Приветствую. При установке драйверов либо при установке нового оборудования в компьютер — может появиться неопознанное устройство. При попытке найти драйвер — оказывается такого оборудования не существует.
ROOT\NET\0000 — что это такое?
ROOT\NET\0000 — неизвестное устройство, в сведениях которого информации никакой нет (ID отсутствует). Может появиться например при неудачной установке оборудования, например адаптера Wi-Fi.
NET в названии говорит что это сетевое оборудование.
Из-за данного устройства могут иногда отключаться другие.
Можно попробовать вручную удалить и выполнить перезагрузку.
В свойствах нет информации о поставщике драйверов, дате разработки, версии, цифровой подписи — ничего нет:
Можно попробовать вручную удалить через реестр:
При ошибке удаления — попробуйте из безопасного режима (Safe Mode).
Также можно попробовать удалить целый раздел NET — как понимаю, тогда удалятся все сетевое оборудование, а после перезагрузки — восстановятся (так как в реестре только записи, не драйвера).
Кстати у вас также может быть неизвестные устройства ptun0901/tap0901 — появляются после использования софта активации ПО.
Маловероятно, но если хотите реально попробовать установить драйвер — можно воспользоваться бесплатной утилитой DevID Agent:
Мое мнение — одна их качественных, которая сканирует ПК на неизвестное оборудование и сама пытается найти на них драйвера.
Попробуйте еще удалить 0000 в этом разделе реестра:
По поводу разрешений раздела. Имеется ввиду если нажать правой кнопкой по разделу > пункт разрешения:
Далее нужно добавить себя, как пользователя и в колонке Разрешить чтобы стояли все галочки:
Мини-инструкция: нажимаем в окошке Добавить > Дополнительно > Поиск > два раза по своей учетной записи > OK > в колонке Разрешить ставим все галочки > нажимаем OK. Должен признаться что у меня все равно выскакивала ошибка при удалении, однако в итоге, содержимое — удалялось!
В связи с выходом финальной версии Windows 10 все дальнейшие вопросы задаем в разделе Драйверы в соответствующих темах.
Все об установке драйверов в Windows 10
Не забываем, что на сайте есть раздел Драйверы
BB-код ссылки (для форумов):
BB-код ссылки (для форумов):
BB-код ссылки (для форумов):
BB-код ссылки (для форумов):
BB-код ссылки (для форумов):
BB-код ссылки (для форумов):
BB-код ссылки (для форумов):
BB-код ссылки (для форумов):
где можно скачать этот драйвер
Бета-версия драйверов Intel® Iris™, Iris™ Pro и HD-графики для ОС Windows* 10 с обновлением он не приходит..где его искать то..
BB-код ссылки (для форумов):
BB-код ссылки (для форумов):
BB-код ссылки (для форумов):
BB-код ссылки (для форумов):
BB-код ссылки (для форумов):
BB-код ссылки (для форумов):
BB-код ссылки (для форумов):
Попробуйте его удалить и посмотреть появится оно снова или нет. Если устройство программное, то сносите всю хрень что наставили, возможно это какой то виртуальный CD привод от проги типа даймонд тулза или виртуальный порт от поддержки сотового телефона.
Root-права — это режим главного администратора, который можно установить при помощи компьютерного ПО. Другими словами, это учетная запись администратора, созданная на базе Android.
Виды прав Суперпользователя
Существует три категории прав на рут на Андроид:
— Полные права (Full Root). Получение неограниченного доступа ко всем функциям мобильного телефона.
— Постоянные (Shell Root). Администраторские права без возможности изменения системной папки system.
— Временные права (Temporary Root). Режим суперпользователя, работающий до перезагрузки устройства. После перезапуска Android, superuser mode исчезнет.
Зачем нужны root-права?
Основные функции расширенного режима администратора:
— изменение, удаление системных файлов;
— деактивация рекламы в приложениях;
— создание резервной копии Android (backup);
— установка файрвола для ограничения доступа в Интернет отдельным приложениям;
перепрошивание или откат ОС;
Способы получения root-доступа на Android
Получить функции суперпользователя на Android возможно двумя путями:
— скачать приложение для root-доступа через Play Market;
— при помощи компьютерного ПО.
