zImage文件提取及逆向分析

最新推荐文章于 2025-10-22 14:28:03 发布
原创 最新推荐文章于 2025-10-22 14:28:03 发布 · 9.3k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了Android手机的root权限获取过程,重点分析了boot分区的结构,包括boot.img的构成和提取方法。通过对kernel文件的逆向分析,探讨了内核的压缩格式以及如何在没有符号表的情况下进行分析,利用kallsyms来定位kernel symbol。

 

技术背景:

Android手机获得Root权限,可以让/system和/data分区获得读写的权限.这两个分区的权限配置,一般在根分区的init.rc文件中,修改这个文件可永久获得root权限.众所周知,市面上绝大部分的Android手机文件系统有三个分区,分别是/,/system,/data.根分区(/)是打包为ramdisk.img后,再与kernel的zImage打包为boot.img. boot.img在EMMC/NAND中以RAW DATA的形式存在,且除使用烧写工具外,无法读写.正因如此,根分区(/)在每次开机时都会从存储器中加载到RAM, 所以根分区(/)是难以不被刷机破解的.

那么如何破解?

获得boot.img,解压boot.img得到ramdisk.img, 再由ramdisk.img解压得到root目录(/),修改其中的init.rc文件,再打包,最终得到新的boot.img.最后利用烧写工具boot.img烧写到手机即可.(具体可参考AOSP/mkbootimg)

浅析boot分区结构

 

 

具体分析:

一.  提取kernel文件

 

