模块扫盲课,如何判断一个模块是否安全

害怕模块会格机?担心模块里面藏有后门?这节课将彻底让你不再害怕格机,教会你模块安全性的所有知识,让格机无所遁形!

目录

1.模块刷入和生效的原理

2.格机在模块中生效的原理

3.格机代码常见样式

3.找到格机代码与后门的演示

4.预防格机与防格机模块

模块的原理

想要知道模块为什么会格机,格机代码会被藏在哪里,就必须先简单了解一下模块工作的原理

 

首先,我们打开一个常见的模块,它通常包含以下文件夹或者文件(没有的可以忽略)

 

META-INF

system

system.prop

customize.sh

module.prop

service.sh

post-fs-data.sh

 

 

其中以.sh为后缀的有三个:service.sh、post-fs-data.sh、customize.sh

 

 

他们分别会在以下的环节被自动执行

 

模块刷入时执行:customize.sh

 

手机启动的早期阶段执行:post-fs-data.sh

 

手机启动完成后执行:service.sh

 

除这三个外,/META-INF/com/google/android/目录还有个叫update-binary的文件,它虽然不以.sh后缀结尾,但是同样会在模块刷人时被执行

 

 

所以简单来说,模块工作的主体就是这四个文件

 

其余的文件除非模块自己设定,否则均不会[被执行],所以这里暂时忽略

格机在模块中如何生效?

前面讲了模块中只有这四个文件会被自动执行,所以格机代码只要位于这四个文件中,就会在对应阶段被执行,从而实现格机

如何查找格机代码

格机代码大多数藏匿于这四个文件中,一般来说只用排查这四个文件即可。但是如果模块中存在其他的.sh文件,那作者大概率是设置了会在某个阶段执行的,所以最好是把其他.sh文件也排查一遍

格机代码常见样式

1.dd if命令,意思是将指定的数据写入指定的区域,如果后面跟的是zero,那么大概率是格机,执行后会用0填充整个硬盘

 

 

下面简单演示一下如何用mt管理器找到dd if命令

 

 

2.rm -rf命令,意思是删除文件且不需要确认,需要注意的是这个命令不一定是格机,需要看删除的是什么文件,仅删除$MODPATH或者$TMPDIR并不是格机,而是正常删除模块缓存,如果删除的是关键文件或者是全盘文件,那就是格机无疑了。

 

 

下面简单演示找到rm -rf正常删除模块缓存的命令

 

 

 

如果你还是没有学会,可以直接在虚拟机里先装模块测试,确认没有问题再刷入,虚拟机里就算被格机,也完全不会影响到真机。

 

除这两种命令外,基本没有其他能够直接格机的命令,一般来说,没有这两种命令的模块并不会直接格机,但并不代表完全安全,接下来教学如何找到模块里的"后门"

如何找到后门代码

有的模块格机手段更加高深,不会在你安装时进行格机,而是偷偷在你手机里埋下后门,随时可以控制格机,这样即使是虚拟机测试,也发现不了任何问题。

 

但是我们依然有方法找到模块中的后门代码,后门需要远程控制,也就是需要网络请求,而安卓中请求网络的命令有两个:wget、curl。只需要在模块中查找这两个命令,就能找到后门。

 

 

这里以之前让k60大规模被格机的后门代码为例

 

 

这段代码中包含两个curl,用于不断从格机者的服务器获取脚本并执行,一开始这个脚本是空的,所以并不会格机,当脚本被替换为格机命令时,才会执行格机

 

绝大多数模块是不需要使用wget和curl命令的,当发现模块中有这两个命令,就要格外小心了

防格机模块有用吗?

有用,但是无法防御所有的格机

 

防格机大多是通过拦截格机命令来实现的,比如@HChai 大佬的百分百防格机,还有通过把关键分区改变挂载点来实现的,这些模块确实能起到很大的作用,能够拦截绝大部分格机命令,但是任何东西都总有失灵的时候,你不能用手机的命去赌它一定有用。

 

最好的防格机模块就是一个聪明的大脑和一双雪亮的眼睛,擦亮双眼,才能杜绝格机。

THE END