linux内核逆分析,理解boot.img与逆向分析Android/linux内核(示例代码)

最新推荐文章于 2024-07-26 16:43:11 发布
最新推荐文章于 2024-07-26 16:43:11 发布
阅读量481 收藏
点赞数
文章标签: linux内核逆分析

一些尝试和理解。

1>提取boot.img:

20180110212923024411.png

其中,msm代表是高通的芯片,msm_sdcc.1是外接的SD卡挂载的目录,by-name指的是这个sd卡分区的名称。下面几行代表每个分区存储的东西。

20180110212923026364.png

记得提前su,dd if=/dev/block/mmcblk0p8 of=/data/local/tmp/boot.img。将boot.img dump出来

20180110212923028317.png

adb root获得root权限,将boot.img 移到pc上。

2>boot.img格式分析

如system/core/mkbootimg/bootimg.h

typedef structboot_img_hdr boot_img_hdr;#define BOOT_MAGIC "Android!"

#define BOOT_MAGIC_SIZE 8

#define BOOT_NAME_SIZE 16

#define BOOT_ARGS_SIZE 512

structboot_img_hdr

{

unsignedcharmagic[BOOT_MAGIC_SIZE];

unsigned kernel_size;/*size in bytes*/unsigned kernel_addr;/*physical load addr*/unsigned ramdisk_size;/*size in bytes*/unsigned ramdisk_addr;/*physical load addr*/unsigned second_size;/*size in bytes*/unsigned second_addr;/*physical load addr*/unsigned tags_addr;/*physical addr for kernel tags*/unsigned page_size;/*flash page size we assume*/unsigned dt_size;/*device tree in bytes*/unsigned unused;/*future expansion: should be 0*/unsignedchar name[BOOT_NAME_SIZE]; /*asciiz product name*/unsignedcharcmdline[BOOT_ARGS_SIZE];

unsigned id[8]; /*timestamp / checksum / sha1 / etc*/};

boot,img文件跳过2k的文件头之后,包括两个 gz包,一个是boot.img-kernel.gz:Linux内核,一个是boot.img-ramdisk.cpio.gz

大概的组成结构如下:** +-----------------+

** | boot header | 1page** +-----------------+

** | kernel |n pages** +-----------------+

** | ramdisk |m pages** +-----------------+

** | second stage |o pages** +-----------------+

** | device tree |p pages** +-----------------+

** n = (kernel_size + page_size - 1) /page_size** m = (ramdisk_size + page_size - 1) /page_size** o = (second_size + page_size - 1) /page_size** p = (dt_size + page_size - 1) / page_size

总而言之,boot.img包括boot.img header、kernel以及ramdisk文件系统,其中kernel和ramdisk一般以zip的格式进行压缩(取决于厂商)。利用binwalk来提取分析一下,并利用dd来提取两个内核:

20180110212923030270.png

3>先来分析kernel:

20180110212923032223.png

拖入IDA,将处理器类型设置为ARM Little-endian,基地址改为c0008000。

20180110212923033200.png     

20180110212923035153.png

此时,由于没有符号表,不方便阅读和理解。获取符号表

cat /proc/kallsyms > /data/local/tmp/syms.txt

同时,移到pc上。

adb pull  /data/local/tmp/syms.txt syms.txt

得到这个

c0008000 T stext

c0008000 T _sinittext

c0008000 T _stext

c0008000 T __init_begin

c0008050 t __create_page_tables

c0008104 t __enable_mmu_loc

c0008110 t __vet_atags

c0008148 t __fixup_smp

c0008180 t __fixup_smp_on_up

...

将其转化为sym.idc,直接用python来转化,如下:

importre

address=[]

sym=[]

with open(‘syms.txt‘,‘rt‘) as fr:for line infr:

group= re.split(‘ ‘,line,3)

address.append(group[0])

sym.append(group[2])

with open(‘sym.idc‘,‘w+‘) as fw:

fw.write("#include \n")

fw.write("static main()\n")

fw.write("{")for i inrange(0,len(address)):

fw.write("\n\tMakeNameEx(0x"+address[i]+",\""+sym[i][:len(sym[i])-1]+"\",0);")

fw.write("\n}")print "OK!"