(1)boot在哪里?通过下载官方的rom包,解压缩后可以看到里面的boot.img文件然后分解

关于rom

最低0.47元/天 解锁文章
更换zImage中的initramfs
linuxaxis的专栏
04-07 3746
好吧,折腾了两三个星期,USB的问题没搞定,看来功夫还不到家,看了下efuse中有很多的位可以配置相关的参数, 也许智器在那里面做了很多的工作,使我一直都不能有所突破,这个问题暂时就放放吧,以后有时间再来研究研究。 其实话又说回来,国内的公司还是真垃圾,本身就是用开源的东西,不开源就算了,还搞这么多恶心的东西,真垃圾...         之前说的一起做这个事情的哥们也一直不
从安卓系统USB升级包里提取system.img、boot.img和recovery.img在内的镜像文件
热门推荐
qq_33163046的博客
03-02 1万+
如果你拿到一个USB升级包,你会发现升级包的结构基本相似。但是里面并不是直接就有包括system.img、boot.img和recovery.img在内的镜像文件。如果我们需要在Android手机上获取Magisk。提取内核(boot.img)就至关重要。当然其他镜像根据你的需要也有其他用处。这时,如果你需要这些镜像文件,怎么做呢?关注 "升级包>update.zip>payload.bin"。我们这篇的博客的目的就是从payload.bin中提取出镜像文件
MMU(内存管理单元)分析
最新发布
huayidw的博客
10-22 1355
MMU(Memory Management Unit,内存管理单元)是 CPU 中的硬件模块,负责将虚拟地址(Virtual Address, VA)转换为物理地址(Physical Address, PA),并提供内存保护功能。功能描述应用地址转换虚拟地址 → 物理地址所有内存访问内存保护访问权限检查(R/W/X)防止越界、权限提升TLB 加速缓存地址映射提高转换速度(99%+ 命中率)多级页表按需分配页表节省内存(稀疏地址空间)缓存控制定义缓存策略优化性能,正确处理 MMIO。
Android boot.img dtb.img 编译过程
LILI007的专栏
02-06 3523
最近做RK3588案子,修改dts后,导致boot.img过大,编译出错,整体分析下boot.img过大的原因是因为在打包boot.img过程中,dbt.img过大导致,所以整体分析下boot.img编译过程,尤其是dbt.img的生成过程.编译kernel生成对应的dtb文件,3588平台为rk3588-e088.dtb,然后会把rk3588-e088.dtb cat到out目录下面生成dtb.img. 编译boot.img的时候会把dtb.img打到boot.img里面.dtb.img生成过程。
逆向修改MIUI(X64)内核,反制TracerPID反调试踩坑指南
Druke的博客
05-29 2937
0x00、前言 ​ 刷CTF时经常能遇到TracerPID反调试,手动nop掉当然是一种好方法,但是每次都得重新打包难免会觉得烦躁。正好在逛吾爱时发现一篇patch内核绕过反调试的文章,果断尝试一番,于是有了这篇X64版本的patch内核踩坑指南。 ​ 本次踩坑环境Redmi Note2 ,MIUI 9 8.4.19 |开发版 ,Android 5.0.2 。 0x01、boot.i...
root技术背后android手机内核提取逆向分析
weixin_34315189的博客
05-02 876
root技术背后android手机内核提取逆向分析 安卓ROOT技术背景: Android手机获得Root权限,可以让/system和/data分区获得读写的权限.这两个分区的权限配置,一般在根分区的init.rc文件中,修改这个文件可永久获得root权限.众所周知,市面上绝大部分的Android手机文件系统有三个分区...
Linux内核源码分析--内核启动之(1)zImage自解压过程(Linux-3.0 ARMv7)
四哥的专栏
03-26 1542
分类: LINUX     研究内核源码和内核运行原理的时候,很总要的一点是要了解内核的初始情况,也就是要了解内核启动过程。我在研究内核的内存管理的时候,想知道内核启动后的页表的放置,页表的初始化等信息,这促使我这次仔细地研究内核的启动代码。     CPU在bootloader的帮助下将内核载入到了内存中,并开始执行。当然,bootloader必须为zImage做好必要的准备
高通android逆向分析,逆向修改内核,绕过TracerPID反调试
weixin_36480423的博客
05-25 901
前言上次DDCTF结束后,和BinCrack师傅交流,他提到用了自己编译的安卓内核,直接修改源码更改了TracerPID,之后在国赛也遇到了对status的检测,虽然可以修改内存绕过(ref 4),但是还是想试一试把内核patch掉。查阅了很多资料后,大概有三种方法:1.修改源码,重新编译内核 (ref 2)2.逆向修改内核文件,patch二进制文件3.hook fopen 函数,检测/proc/...
精选资源
vmlinux-to-elf:通过提取内核符号表(kallsyms)从原始内核中恢复可完全分析的.ELF的工具
03-21
该工具允许从vmlinux / vmlinuz / bzImage / zImage内核映像(原始二进制Blob或已存在但已剥离的.ELF文件)中获取具有可恢复功能和可变符号的完全可分析的.ELF文件。 为此,它将在内核中扫描内核符号表( ),这是...
Linux中提取内核vmlinux并转化为带有symbol name的可分析elf
qq_40421991的博客
12-15 5502
最近的task需要逆向分析某些Linux系统的内核,第一步从系统中提取出内核镜像文件就给我卡了半天,搜了国内基本没有能用的,这里总结一下: 安装extract-vmlinux 首先,需要获得extract-vmlinux脚本,这样就可以解压缩并提取Linux内核映像: $ wget -O extract-vmlinux https://raw.githubusercontent.com/torvalds/linux/master/scripts/extract-vmlinux 这个脚本不太可能会更改,但是
Extract 2.6内核配置文件的开源工具
具体而言,extract26config-0.2 版本可能采用多种技术手段实现配置提取:首先,它会对内核镜像进行解压和解析,识别出其中包含的内核代码段、数据段及符号表;其次,通过扫描已知的配置相关符号(如 `__param` ...
Linux内核镜像文件(bzImage)
02-20
bzImage是一个编译后生成的Linux内核镜像文件,可用于配合BusyBox制作嵌入式Linux根文件系统。
嵌入式系统/ARM技术中的zImage内核镜像解压过程详解
11-12
作者:刘洪涛,华清远见嵌入式培训中心讲师。     本文以linux-2.6.14内核在S3C2410平台上运行为例,讲解内核的解压过程。   内核编译完成后会生成zImage内核镜像文件。关于bootloader加载zImage到内核,并且跳转到zImage开始地址运行zImage的过程,相信大家都很容易理解。但对于zImage是如何解压的过程,就不是那么好理解了。本文将结合部分关键代码,讲解zImage的解压过程。   先看看zImage的组成吧。在内核编译完成后会在arch/arm/boot/下生成zImage。   在arch/armboot/Makefile中:  
image解压工具
07-11
image文件解压工具,比如system.img,选定image文件路径,然后打开,全选,然后解压到指定目录
zImage提取出Image的方法
大明的博客
06-26 3175
对于使用gzip压缩的zImage:  dd if=zImage bs=1 skip=$(LC_ALL=C grep -a -b -o $'\x1f\x8b\x08\x00\x00\x00\x00\x00' zImage | cut -d ':' -f 1) | gunzip >Image 对于使用zx压缩的zImage: dd if=arch/arm/boot/zImage bs=
1、解压zImage --- head.s 分析笔记
VictaminC的博客
12-29 1082
start: .type start,#function .rept 8 mov r0, r0 @ 空语句 .endr b 1f /*魔数,和uboot的魔数相对应*/ .word 0x016f2818 @ Magic numbers to help the loader .word start @ absolute load/run zImage addr
Linux内核源码分析--内核启动之zImage自解压过程
weixin_34128839的博客
07-11 880
  参考: http://blog.chinaunix.net/uid-20543672-id-3018233.html Linux内核编译流程分析 linux2.6内核启动分析--李枝果(不看是你的损失^_^) 文档下载地址: http://files.cnblogs.com/pengdonglin137/Linux%E5%86%85%E6%A0%B8%E6%BA%90%E7%A0%...
Android内核sys_setresuid() Patch提权(CVE-2012-6422)
weixin_30632883的博客
10-28 552
让我们的Android ROOT,多一点套路。 一、简单套路 CVE-2012-6422的漏洞利用代码,展示了另一种提权方法。(见附录) 这也是一个mmap驱动接口校验导致映射任意内核地址的洞。将内核映射到用户进程空间后,使用setresuid(0, 0, 0)进行提权。 其步骤如下: 利用漏洞,映射内核到调用者进程空间 搜索内核,查找“%pK %c %s\n”,并Patch成“%...
从Android设备中提取内核和逆向分析
weixin_30565327的博客
12-18 738
转载自http://blog.youkuaiyun.com/qq1084283172/article/details/57074695 一、手机设备环境 [cpp]view plaincopy Modelnumber:Nexus5 OSVersion:Android4.4.4KTU84P KernelVersion:3.4.0-gd59d...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值