Получение полного доступа с помощью программ для ПК
Для разблокировки Full Root при помощи ПК нужно проделать несколько простых шагов:
— Скачать ПО на компьютер из Интернета и установить.
— Подключить смартфон к персональному компьютеру через USB-кабель.
— Провести установку прав суперпользователя.
— Root-доступ с помощью программы Kingo Android Root
— Приложение от KingoRoot может взаимодействовать со множеством смартфонов:
Пошаговая инструкция по установке программы
Процесс инталляции Kingo Anroid Root:
— Подключить смартфон или планшет к компьютеру через USB. Для этого должна быть включена «Отладка по USB». Чтобы это сделать, нужно перейти в «Настройки»—«О телефоне»—«Версия ПО»—«Номер сборки» и несколько раз нажать по номеру сборки, пока не появится сообщение о включении статуса разработчика. Затем выбрать пункт «Для разработчиков» и включить режим отладки по USB.
— После распознавания модели смартфона необходимо подождать, пока установится основной драйвер программы.
— После окончания процесса установки прав, будет высвечено сообщение с текстом «ROOT Status: YES». Перезагрузить смартфон для вступления изменений в силу.
Root-доступ с помощью программы VROOT
Программное обеспечение VROOT работает со всеми моделями смартфонов и имеет такой же простой интерфейс, как и предыдущее приложение. ПО поддерживается только на ОС Windows. Скачивание доступно бесплатно.
Пошаговая инструкция по установке программы
Процесс установки VROOT:
— Запустить скачанный установщик и проследовать инструкции.
— Аналогично подключить смартфон к ПК через отладку USB.
— Запустить приложение и ожидать идентификации подключенной модели.
— Далее нажать на кнопку «Root». Появится окно с прокруткой.
— После успешного завершения процесса рутирования появится окно с галочкой.
Получение root-доступа без помощи компьютера
Инструкция по получению доступа на рут без применения ПК:
— Сначала нужно скачать приложение с Google Play.
— Установить apk файл.
— Запустить root-приложение и следовать инструкциям.
— Root-доступ с помощью приложения KINGROOT
— KINGROOT — это приложение нового образца, которое поддерживает процесс получения прав на рут в один клик.
Список поддерживаемых устройств:
Для того, чтобы разблокировать суперпользовательский режим, нужно проделать несколько простых операций:
— В открывшемся окошке, нажать синюю кнопку «Start Root/ Try to Root».
— Ожидать завершения процесса получения прав на рут.
— После успешного окончания рутирования, запустится новое окно с зеленой галочкой. Смартфон может автоматически перезагрузиться.
— Если получение root прошло неуспешно, то скорее всего проблема заключается в блокировке Bootloader Android.
Такая техническая защита используется на современных флагманах:
Пошаговая инструкция по установке приложения
Процесс инсталляции KINGROOT:
— Зарядить смартфон минимум до 50%.
— Подключиться к беспроводной сети или 3G.
— Включить возможность загрузки непроверенных программ. Перейти в «Настройки»—«Безопасность» и поставить галочку в пункте «Неизвестные источники».
— Скачать приложение через мобильный браузер или Google Play.
— Включить «Отладку по USB». Переместить apk с компьютера на телефон и установить, следуя инструкции.
Рекомендации в случае неуспешной установки:
— отключить настройки безопасности для Google Play;
— во время установки KINGROOT, выключить Интернет, а затем обратно включить;
— установить любой файловый менеджер (ES проводник, Total Commander) и запустить KINGROOT оттуда.
Как удалить root-права на Андроид?
Удаление root через файловый менеджер (ES File Explorer или аналогичный):
— Перейти в папку system/bin или xbin и удалить файл «su».
— Открыть system/app для деинсталляции Superuser. apk.
— Выполнить перезагрузку девайса. Проверить результат через приложение Root Cheker.
Деинсталляция через SuperSU:
— Запустить программу и перейти в настройки.
