AVB数据解析:Android verified boot 2.0 vbmeta 数据结构解析

已于 2023-08-22 15:03:29 修改
阅读量2.2k 收藏 14
点赞数
分类专栏: # AVB 文章标签: android AVB vbmeta
于 2023-03-01 21:39:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45264425/article/details/129289969
版权

前言

验证启动(Verified Boot)是Android一个重要的安全功能,主要是为了访问启动镜像被篡改,提高系统的抗攻击能力,简单描述做法就是在启动过程中增加一条校验链。或者也可以说是信任链:

ROM code-->BootLoader-->boot image--> System 分区和 vendor 分区

由于 ROM code 和 BootLoader 通常都是由设备厂商 OEM 提供,而各家实际做法和研发能力不尽相同,为了让设备厂商更方便的引入 Verified boot 功能,Google 在 Android O上推出了一个统一的验证启动框架 Android verified boot 2.0,好处是既保证了基于该框架开发的verified boot 功能能够满足 CDD 要求,也保留了各家 OEM 定制启动校验流程的弹性。

这个弹性体现在哪里?来看看:

由于 ROM code 校验 BootLoader 的功能通常与 IC的设计相关,所以 AVB 2.0 关注的重点在 BootLoader 之后的校验流程

BootLoader 之后系统启动所涉及的关键镜像通常包括 boot.img,system.img,Android O 的 treble Project 还引入了 dtbo 和 vendor.img

这些 image 挨个校验可以说费时费力,而 AVB 2.0 的做法事实上十分简单,引入一个新的分区:vbmeta.img(verified boot metadata)

然后把所有需要校验的内容在编译时就计算好打包到这个分区,那么启动过程中 BootLoader 只需要校验 vbmeta.img,就能确认 vbmeta 内的数据是否可信。

再用 vbmeta 中的数据去比对 bootimg,dtbo,system,img,vendor.img 即可。

至于 OEM 是还需要放什么其他东西到 vbmeta 中,则可以由 OEM 自由定制,可以说保留了很好的客制化空间。

于是整个信任链的建立可以分为两个部分:自研的(bootrom + loader)+ 开源的AVB(boot、vendor、system。。。)

之前我们对于这个AVB的方案也有些了解,对于流程之类的也写了一部分的blog,但是对于镜像的本身没有研究过,在进行一些校验失败的场景,肯定是在所难免的需要看一下镜像的自身结构,说不定有帮助。

除了最基本的验证启动之外,AVB 2.0 还提供防止回滚的功能和对AB分区备份的支持,AVB 2.0 的详细文档可以参考:Android Verified Boot 2.0

无论是验证启动还是防止回滚,vbmeta 都是很重要的数据结构,下面对最简单的 vbmeta struct 做一个分析说明。

vbmeta struct 的结构图

在这里插入图片描述

以上 vbmeta 所包含的数据可以分成两个大的Block:

紫色色块部分为 Authentication data block 和 其他为 Auxiliary data block。

当 BOARD_AVB_ALGORITHM 定义为 SHA256_RSA2048 时,默认编译出的 vbmeta.img 通常为 4KB。vbmeta.img 组成如下:

在这里插入图片描述

其中 Header 的固定长度为 0x100 个字节,Authentication data 和 Auxiliary data 的长度存储在 Header 中。

下面展开瞅瞅

一、Header 解析

可以copy一份header的数据结构体看一下:https://android.googlesource.com/platform/external/avb/+/master/libavb/avb_vbmeta_image.h

用 UE 打开 vbmeta.img,前 0x100 个字节信息如下:

在这里插入图片描述
根据 struct AvbVBMetaImageHeader,上图中的 Header 信息解析如下:

  • 0x0 - 0x3 magic[AVB_MAGIC_LEN] magic字符串,固定为 AVB0

  • 0x4 - 0x7 required_libavb_version_major libavb 大版本号 0x1

  • 0x8 - 0xb required_libavb_version_minor libavb 小版本号 0x0

  • 0xc - 0x13 authentication_data_block_size 如果选用 SHA256_RSA2048算法,则 authentication data size 固定为 0x140

  • 0x14 - 0x1B auxiliary_data_block_size 根据 make_vbmeta_image 不同参数,长度不同,上图为 0x4C0

  • 0x1C - 0x1F algorithm_type 由AvbAlgorithmType定义, 0x1 表示AVB_ALGORITHM_TYPE_SHA256_RSA2048