之后将sym.idc载入ida,可以根据linux源码来辅助阅读并修改内核。如下

20180110212923037106.png

可以修改task_pid_nr_ns()的返回值来内核级绕过的tracepid的反调试。

4>再来看ramdisk

20180110212923038083.png

20180110212923040036.png

得到了randisk.img,通过binwalk来观察,看到了ramdisk的文件系统,以及里面的文件,如下:

20180110212923041989.png

20180110212923043943.png

Android手机获得Root权限,可以让/system和/data分区获得读写的权限.这两个分区的权限配置,一般在根分区的init.rc文件中,修改这个文件可永久获得root权限。

yxldr
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[调试逆向] Linux内核PWN-ret2dir(附赠基础slub算法!)
ysxx188888的博客
03-13 366
利用的主要是这么个思想以及物理内存的情况,本题也是回忆起了很多内核PWN的基础知识点,算是慢慢抓起来了。
高通android逆向分析,逆向修改内核,绕过TracerPID反调试
weixin_36480423的博客
05-25 628
前言上次DDCTF结束后,和BinCrack师傅交流,他提到用了自己编译的安卓内核,直接修改源码更改了TracerPID,之后在国赛也遇到了对status的检测,虽然可以修改内存绕过(ref 4),但是还是想试一试把内核patch掉。查阅了很多资料后,大概有三种方法:1.修改源码,重新编译内核 (ref 2)2.逆向修改内核文件,patch二进制文件3.hook fopen 函数,检测/proc/...
linux_bootimg_tools
03-12
boot.img解包打包工具。这3个文件linux程序。 需要放到linux下才能执行,记得chmod 755 这些文件权限 mkboot 就是 split_bootimg.pl。使用方法参见我的博客https://blog.csdn.net/tabactivity/article/details/88355317
boot.img linux,Android boot.img 结构
weixin_30529683的博客
05-26 595
Androidboot.img 包括 boot header,kernel, ramdisk首先来看看Makefile是如何产生我们的boot.img的:boot镜像不是普通意义上的文件系统,而是一种特殊的Android定制格式,由boot header,压缩的内核,ramdisk以及second stage loader(可选)组成,可以从mkbootimg.h文件中看到。boot,img文...
Adroid或者Linux系统内核boot.img解压方法
最新发布
a2591748032的博客
07-26 298
Adroid或者Linux系统内核boot.img解压方法
Linux内核逆向映射的演变与源码分析
weixin_71478434的博客
08-24 171
在聊逆向映射之前,我们先聊聊正向映射好了,当你明白了正向映射,逆向映射的概念也就易如反掌了。所谓正向映射,就是在已知虚拟地址和物理地址(或者page number、page struct)的情况下,为地址映射建立起完整的页表的过程。例如,进程分配了一段VMA之后,并无对应的page frame(即没有分配物理地址),直到程序访问了这段VMA之后,产生异常,由内核为其分配物理页面并建立起所有的各级的translation table。
程序逻辑抽取器-linux内核源码逆向设计
wuss70的专栏
08-14 581
为了更多的人能够了解linux,我们对linux内核做了抽取。 对于linux,我们是外行,本着人人为我,我为人人的原则,希望得到广大朋友的帮助。
逆向修改android内核反调试,逆向修改手机内核,绕过反调试
weixin_39636176的博客
06-01 874
作者:lcweik 看雪学院Android 应用反调试里最常用的一种反调试方法是查看/proc/self/status的信息,如果 TracerPid 不为 0,就判断为正在被调试。如果自己拥有内核源码,就可以自己编译生成 zImage 去替换内核就能正常运行了,但可惜的是,很多手机的内核都不开源,为此只能自己去逆向修改。一、提取 zImage 内核文件在提取zImage 前,必须确保自己拥有...
boot.img与recovery.img的解包
开发就是不断的发现不足与学习
05-11 1万+
boot.img与recovery.img的结构很相似,都是kernel加上一个根文件系统。所以是可以用同一个工具(脚本)来分解,下面以分解boot.img为例分析如下: 1, cat /dev/block/mtdblock0 > /sdcard/boot.img     不同的机型可能对应着不同的分区,需要先核实 2, split_bootimg.pl boot.img