— Выбрать пункт «Полное удаление Root» и проследовать инструкции.
— После автоматического закрытия программы, перезагрузить устройство.
Удаление для Samsung Galaxy:
— Скачать официальную прошивку с сайта производителя.
— Скачать и инсталлировать утилиту Odin3.
— Установить драйверы Samsung и Samsung USB на компьютер.
— Выключить и подсоединить смартфон к ПК. Телефон должен быть включен в специальном режиме, зажав кнопку домой и качельку громкости.
— Запустить утилиту Odin3 и выбрать «PDA». Выбрать файл официальной прошивки, скачанный ранее.
— Поставить галочки над «PDA» и «Auto Reboot». Остальные отметки необходимо снять.
— Нажать запустить и ожидать около 5-7 минут. После успешного завершения появится окно с сообщением «Сделано!».
— Устройство перезагрузится автоматически.
В 99% случаев можно написать в Гугл «получить root на *модель телефона*» и увидеть подробную иллюстрированную инструкцию если не конкретно к твоей мобиле, то как минимум к мобилам этого производителя.
Вот реферат по 4пда
да да, только где про то, что после оного кингорута замучаешься китайчу выгребать?
А потом кричать про дырявый андроид. Збс тема.
Ещё кто-то изгаляется с прошивками и рутом? Чего без рута не хватает?
А так да, баловаться с прошивками интересно, но в основном на гуглофонах (нексусах и пикселях), т.к. для них иногда делают очень хорошие кастомы.
Как перестать бояться и полюбить adb
Для начала запомним что ни одно действие описанное в этой статье не может окирпичить ваш телефон. Вы не имеете root прав, а значит невозможно испортить какой-либо компонент системы. Это не касается ваших личных файлов и приложение, речь только о компонентах системы, о прошивке короче говоря. Так же данные действия никоим образом не могут повлиять на гарантию вашего телефона, собственно по тем же причинам. Без root мы просто не затрагиваем системные компоненты. Используем только то что разрешает нам сама система, как пользователю.
Разберем немного само устройство системы. В Android нет дисков как в Windows. Есть папки. Папки могут быть например картой памяти. Представьте что на вашем компьютере при вставке флешки, на рабочем столе появляется папка «флешка». Вытаскиваете, исчезает. Вот примерно так же и устроена система в вашем телефоне. И так попадая в shell вашего телефона вы оказываетесь в корневой, главной папке. В ней находится куча папок куда у вас нет доступа. Например System (папка прошивки) или Data (папка данных приложений). То есть доступ в эти папки у вас как бы есть, но только на чтение. Вы не можете изменять, удалять или добавлять туда свои файлы. Нет root доступа для этого. Нас интересует внутренняя память телефона + карта памяти, куда запись нам вполне доступна. И так, внутренняя память телефона всегда называется /sdcard. Карта памяти может находится в другом месте, но обычно она /storage/0123-4567
Далее на компьютер нужно установить adb. Для этого вам необходимо скачать «15 seconds adb installer». К сожалению прямых ссылок дать не могу, но уверен поиском в гугле вы найдете нужный файл.
Запустить от администратора, несколько раз согласится нажав на клавиатуре «Y», установить драйверы от Google Inc.
После того как вы установили adb + необходимые драйверы, вы можете работать с командной строкой телефона.
Для этого в пуске нажмите выполнить и вбейте руками CMD. Ну или на любом месте рабочего стола нажмите на клавиатуре «Win + R», вбейте «cmd» (без кавычек) нажмите Enter.
Кнопка Tab в командной строке пытается продолжить то что вы пишите подставляя имена файлов и папок которые есть в системе.
Что может adb? Начнем с азов. Перезагрузка в основные режимы.
Работа с показом всяких системных характеристик:
Страшный ужасный push и pull:
Эти две команды, push и pull скачивают и закачивают на телефон файлы с ПК и обратно.