  • 0x20 - 0x27 hash_offset hash data 在 authentication data 中的位置,通常为 0x0,hash data的具体说明会在 Authentication data 的解析中加以说明

  • 0x28 - 0x2F hash_size hash data 的大小,使用SHA256算法时 Hash data 固定为 0x20 个字节,即 256 bits

  • 0x30 - 0x37 signature_offset signature data 在 authentication data 中的位置,signature data紧跟在 Hash data 后面,所以 offset 在 hash 算法为 SHA256时,固定为 0x20

  • 0x38 - 0x3F signature_size signature data 的大小,在签名算法使用 RSA2048 时,固定为 0x100个字节,即 2048 bits

  • 0x40 - 0x47 public_key_offset 签名算法对应的公钥存储在 Auxiliary data block 中的位置,上图为 0x298

  • 0x48 - 0x4F public_key_size 签名算法对应的公钥长度,使用RSA2048 作为签名算法时,该长度固定为 0x208, public key 部分会在 Auxiliary data block 的解析中加以说明

  • 0x50 - 0x57 public_key_metadata_offset public key metadata 在 auxiliary data block 中的存储位置

  • 0x58 - 0x5F public_key_metadata_size public key metadata 的大小,为 0x0 表示没有 public key metadata 数据

  • 0x60 - 0x67 descriptors_offset descriptor 在 Auxiliary data block 中的位置,默认固定为 0x0,descriptor 的具体含义会在 Auxiliary data block 的解析中加以说明

  • 0x68 - 0x6F descriptors_size descriptor 的长度,取决于 make_vbmeta_image 时的参数 —include_descriptor_from_image

  • 0x70 - 0x77 rollback_index 供rollback protection 功能使用,由 make_vbmeta_image 时的参数 —rollback_index 指定,上图中为 0x0,即未对回滚保护做支持

  • 0x78 - 0x7F reserved0[4] 16字节对齐使用,固定为四个 0x0

  • 0x80 - 0xAF release_string[AVB_RELEASE_STRING_SIZE] avbtool 的 release 信息,48个字节,一般为 avbtool 1.0.0 xxxxx

  • 0xB0 - 0xFF reserved[80] padding数据,保证 Header长度为 x100,内容必须全部填 0x0

二、Authentication data block 解析

Authentication data block 用于校验 vbmeta.img 的合法性和完整性,包含两部分内容:Hash data 和 signature data。

通过分析avbtool 的 Python 脚本,即可了解 hash data 和 signature data 的生成过程。

1-Hash data 的生成

hash data 是对 vbmeta 的 header 和 auxiliary data block 的 hash 计算,所以是先生成了 auxiliary data block,然后生成的 authentication data block,使用的算法由 header 中的 algorithm_type 指定,本文使用 SHA256,计算出的 hash data 长度为 0x20。截取 avbtool 的脚本代码如下:

 # Calculate the hash.
 ha = hashlib.new(alg.hash_name)
 ha.update(header_data_blob)
 ha.update(aux_data_blob)
 binary_hash.extend(ha.digest())

2-signature data 的生成

signature data 是对 上文计算出的 hash data 做 padding 之后的签名,使用的算法同样由 header 中的 algorithm_type 指定,本文使用 RSA2048,计算出的 signature data 长度为 0x100。截取 avbtool 的脚本代码如下:

 # Calculate the signature.
 padding_and_hash = str(bytearray(alg.padding)) + binary_hash
 binary_signature.extend(raw_sign(signing_helper,
                                  signing_helper_with_files,
                                  algorithm_name,
                                  alg.signature_num_bytes, key_path,
                                  padding_and_hash))

有一个需要注意的地方是,hash data 和 signature data 的总长加在一起为0x120,但header 中的 authentication data block size 却为 0x140,这是因为 image 对齐需要,0x120 不能被 64 整除,所以用 0x0 填充到长度为 0x140。

三、Auxiliary data block 解析

Auxiliary data block 的内容则十分丰富,总得来说分为两个大类:AvbDescriptor 和 RSA public key。

1-AvbDescriptor 的生成

根据 avbtool make_vbmeta_image 命令支持的参数,OEM 可以自由的定制一些需要打包到 vbmeta.img 的数据,这样一段一段的二进制数据都按照AvbDescriptor 的数据结构打包进 auxiliary data block。AvbDescriptor 按照不同的 tag 分为以下几种:

typedef enum {
        AVB_DESCRIPTOR_TAG_PROPERTY,
        AVB_DESCRIPTOR_TAG_HASHTREE,
        AVB_DESCRIPTOR_TAG_HASH,
        AVB_DESCRIPTOR_TAG_KERNEL_CMDLINE,
        AVB_DESCRIPTOR_TAG_CHAIN_PARTITION,
} AvbDescriptorTag;

