Android抓取系统logcat以及selinux对其影响

最新推荐文章于 2024-07-10 10:09:01 发布

androideveloper

最新推荐文章于 2024-07-10 10:09:01 发布

阅读量1.1k

点赞数 1

CC 4.0 BY-SA版权

分类专栏：工作相关学习分享文章标签： selinux android logcat

本文链接：https://blog.youkuaiyun.com/Encode_myself/article/details/77921714

工作相关同时被 3 个专栏收录

37 篇文章

订阅专栏

34 篇文章

订阅专栏

学习

26 篇文章

订阅专栏

Android kk 之前，要读system/bin/logcat 只需要READ_LOG的权限就可以了。

Android kk 之后 , Google正式有限制的启用SELinux来增强安全防患。但是kk版本之后Google只是有限制的启用SELinux,即只针对netd, installd, zygote, vold以及他们直接fork出的child process 使用enforcing mode(强制模式，会对访问进行拒绝) , 但不包括zygote fork的普通app。

Android L 之后 , Google全面开启SELinux,所有的权限都使用enforcing mode。

另外为了限制user版本root使用权限,针对 su 有做特殊的处理(Android KK 之后就已经对 user版本的root有了严重的限制)。

这几天在做Android抓取系统log的APK，用Runntime获取su的process去execute一个logcat命令的时候报了avc:dined的错误。

后来发现就是selinux的限制引起的。

于是就想通过添加系统服务的方式，启动系统服务区执行一个shell然后在通过shell去执行logcat。

然后就报错被告知我的系统服务被selinux告知需要一个domain.现在正通过添加selinux的domain和规则来尝试。

如果成功将在下个博客中添加系统服务的添加，以及selinux相关的东西。

已搞定。详见下一篇博客。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

androideveloper

关注关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

Android SELinux——常见问题处理思路（十四）

小旭的专栏

10-21

753

然后用 make selinux_policy 编译，然后 push 相关分区下的 etc/selinux。直到没有 avc 报错为止。

Android SeLinux 权限添加

Android

09-30

3071

SeLinux 权限添加调试时，可以关闭selinux 权限 setenforce 0 搜索avc,如下： type=1400 audit(0.0:292): avc: denied { read write } for name=“ttyHSL2” dev=“tmpfs” ino=11380 scontext=u:r:system_app:s0 tcontext=u:object_r:device:s0 tclass=chr_file permissive=0 system_app 中 devic

参与评论您还未登录，请先登录后发表或查看评论

User版本下如何抓取kernel的log

fuyinghaha的专栏

07-10

260

这是把脚本添加成service进行执行的，所以脚本必须是死循环，如果脚本关闭，service也随着关闭，后台运行的程序也关闭了.在user版本下，我们没有权限对/proc/kmsg进行操作，只有对拥有root权限或者system组的才能对其进行操作。3、然后在LINUX/android/device/qcom/common/common.mk添加下面一句话。1、在LINUX/android/device/qcom/common/rootdir/etc新建一个目录。

[Android]通过logcat抓取开机log的方法

aaajj的专栏

04-10

9054

开机logcat启动 2018-4-9如何让系统开机后就自动抓取log呢在rc中启动logcatservice get_log /system/bin/logcat -f/data/local/tmp/log.txt class main oneshot 尝试在系统启动的时候，由init进程fork出logcat进程，通过logcat -f /data/local/tmp/log.t...

Android抓log小工具（apk）

05-02

好东西要分享安卓手机端抓log工具先运行该工具，然后home键使其后台执行，就可以去运行其他应用抓log了也可以等到崩溃时再运行该工具去查看崩溃信息

Android selinux配置和用法

makeyourprogress的博客

07-04

4102

Android SELinux

学无止境

12-21

2561

SELinux则是由美国NSA（国安局）和一些公司（RedHat、Tresys）设计的一个针对Linux的安全加强系统SELinux 按照默认拒绝的原则运行：任何未经明确允许的行为都会被拒绝SELinux的两种模式宽容模式：权限拒绝事件会被记录下来，但不会被强制执行。强制模式：权限拒绝事件会被记录下来并强制执行。