Как только вы оказались командной строкой на своем рабочем столе, можно например отправить файл контактов на телефон:
adb push контакты.csv /sdcard/Download/
И файл контактов скопируется с вашего рабочего стола в телефон, в папку /sdcard/Download/
С помощью команды pull можно наоборот, скачать с телефона на ПК:
Файл должен оказаться в той папке где вы находитесь командной строкой на ПК (но мы же на вашем рабочем столе, верно?)
Даем какой-либо программе специальные разрешения на примере bxAction:
Для работы bxActions нужно два специальных разрешения, WRITE_SECURE_SETTINGS и READ_LOGS. Эти разрешения могут быть даны только через компьютер, через adb. Сам разработчик рекомендует ввести в командной строке следующее:
adb shell pm grant com.jamworks.bxactions android.permission.WRITE_SECURE_SETTINGS
adb shell pm grant com.jamworks.bxactions android.permission.READ_LOGS
Это правильные команды, однако они не дают вам понимания сработали ли они при вводе. Я рекомендую вводить так:
pm grant com.jamworks.bxactions android.permission.WRITE_SECURE_SETTINGS
pm grant com.jamworks.bxactions android.permission.READ_LOGS
Если при вводе возникнут какие-либо ошибки, вы это увидите. Если все хорошо, вывод будет пустой.
Таким вот не очень хитрым образом вы можете выдавать приложениям права которые раньше могли быть доступны только с получением root! К сожалению Google разрешает таким образом выдавать не все права, тот же Titanuim Backup не заработает, однако многие другие приложения сейчас умееют работать довольствуюсь только доступными в adb правами.
Страшный ужасный менеджер пакетов.
Бывает ситуация когда вы поставили какое-то приложение, например тему. Вы хотите ее удалить, но не можете ее найти в списке установленных приложений. Так же бывает что приложение в списке есть, но оно не удаляется. Тут нам поможет встроенный менеджер пакетов.
У каждого приложения есть уникальное имя пакета. Это скажем так внутреннее название приложения, такое как его видит система. Вы же видите только название из так называемых строк перевода. Даже если приложение не переведено ни на какие другие языки кроме родного языка разработчика или просто английского, в любом случае у приложения будет так называемый default перевод в котором будет прописано название приложения. Таким образом вы видите у себя в меню приложений bxActions вместо com.jamworks.bxactions
Бывают конечно пакеты которые являются скажем какими то системными дополнениями, которые не переводят даже в файле default перевода и оставляют прям называнием пакета. Кстати по этой же логике создаются приложения клоны. Достаточно пересобрать (именно пересобрать через специальный софт) пакет com.jamworks.bxactions с именем com.jamworks.bxactions1 и при установке вы получите второе приложения bxActions) Такой клон не всегда будет работать, но это один из способов создать клон. Система видит приложения с разными названиями пакетов как отдельные приложения.
И так что может pm?
Посмотреть все пакеты установленные в системе, в т.ч. те которые зашиты в прошивку и не могут быть удалены
cmd package list packages
Удалить пакет (например bxactions)
pm uninstall com.jamworks.bxactions
Пакетным менеджером так же можно устанавливать приложения. Например вы скинули bxActions.apk в папку Download
pm install bxActions.apk
Поздравляю вы установили приложение не дотрагиваясь до телефона)
Пакетный менеджер так же умеет отключать приложения. Например встроенный браузер вам не нравится, вы используете Chrome самостоятельно установленный с маркета. По привычке вы заходите на телефоне в настройки, выбираете пункт приложения, находите встроенный браузер, но пункта отключить нету, есть только остановить. Тут то и пригодится пакетный менеджер. Конечно, вы скажете, что можно поставить какой-нибудь Disabler с маркета, но это не всегда бывает удобно, поэтому просто знайте что есть способ сделать это через adb.
Мой первый Android телефон Galaxy Note N7000 был приобретен сразу после анонса в октябре 2011 года. Благодаря одному немецкому умельцу под ником bauner, у меня была возможность использовать последнюю версию CyanogenMod (ныне LineageOS). До тех пор, пока полтора года назад телефон не умер от китайской автомобильной зарядки.