ctf中linux 内核态的漏洞挖掘与利用系列
Moyun_vackbot的博客
03-29 923
本篇文章主要针对内核栈溢出以及堆越界访问漏洞进行分析以及利用。
逆向修改MIUI(X64)内核,反制TracerPID反调试踩坑指南
Druke的博客
05-29 2674
0x00、前言 ​ 刷CTF时经常能遇到TracerPID反调试,手动nop掉当然是一种好方法,但是每次都得重新打包难免会觉得烦躁。正好在逛吾爱时发现一篇patch内核绕过反调试的文章,果断尝试一番,于是有了这篇X64版本的patch内核踩坑指南。 ​ 本次踩坑环境Redmi Note2 ,MIUI 9 8.4.19 |开发版 ,Android 5.0.2 。 0x01、boot.i...
linux最小系统(包括ramdisk-uboot.img system.img zImage)
05-04
linux最小系统 (包括ramdisk-uboot.img system.img zImage) 适用于itop4412
ubuntu下boot.img的解包、打包工具
09-15
在ubuntu系统下使用,Android系统的boot.img解包、打包工具,对于喜欢折腾Andorid系统的boot.img文件同学比较有帮助,同时也为了方便自己查找工具节省时间。具体的功能的使用可以去看博文http://blog.csdn.net/qq1084283172/article/details/52422205。
手机rom内核boot.img解包打包合并替换工具
03-24
手机rom内核boot.img解包打包合并替换工具
Linux 逆向分析Linux 内核
happylzs2008的专栏
04-19 689
linux 逆向分析 https://blog.csdn.net/baidu_28138887/article/details/46323231 linux 逆向映射机制浅析 https://www.cnblogs.com/ck1020/p/6883061.html linux逆向分析之ELF文件详解 https://blog.csdn.net/cavalier_anyue/...
Linux下 解包/打包 Android 映像文件 system.img, boot.img, ramdisk.img, userdata.img.
热门推荐
yulix的专栏
10-29 1万+
Android源码编译成功后会输出映像文件:system.img,boot.img, ramdisk.img,userdata.img等等。有时我们需要修改里面的内容,下面列出在Linux下如何解包/打包这些映像文件。 ramdisk.img ramdisk.img是经cpio打包、并用gzip压缩的文件。 解包: 新建一个工作目录,把当前目录更改为该工作目录,执行下面命令(注意: img
android反编译用linux,反汇编android的“boot.img”镜像里的“kernel”文件的方法
weixin_42228796的博客
05-02 796
第一步:解压boot.img,从而得到 文件“kernel”在windows中解压boot.img的方法请参考:http://www.anzhuo2.com/thread-4391-1-1.html在linux中的方法,请参考:http://bluedrum.sinaapp.com/archives/202.html第二步:使用objdump反汇编,dump “kernel”文件,得到汇编代码。使...
Linux下只需3步轻松反编译Android APK
水滴石穿的博客
07-23 819
反编译Android APK不言而喻,直接进入主题。点击下载资源文件 第一步: 将apktool_2.0.1.jar重新命名为apktool.jar和apktool脚本一起移动到  /usr/local/bin 运行以下命令: apktool d someApk.apk 即可编译出资源文件包 (res文件夹下)。 第二步: sudo apt-get install op
binwalk 提取bootimg_使用 IDA 处理 U-Boot 二进制流文件
weixin_39556853的博客
12-19 371
作者:Hcamael@知道创宇404实验室最近在研究IoT设备的过程中遇到一种情况。一个IoT设备,官方不提供固件包,网上也搜不到相关的固件包,所以我从flash中直接读取。因为系统是VxWorks,能看到flash布局,所以能很容易把uboot/firmware从flash中分解出来。对于firmware的部分前一半左右是通过lzma压缩,后面的一半,是相隔一定的区间有一部分有lzma压缩数据而...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值