最常用的参数 —include_descriptor_from_image 可以将 boot.img,dtbo,recovery.img,system.img,vendor.img 的 descriptor 打包到 Auxiliary data block 中。

这些 descriptors 在 BootLoader 确认 vbmeta.img 的合法性和完整性后,可以直接被用来校验 boot.img,dtbo,recovery.img,system.img,vendor.img。

RSA public key的生成

除了这些 descriptor 之外,auxiliary data block 中还有一个重要的信息,就是 RSA public key。这个 public key 将被用来校验 authentication data block 中的 signature data。

在 avbtool make_vbmeta_image 时,必须用–key参数来指定生成 signature data 的 RSA private key,AOSP external/avb/test/data 目录下有各种供测试使用 RSA private key,格式为 PEM。avbtool 会根据 RSA private key 提取 public key 并加上 RSA key 的 header 打包进 auxiliary data block。

可以通过avbtool extract_public_key --key [priv_key_path] --output [outpubk_path] 来查看生成的 public key 信息。

其中 RSA key header 格式如下:

typedef struct AvbRSAPublicKeyHeader {
         uint32_t key_num_bits;
         uint32_t n0inv;
} AVB_ATTR_PACKED AvbRSAPublicKeyHeader;

前文中所描述 header 中的 public key size 为 0x208,即 0x8 个字节的 AvbRSAPublicKeyHeader 长度,加上 0x200个字节即 2048位 的 public key 长度。