Замену искал долго и остановился на Kyocera (да, они и телефоны выпускают) KC-S701. Он отличается брутальным внешним видом и отсутствием сенсорных кнопок. О root доступе к телефону я тогда даже и не задумывался, полагая, что нынче каждый телефон тем или иным способом имеет возможность получения root. И найдется умелец, который сможет под него портировать CyanogenMod. Я ошибался.
За полтора года было выпущено всего одно обновление — фикс падения ядра от специально сформированного ping пакета. А Android KitKat уже год назад был не первой свежести. Root доступ на этот телефон так никто и не получил, и никакой информации о нем не было. Отмечу, что тоже самое железо используется в американской версии телефона Kyocera Brigadier E6782, в котором по-умолчанию активизирован режим fastboot и нет ограничения на запуск неподписанных ядер (именно запуск, а не прошивку, и только при использовании непропатченного bootloader’а, CVE-2014-4325) и присутствует возможность загружаться в эти режимы путём зажатия кнопок телефона. Стараниями Verizon (а может Kyocera?) версия Android на Brigadier была обновлена до Lollipop.
Итак, я решил разобраться с процессом получения root на Android самостоятельно.
Два месяца назад я ничего не знал об устройстве Android (а сейчас я еще больше не знаю). Большую часть знаний пришлось добывать изучением исходных кодов и экспериментами, т.к. информации о взломе Android в интернете очень мало. Последующее описание справедливо для Android 4.4 KitKat, но не исключено, что оно заработает и на более новых версиях.
Хочу обратить ваше внимание на то, что в данном обзоре описан исключительно мой конкретный опыт взлома Android на конкретной модели телефона, поэтому будьте предельно осторожны с его применением в своей практике, если не хотите внезапно получить мертвый телефон. Перед началом исследований я рекомендую забыть о том, что вы пользуетесь взламываемым телефоном в повседневной жизни и сделать backup с последующим hard reset. Это обезопасит ваши данные при совершении ошибки.
В статье описаны не только действия, которые привели к успеху, но и ошибки. Надеюсь, что мои попытки докопаться до истины и многочисленные грабли будут вам интересны.
Все исследования проводились в Linux окружении.
Dirtycow (CVE-2016-5195)
Простыми словами dirtycow (рабочий эксплойт под Android) позволяет заменить память любого процесса (полезно, если хорошо знаешь ASM) или любой доступный для чтения файл, даже если он находится на readonly файловой системе. Желательно, чтобы подменяемый файл был меньше либо равен по размеру заменяемому. Основная атака в dirtycow для Android — подмена /system/bin/run-as — подобие sudo для отладки приложений. Начиная с API android-19 (таблица соответствия версий API и Android) /system/bin/run-as имеет CAP_SETUID и CAP_SETGID capabilities флаги (в старых версиях используется обычный suid bit — 6755).
Если файловая система будет примонтирована в режиме read-write, то всё, что dirtycow подменяет, окажется на файловой системе. Потому необходимо сделать backup оригинального файла и восстановить его после получения доступа, либо не перемонтировать файловую систему в режиме read-write. Как правило раздел /system в Android по умолчанию примонтирован в режиме read-only.
Не зря dirtycow считается одной из серьезнейших уязвимостей, обнаруженных в Linux. И при наличии знаний с помощью dirtycow можно обойти все уровни защиты ядра, в том числе и SELinux.
SELinux
adbd и консоль
Получаем root доступ
root, да не тот
Первым делом я сделал дамп всей прошивки, boot и recovery:
Перезагружаюсь в обычный режим, запускаю эксплойт, проверяю hash recovery раздела — hash соответствует оригинальному. Пробую записать данные опять — hash поменялся! Вспоминаю про page cache, чищу ( echo 3 > /proc/sys/vm/drop_caches ) — hash старый. Т.е. всё, что я пишу в блочное устройство улетает без ошибок в /dev/null и иногда оседает в Linux cache. Но обновление прошивки ведь как-то происходит? И пользовательские данные как-то записываются во внутреннюю память. Надо копать дальше.