Android日志实战——车机日志获取（十五）

小旭的专栏

07-17

2756

这个项目中的 Log 管理系统，其实只是将系统原生 Log 进行输出并导出，并没有太复杂的操作。还有一种 Log 管理系统需要对 Android 原生 Log 系统进行重写，例如我们使用 Log.d(tag, msg) 打印 Log，需要我们根据 tag 信息将不同模块的 Log 数据写入不同的本地文件下，这样可以方便不同模块查看自己的 Log，追踪异常问题。

使用ADB命令控制logcat日志本地存储功能

netwalk的专栏

07-09

2465

因此对于无法进入工程模式GUI界面的场景需要一种方式，在不进行界面操作或切换 USB mode的情况下，也能启用 logcat 日志的本地存储。使用GUI界面的工程模式/开发者选项可以打开 logcat 日志的本地存储功能，从而可以很方便的抓取完整的开机日志。这种命名很相似的属性，他们的什么区别和联系，可以从代码中关于各属性的描述进程查看。在命令行环境下，通过直接修改下列属性值，就可以打开/关闭 logcat 日志本地存储功能。这个属性进行了重新定义造成的，可搜索这个属性在代码中的位置，跟踪分析原因。

Android系统system用户权限和root权限的获取

热门推荐

koozxcv的博客

03-10

3万+

在Android系统中，系统为每一个应用程序（apk）创建了一个用户和组。这个用户和组都是受限用户，不能访问系统的数据，只能访问自己的文件和目录，当然它也不能访问其他应用程序的数据。这样设计可以尽可能地保护应用程序的私有数据，增强系统的安全性和健壮性。但是有一些应用程序是需要访问一些系统资源的。比如Setting程序，它需要访问WiFi，在系统中创建删除文件等等操作。怎样做到这一

[整理]Android测试日志文件抓取与分析

蓝蓝的天

06-15

3万+

1.log文件分类简介实时打印的主要有：logcat main，logcat radio，logcat events，tcpdump，还有高通平台的还会有QXDM日志状态信息的有：adb shell cat /proc/kmsg ，adb shell dmesg，adb shell dumpstate，adb shell dumpsys，adb bugreport，工程模式等 2

android app记录运行日志捕获奔溃异常，存储日志到文件

我的博客

08-11

1万+

app在运行过程中，为了后期的维护升级，记录日志是一个非常好的方法。为了读取到app运行时的日志，一般的作法是单独开一个线程，在app运行的启动线程，然后app退出时停掉线程。然而我们更好的方法是开启一个service，然后在里面做日志记录，代码如下： package com.hai.logcat; import java.io.BufferedReader; import java.

一文带你实现android获取检测Selinux

qq_53058639的博客

02-16

534

SELinux(Security-Enhanced Linux) 是美国国家安全局（NSA）对于强制访问控制的实现，是 Linux历史上最杰出的新安全子系统。SELinux的软件设计架构是参照Flask，Flask是一种灵活的操作系统安全架构，并且在Fluke research operating system中得到了实现。Flask的主要特点是把安全策略执行代码和安全策略决策代码，划分成了两个组件。安全策略决策代码在Flask架构中称作Security Server。

常用selinux debug方法

hanhan1016的专栏

07-25

726

可以先dmesg-C，清空kernellog，然后执行相应的操作，接着再看dmesg，查看是否有selinux报错信息。cat/proc/kmsg|grepavc//查看kernel中的SELinux权限报错。cat/dev/kmsg|grepavc//查看kernel中的SELinux权限报错。

Android 实现在界面实时打印log

ma_tou的博客

03-02

8355

要实现在Android 界面实时打印log，需要注意以下三点： 1、需要文件用来存储log 2、要实现实时打印，本文采用广播的形式 3、打印的log 以多个textview 的形式展现出来既然要通过文件来保存log，自然少不了要对文件进行增删读写的操作，代码如下： public class FileController { private Context mContext; ...

android log日志输出屏幕,Android 在屏幕上打印LOG

weixin_33125137的博客

05-27

2276

Android开发中需要迅速定位问题，在Android 屏幕上打印LOG，是一个很好的通道基本的思路：启动LogService读取指定log，使用WindowManager展示到屏幕上直接上代码public class LogService extends Service {private ListView listview;private LinkedList logList = new Lin...

