本文仅仅分析了Root后使用ADB的SU权限破解锁屏密码的使用,其实手机被Root后可以做许多类似的事情,比如后台读取联系人记录、发送短信等,并且所有这些操作都可能在用户不知道的情况下,甚至当某个进程伪装成Radio发短信后,用户在短信应用中连发送的记录都看不到!因此对于普通用户,一定要慎重Root,更要慎重的对应用进行Root授权操作。



工程师阿杜
关注
  • 14
    点赞
  • 121
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
超级adbd 破解adb限制
10-17
用于破解adb的限制,可以用于adb备份整个系统!
adb小工具解锁专用
07-10
adb小工具解锁专用,可用于安卓手机解锁。
Android adb破解手机锁屏密码
最新发布
qq_27494201的博客
04-18 509
数字密码:data\system\password.keyw。图案密码:data\system\gesture.key。执行rm即可,该操作需要设备有root权限才行。
Android 实现永久性开启adbroot权限
01-03
adbroot 权限是在system/core/adb/adb.c 中控制。主要根据ro.secure 以及 ro.debuggable 等system property 来控制。 默认即档ro.secure 为0 时,即开启root 权限,为1时再根据ro.debuggable 等选项来确认是否可以用开启root 权限。为此如果要永久性开启adbroot 权限,有两种修改的方式: 1. 修改system property ro.secure, 让ro.secure=0。 2. 修改adb.c 中开启root 权限的判断逻辑。 下面详细说明这两种修改方式: 第一种方法. 修改syst
adb_root:Magisk模块,可让您运行“ adb root
05-07
亚行根 如果您不知道什么是“ adb root”,则不需要此模块。 它不是普通的root(su),而是具有根权限的在手机上运行的adbd守护程序。 adb root允许您“ adb push / pull”到系统目录并运行诸如“ adb remount”或“ adb disable-verify”之类的命令。 这是一个高度不安全的magisk模块。 完成所有需要的操作后,不要忘记禁用它。 不要经常使用它。 该模块允许您从root用户运行adb守护程序。 它提供了自己的adbd二进制文件。 从AOSP源获得的二进制文件带有以下补丁,该补丁禁用了道具检查和USB身份验证。 该二进制文件是必需的,因为某些供应商可以在编译时禁用“ adb root”。 仅限于Aarch64。 修补: diff --git a/adb/daemon/main.cpp b/adb/daemon/main.cpp
ADB命令第三篇】手机密码(访问权限密码或者锁屏密码等)忘记怎么办?
吧主
03-29 9770
访问限制的密码忘记了,或者是锁屏密码忘记了,导致有些程序(如短信,通讯录等重要程序)打不开,影响正常使用。又嫌麻烦,不愿意刷机。是不是就没有办法解决了呢?答案也是否定的。别忘了,ADB还有个shell命令呢。
使用adb解锁
牛八少爷的专栏
09-08 2万+
手机锁屏忘记密码,可以通过adb进行解屏安全不丢失东西 1)下载adb.zip,并解压到D盘 2)通过dos进入d盘的adb目录下,cmd  输入D:\adb"并回车,然后输入"D:"回车; 3)输入"adb shell"并回车 4)输入"su"并回车 5)输入"cd data/system" 6)输入"ls"查看system目录下的文件 7)看到有一个"password.k
Android4.4之Keyguard一(LockSettingsService
y658t的专栏
03-18 4781
LockSettingsService.java 文件目录:/frameworks/base/services/java/com/android/server 与其它重要的系统Service一样,会在SystemServer中启动,它提供的服务名称为“lock_settings” SystemServer.java  initAndLoop() lockSettings = new
[免费专栏] Android安全之Android加密算法浅析
橙留香Park的博客
08-08 829
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ...