Пробуем отключить SELinux
На тот момент я думал, что все ошибки об отсутствии привилегий вызваны SELinux (я полностью забыл о том, что могут быть урезаны capabilities). Логов dmesg я не видел, logcat ничего релевантного не показывал. И я начал думать как отключить SELinux.
Первая зацепка, которую я смог найти:
Т.е. я при помощи dirtycow могу перезаписать /sepolicy и командой setprop selinux.reload_policy 1 загрузить обновленную политику.
В моём случае /sepolicy содержал только allow, что значит — при enforcing режиме SELinux в Android разрешено делать только то, что объявлено в политике. А процессу init разрешалось только загружать политику, но не отключать:
Моей задачей было — разрешить init контексту задать selinux->enforce в permissive (setenforce 0).
Первая же мысль: стоковая политика не подходит этому телефону и он при отсутствии прав начинает тупить.
Я собрал новую политику, в которой просто описал все существующие SELinux context и объявил их permissive. Тоже не помогло.
Потом я решил пересобрать политику и по возможности добавить привилегии для shell контекста.
Чуть позже я нашел утилиту sepolicy-inject, которая добавляет привилегии в уже скомпилированный sepolicy файл. Если правило уже существует, то добавление максимальных привилегий не увеличивает конечный размер политики. К сожалению запуск утилиты добавляет всего одно правило за раз. Написал скрипт, который добавляет максимальные привилегии для каждого правила. Результатом был файл с политикой, в которой каждое правило содержало максимальные привилегии. Размер файла совпадал с оригинальным. И это опять не помогло.
Можно было добавить любой permissive домен, загрузить новую политику и работать в контексте этого домена (кстати, supersu от chainfire для новых версий Android так и работает). Но даже это не дало возможности отключить SELinux. Я решил копать в другом направлении.
Копаем recovery
Выясняю, что initramfs содержит публичный ключ res/keys в формате minicrypt, которым проверяется цифровая подпись ZIP файла. Оказалось это стандартный тестовый ключ Android, и что я могу подписать этим ключём любой архив. Проверить это можно следующим образом:
Моя 64Gb флэшка была отформатирована в exfat. Нашел старую sdcard на 2Gb, отформатировал её как vfat, записал ZIP, вставил её в телефон. Recovery в этот раз смог примонтировать карточку и я мог просматривать её содержимое на телефоне. Однако при установке ZIP опять возникла ошибка: E:failed to set up expected mounts for install; aborting.
Т.е. перед тем как применить ZIP, recovery отмонтирует все разделы, но в моём случае что-то идёт не так.
Копаем исходники ядра
Лицензия GPL обязывает производителей смартфонов выкладывать исходники ядра. Спасибо Линусу и Столлману за это. Иногда производители выкладывают что-то левое, иногда правильные исходники, но без defconfig файла, иногда правильные и очень редко с инструкцией как их собирать (например LG).
В моём случае были исходники с правильным defconfig но без инструкции. Немного попотев я смог собрать ядро и убедился, что это не полная липа.
Через продолжительное время я остановился на двух файлах:
hooks
restart
Тоже интересный для изучения файл. В нем описываются возможные варианты загрузки телефона:
Немного о том, как происходит загрузка на телефонах с процессором Qualcomm:
Встроенный ROM загрузчик Qualcomm (pbl — primary bootloader) загружает раздел sbl1 (secondary bootloader). sbl1 загружает tz (trust zone), затем aboot (android boot, little kernel, lk). Aboot в свою очередь загружает boot, recovery или fota.
Описание разделов, участвующих при загрузке:
Все эти разделы подписаны цепочкой сертификатов.
В некоторых случаях полезно игнорировать обновления прошивки.
На мой телефон имелось обновление. Отважиться на него я мог потому, что я уже имел возможность писать в /cache и прервать обновление в любой момент.
Изучив исходники отвечающего за обновление Java приложения, мне стало ясно как оно происходит:
Перезагрузка происходит не моментально, значит у меня есть возможность удалить файл перед перезагрузкой и посмотреть что происходит с разделом fotamng.