以上就是 vbmeta 除 padding 填充 0x0 之外,主要的数据信息。

以上就是全部内容,关于vbmeta镜像,如果是你想了解其校验的过程、以及镜像生成的过程,可以看一下源码,结合这个专栏其他的文章食用更佳。

感谢前辈的优秀blog,供给我们学习。

参考链接:
https://www.jianshu.com/p/a2542426bdde

TrustZone_Hcoco
关注
  • 0
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
android avb2.0问题解答 汇总
鹅鹅鹅的博客
02-12 790
3、avbtool解析 4、avb2.0验证流程图 5、问题解答
Android安全启动学习(五):Android Verified Boot 2.0
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
10-11 4605
AVB2.0被用于启动引导,此用法添加一个“vbmeta.img”镜像。用于,vbmeta.img包含应vbmeta.img包含用于验证的public key,但只有bootloader验证过vbmeta.img才会可信,就好比认证一样,包含可信public key和签名。因此,我们在AVB中有两个重要key,一个验证vbmeta.img的OEM key,一个验证其他分区(boot/system/vendor)的verity key。当然可以使用OEM key作为verity key。
Android Verified Boot 2.0 最新安卓P AVB详解
热门推荐
编程浅谈
01-25 2万+
什么是AVB 验证启动是确保用户设备运行软件完整性的一整套流程。 它通常从设备固件的只读部分启动,使用加密方式验证代码是可靠且没有任何已知的安全缺陷之后才会执行。 AVB是验证启动的一种实现。 VBMeta结构体 AVB中使用的核心数据结构VBMeta结构体。此数据结构包含许多描述符(和其他元数据),并且所有这些数据都以加密方式签名。 描述符用于映像哈希值,映像哈希树元数据和所谓的链接分区。 下...
Android Verified Boot (AVB) 的原理和作用
achirandliu的专栏
06-06 928
Android Verified Boot (AVB) 的原理和作用
Android14之禁止vbmeta.img签名校验(一百九十)
Android系统攻城狮
03-08 2810
本篇目的:Android14之解决编译报错:bazel: no such file or directoryAndroid中的avbtool是一个命令行工具,它是Android Verified BootAVB)系统的一部分。AVB是一个安全特性,旨在通过分段和校验来保护Android设备上的启动过程,确保设备只启动经过验证的、未被篡改的软件。avbtool的主要作用包括:校验和生成分段:它用于对设备上的软件分段进行校验和生成。
Android verified boot 2.0 vbmeta 数据结构解析
pan0755的博客
06-12 4973
验证启动(Verified Boot)是Android一个重要的安全功能,主要是为了访问启动镜像被篡改,提高系统的抗攻击能力,简单描述做法就是在启动过程中增加一条校验链,即 ROM code 校验 BootLoader,确保 BootLoader 的合法性和完整性,BootLoader 则需要校验 boot image,确保 Kernel 启动所需 image 的合法性和完整性,而 Kernel 则负责校验 System 分区和 vendor 分区。 由于 ROM code 和 BootLoader 通常
Android Verified Boot 2.0 安卓P AVB实现详解
qq_36781842的博客
12-31 3381
什么是AVB 验证启动是确保用户设备运行软件完整性的一整套流程。 它通常从设备固件的只读部分启动,使用加密方式验证代码是可靠且没有任何已知的安全缺陷之后才会执行。 AVB是验证启动的一种实现。 VBMeta结构体 AVB中使用的核心数据结构VBMeta结构体。此数据结构包含许多描述符(和其他元数据),并且所有这些数据都以加密方式签名。 描述符用于映像哈希值,映像哈希树元数据和所谓的链...
Magisk root 原理分析之二 :Android Verified Boot (AVB)
Kian_G 的博客
11-02 1万+
1. Android Verified Boot (AVB) 或称 Verified Boot 2.0 简介 官方解释:验证用户设备上运行的软件完整性。它通常从设备固件的只读部分开始,该部分加载代码并仅在通过密码验证代码是授权的并且没有任何已知的安全漏洞之后才执行代码。 AVB 2.0 引入一个新的分区:vbmeta.imgverified boot metadata),其包含分区的哈希, 下...
【FLY】Android(12)源码目录结构
Making Life Better. Making Others Better.
09-05 2754
Android(12)源码目录结构
刷机相关的Android的安全
鹅鹅鹅的博客
01-16 1万+
Android安全内容非常多,可以登录https://source.android.com/security查看。这里以刷机的角度去看相关的安全措施。日志里可以看到设备从上电开机就有保护手段了,这里依次简述secure boot、verify boot、dm-verity、SELinux。 1、secure boot 原理https://blog.csdn.ne......
Qcom android_verified_boot AVB2.0 introduction
11-30
包括 avb的详细介绍 1.avb1.0与2.0的区别以及对比 2. qcom.avb2.0的适用平台 3.avb2.0的ENABLE 4.avbtool的使用包括给boot.img dtbo.img等镜像添加页脚,vbmeta.img的生成,以及avb验证的镜像的info的查看
Android_boot_image_editor:解析并重新打包Android boot.imgvbmeta.img,支持Android 12(预览版)
08-04
Android_boot_image_editor 逆向工程 Android ROM 映像的工具。入门安装所需的包Mac: brew install lz4 xz dtc Linux: sudo apt install git device-tree-compiler lz4 xz-utils zlib1g-dev openjdk-11-jdk gcc g++...