[转]Android系统文件夹结构解析(二)--/system/bin

tracyli119的专栏

04-08

2146

/system/bin这个目录下的文件都是系统的本地程序，从bin文件夹名称可以看出是binary二进制的程序，里面主要是Linux系统自带的组件，Android手机网就主要文件做下简单的分析介绍：/system/bin/akmd/system/bin/am/system/bin/app_process 系统进程/system/bin/dalvikvm Dalvik虚拟机宿主/s

SElinux root权限

最新发布

04-23

### SElinux Root权限配置及问题解决 #### 1. SElinux基础概念 SElinux是一种基于Linux的安全模块，它提供了更细粒度的访问控制机制。即使拥有root权限，也无法绕过SElinux的限制[^1]。 #### 2. 常见Root权限相关问题在Android开发过程中，可能会遇到由于SElinux导致的各种权限不足问题。例如，在某些场景下，尽管进程具有root权限，但由于SElinux策略的限制，仍然无法完成特定操作[^2]。 #### 3. 解决方案概述以下是针对SElinux中与root权限相关问题的具体解决方案： ##### （1）调试确认SELinux问题当怀疑某个问题是由于SElinux引起的时，可以通过以下步骤进行排查： - **检查DAC权限**：使用`ls -l`命令检查目标文件或目录的属主和权限。如果DAC（Discretionary Access Control）允许该操作，则可能是SElinux策略显式拒绝了当前操作[^3]。 ##### （2）临时禁用SElinux强制模式为了进一步确认问题是否由SElinux引起，可以将设备切换至Permissive模式： ```bash setenforce 0 ``` 此命令会暂时关闭SElinux的强制访问控制功能。如果在此状态下操作成功，则说明问题确实是由SElinux策略引发的[^3]。 ##### （3）捕获并分析AVC日志通过抓取系统的AVC（Access Vector Cache）日志，可以获得关于被拒绝的操作的详细信息。常用的方法包括： - 执行以下命令导出日志： ```bash adb shell dmesg | grep avc > avc_log.txt ``` - 或者直接从Logcat中提取相关信息： ```bash adb logcat | grep avc ``` 通过对这些日志的解析，能够定位具体的权限缺失项[^3]。 ##### （4）生成并应用新的策略规则利用工具`audit2allow`可以根据捕捉到的日志自动生成所需的策略规则。例如： ```bash adb shell dmesg | grep avc | audit2allow ``` 得到的结果可以直接嵌入到现有的SElinux政策文件中[^5]。 ##### （5）调整策略文件路径对于Android系统而言，其默认的SElinux策略存储位置通常位于`system/sepolicy`目录下。如果有新增加或者修改过的策略需求，可以在项目的`BoardConfig.mk`文件里指定额外的策略目录： ```makefile BOARD_SEPOLICY_DIRS += \ <root>/device/manufacturer/device-name/sepolicy ``` 同时，还可以通过内核参数设定启动时加载的状态为Permissive而非Enforcing状态，以便于测试阶段减少干扰因素的影响： ```makefile BOARD_KERNEL_CMDLINE := androidboot.selinux=permissive ``` 这一步骤有助于开发者更加便捷地发现潜在的问题所在[^4]。 #### 4. 实际案例分享假设某应用程序需要读写WiFi数据文件夹内的内容，但在实际运行期间却遭遇到了“denied”的错误提示。经过初步调查后得知是因为缺乏必要的搜索(`search`)权限所致。此时可根据报错消息手动添加相应条目至policy文件之中，亦或是借助自动化脚本来简化流程处理过程[^5]。 --- ###