[全解] 刷机, BL 锁, Bootloader, Recovery, Magisk, Root, ADB, 线刷, 卡刷, 9008, 绕过 FRP
诺尔的博客
10-22 1万+
刷机, BL 锁, Bootloader, Recovery, Magisk, Root, ADB, 线刷, 卡刷, 9008, 绕过 FRP 全解
安卓手机加密_从安卓1.0到现在的安卓10.0,开机密码都存放在了哪里?
weixin_39890102的博客
10-23 3536
防止疫情蔓延,请大家坚守在家,努力涨“姿势”小编于2009年毕业(注意是毕业不是肄业,本编经过了4年的大学深造,是有正规学历证明的!虽然之后从未拿出来向任何人证明过。),毕业后开始创业--卖手机(就是倒腾二手的)。虽然我们有着极其强烈的创业欲望与激情,然而,理想总是丰满的,现实是残酷的,赔的店租都交不起。。。。往事历历在目,不堪回首。当年正是经历了诺基亚巨头的轰然倒塌,安...
vivo y31【pd1505】解锁bl工具+root详细图文教程
06-30
vivo y31【pd1505】解锁bl工具+root详细图文教程
android10.0(Q) root MTK 6765 user版本打开root权限(adb root权限和 apk root权限)
01-03
相比较 Android8.1、9.0 而言,Q 版本 的 root变得相当麻烦,10.0 中引入了动态分区机制,可看这篇Android10 动态分区介绍,同样的要想完全 adb root,需要 fastboot 解锁,然后关闭 verity 才能 adb remount 成功。...
w711无线adb调试及root权限破解工具.rar
12-07
酷派w711无线adb调试及root权限破解工具.rar
android忘记解锁密码
Yasin Lee
03-30 5262
本文载自网络,第一种方法我一直用,别的,没试过。 方法一:ADB解锁 点击下载ADB解锁工具 必要条件:USB调试模式为打开状态(MIUI系统默认打开) 1、手机连接电脑,确定已安装ADB驱动(方法:),解压ADB工具包至C盘 2、打开cmd输入 cd c:\adb(打开adb所在目录) 3、接着输入adb shell 4、继续输入cd data\system 5、输入ls查
Android手机破解锁屏密码
YSoul的博客
08-23 3万+
Android手机破解锁屏密码很简单,只需要升级为Root用户即可简单的破解。 升级root用户,安装一个Kingroot即可。 破解步骤如下: 手机连接电脑,使用adb shell命令进入ADB环境: 利用su命令获取root权限,获取成功会从”$”变成”#” 使用cd命令进入data/system目录 用ls -l命令查看查看当前目录的所有文件信息 上锁的手机可以看到...
adb命令怎么打开_忘记手机密码怎么办
weixin_39886841的博客
11-27 1万+
  日常需要记忆的密码越来越多,如果不小心忘记手机密码怎么办呢?下面介绍两种忘记手机密码的处理方法,一起来看看吧。忘记手机密码怎么办  方法一:ADB解锁  步骤1、首先是需要打开手机的USB调试。  步骤1、手机连接电脑,确定已安装ADB驱动(手机驱动可通过驱动精灵安装),解压ADB工具包至C盘。  步骤2、打开cmd输入 cd c:adb(打开adb所在目录)。  步骤3、接着输入adb sh...
adb命令 -- fastboot命令&OEM解锁
热门推荐
Rpk712的博客
11-28 4万+
adb命令 -- fastboot命令&OEM解锁,刷机相关
android adb破解获取root权限锁屏密码
ITPlus的博客
08-20 4744
破解密码理就是 删除/data/system/gesture.key这个.key 文件 具体操作:gesture.key文件存在时有密码锁,效果如下: 我们首先win+R,输入cmd打开命令行窗口: adb shell进入系统的shell环境,具体如下图: 如上图指令执行完我们找到了目标 gesture.key文件,接下来我们执行mv gesture.key gestu
adb root权限
08-19
adb root权限是通过adb命令为安卓手机获取root权限的一种方法。通过adb root命令,可以将手机设置为具有root权限的状态,从而可以执行需要root权限才能进行的操作。然而,需要注意的是,不是所有的设备都支持通过adb root命令获取root权限,因此,成功率可能会有所不同。引用中提到的一种方法是通过连接电脑刷入破解文件来获取root权限。这种方法通常具有较高的成功率,可以使用一些第三方刷机工具或者ROOT软件(如SuperOneClick)来实现。另外,还可以通过在手机上运行破解软件(如Universal Androot、Z4ROOT、KINGROOT等)来尝试获取root权限,但其成功率可能较低。总之,获得root权限的具体方法还是根据不同的设备和情况来选择的,使用adb root命令是其中一种可能的方法。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [adb复制root手机,怎样通过adb命令来root手机](https://blog.csdn.net/weixin_44884047/article/details/128602493)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值