Android启动时验证(AVB
10-03
Android 启动时验证(AVB)是Android操作系统的一个关键安全特性,它的目的是确保设备在启动过程中加载的软件是经过验证且来自可信源的。这一机制始于Android 4.4,随着时间的推移,逐步强化和完善,特别是在Android...
安卓机型 fastboot模式一键关闭avb验证
09-25
1---用于在fast模式硬件关闭avb验证的刷写脚本 2----手机需要有权限在fast模式刷写。一般需要能进入fast模式。并且解锁了bl可以刷写的前提 3-----资源通用与百分99的去验证。了解原理即可一通百通 4-----通用与高通...
Android验证启动2.0介绍文档及源码
04-30
Android验证启动2.0Android Verified Boot 2.0,简称AVB 2.0)是Google为了增强Android设备的安全性而推出的一项技术。这项技术主要用于确保设备在启动时加载的系统映像是经过验证的,从而防止恶意软件篡改系统...
Android 系统网络、时间服务器配置修改
ange_li的博客
07-03 308
刷机国外android rom 修改配置的常用命令
Laravel Excel导出功能:高效实现数据导出
最新发布
liuxin33445566的博客
07-08 1082
Laravel Excel导出功能允许开发者将查询结果或其他数据集合转换成Excel格式的文件。这不仅可以提高数据交换的效率,还可以提升用户体验。Laravel Excel支持自定义导出格式,包括自定义单元格样式、合并单元格、添加图片等。这可以通过实现WithEvents等接口来实现。
Android约束布局的概念与属性(1)
学无止境,止于至善
07-08 744
约束布局推荐使用所见即所得的模式进行布局,约束布局的大部分布局可以通过Design视图完成,可以在布局文件的Design视图中采用鼠标拖放操作结合属性栏窗口设置完成约束布局的界面设计,大幅简化布局代码输入和控件间位置关系的人为判断。如图2所示,被选中的控件分别与上方控件左对齐,与右边的控件底对齐,同样也确定了该控件的位置。相对定位是控件对于另一个控件位置的约束,可以让控件相对于其他控件或父控件进行布局,也可以设置控件相对于其他控件或父控件进行上下左右对齐。图中设置为0.6,即控件位于布局宽度60%的位置。
android avb
07-01
### 回答1: Android AVB (Android Verified Boot) 是安卓系统中的一种安全功能,目的是确保用户设备上的操作系统和应用程序未被篡改。它使用了基于密钥的验证方法,以验证设备上的固件和启动程序的完整性和可靠性。 Android AVB的工作原理是,在设备启动时,固件和启动程序会被验证。首先,设备会检查固件和启动程序的数字签名,以确保它们是由受信任的开发者签名的。如果签名验证通过,则设备会继续启动,否则会发出警告或者拒绝启动。 除了验证签名外,Android AVB还会检查系统分区的哈希值是否与预期的哈希值匹配。这些哈希值是在设备正常运行时生成的,并被记录在一个被称为AVB表的数据结构中。如果发现系统分区的哈希值与预期的哈希值不匹配,设备将中断启动并显示一条警告信息。 通过使用Android AVB,设备能够有效防止来自未经授权的来源的操作系统和启动程序的篡改。这增加了设备的安全性,使用户能够放心使用设备,而不担心潜在的恶意软件或未经授权的更改。 总之,Android AVB是安卓系统中的一种安全功能,它通过验证数字签名和哈希值来确保设备上的操作系统和启动程序的完整性。它帮助防止未经授权的篡改,提高了设备的安全性。 ### 回答2: Android AVBAndroid Verified Boot)是安卓系统中的一种验证引导机制,它通过在设备启动过程中验证系统的完整性,防止未经授权的修改及恶意软件损害系统安全。以下是关于Android AVB的一些要点。 首先,Android AVB使用数字签名验证系统引导映像的完整性。在设备启动时,引导加载程序(Bootloader)会验证引导映像的签名,只有通过数字证书签名的映像才能被加载,这样可以确保系统引导过程没有受到非法篡改。 其次,Android AVB启用分区级别的验证,每个分区的映像都需要通过数字签名进行验证。这使得系统分区、供应商分区和OEM分区等可以被独立验证,并且可以防止未经授权修改。 另外,Android AVB还使用了完整性元数据(Integrity Metadata)来确保系统分区的数据安全。完整性元数据存储了每个分区的哈希值和签名信息,设备启动时会加载并验证这些元数据,以确保分区的数据没有被篡改。 最后,Android AVB还可以在设备上使用强制加密(Force Encryption)来确保用户数据的密钥只能被正确验证的引导映像解锁。这可以防止未经授权的访问或修改用户数据。 总的来说,Android AVB通过数字签名、分区级别的验证以及完整性元数据等机制,确保了安卓设备系统引导过程的完整性和安全性,并且防止了未经授权的修改和恶意软件的攻击。 ### 回答3: Android AVB是指Android Verified Boot的缩写,是一种用于验证和保护Android设备的引导过程的安全机制。它的目标是检测和阻止未经授权的软件从设备的启动过程中加载和运行。 Android Verified Boot通过使用数字签名和哈希算法来验证引导镜像的完整性和真实性。在设备启动的过程中,它会使用设备制造商预装的公钥来验证引导镜像的数字签名是否有效,并且只有当验证通过时才会加载和运行系统。这样可以防止未经授权的软件或者恶意代码被插入到引导过程中,提高了设备的安全性。 此外,Android AVB还可以更容易地检测到设备的Root状态和未经授权的修改。通过保护系统分区和检测分区是否已被修改,它可以提供更可靠的保护机制,防止未经授权的软件或者恶意代码对设备进行篡改。这可以帮助用户避免安全漏洞和数据泄露。 总之,Android AVB是一种用于验证和保护设备启动过程的安全机制,通过验证引导镜像的完整性和真实性,检测设备的Root状态和分区是否被修改,提高了Android设备的安全性。这有助于保护用户的个人数据和设备免受恶意软件和未经授权的修改的威胁。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

TrustZone_Hcoco

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值