Начинаю изучать данные, которые сдампил. В разделе /cache бонусом получаю логи fota, в которых даже есть логи dmseg! Сама перезагрузка в fota инициализируется байтами «1» в разделе fotamng:
После перезагрузки они обнуляются. В dmesg я обратил внимание на наличие параметра ядра kcdroidboot.mode=f-ksg. Вот оно! Т.е. загрузчик снимает защиту для fota. И чисто теоретически, если я запишу раздел boot в fota и перезагружу телефон в этот режим, то я получу ядро с отключенной защитой Kyocera. Но писать в системные разделы я всё еще не могу.
Изучение исходников little kernel (lk)
То, что находится в разделе aboot — загрузчик Android, ванильные исходники которого находятся по адресу: https://source.codeaurora.org/quic/la/kernel/lk/
Там можно найти и информацию как происходит загрузка в некоторые из режимов. Например я нашел информацию о том, что если в раздел misc записать «boot-recovery», то перезагрузиться в recovery можно без adb reboot recovery. При загрузке в recovery эта метка обнуляется. И если recovery загрузиться не может, то телефон попадёт в boot loop и вы его потеряете. Так что будьте осторожны, а лучше избегайте этого варианта перезагрузки.
Первые успехи
dmesg
uevent_helper
Патченный adbd
WiFi в моем телефоне работает через модуль ядра. WiFi включен — модуль загружен. WiFi выключен — модуль выгружен. Если подменить модуль на свой, то при включении WiFi должен загрузиться подставной модуль. На моё счастье цифровая подпись модулей не проверялась. Первое, что я попробовал, это собрать и загрузить модуль, который отключает SELinux путем замены памяти ядра на Amazon Fire Phone: https://github.com/chaosmaster/ford_selinux_permissive
Если при загрузке модуля ядро будет ругаться (disagrees about version of symbol module_layout), то потребуется извлечь Module.symvers из boot раздела. Это можно сделать, используя скрипт https://github.com/glandium/extract-symvers:
Нельзя просто так взять и собрать свой модуль для телефона Kyocera.
Помните список доступных для загрузки модулей? Модуль должен называться wlan и никак иначе. Решается это просто:
Модуль на удивление загрузился (память, которую занимает модуль wlan сократилась, проверяется командой lsmod), но SELinux не отключился.
Единственное, что я не уяснил, как программно вызвать отключение и включение WiFi. Мне приходится выключать/включать WiFi вручную через интерфейс Android.
Пишем свой модуль
Снимаем защиту
SELinux отключить не удалось, но по аналогии с модулем https://github.com/chaosmaster/ford_selinux_permissive можно попробовать сделать тоже самое, но с Kyocera hooks. Мне нужно лишь задать переменную kc_bootmode или kc_kbfm в единицу.
Получив адрес нужной функции, я мог передать в неё параметр и функция задаст переменную в 1. Опытным путем выяснил, что не все ядра отображают kallsyms для переменных (тип d или D, регистр говорит глобальная переменная или нет), поэтому в примерах я использую указатели на функции. Возможно это определяется опцией CONFIG_KALLSYMS_ALL при компиляции ядра.
Описываю функцию в модуле:
Можно адреса найти динамически:
Загрузка подставного модуля отключила встроенную защиту! Теперь я могу монтировать /system и загружать любой модуль ядра независимо от его имени.
Системная область emmc всё еще доступна только для чтения и не позволяет редактировать /system раздел на постоянной основе. Файлы редактируются, но при очистке cache все возвращается в исходное состояние.
Всё-таки отключаем SELinux
Это делается вызовом функции reset_security_ops :
После этого защита SELinux работать не будет, но система всё еще будет думать, что она включена. Потому возможны некоторые ошибки в работе системы.
Перезагружаемся в download mode
Пришлось ограничить скорость записи, иначе телефон отваливается и запись прекращается. Возможно это результат переполнения кэша mass storage загрузчика. Пришлось написать хак:
При помощи этого же способа я примонтировал /system раздел к компьютеру и вручную записал на него supersu. Первоначальная задача выполнена: перманентный root доступ получен. Осталось автоматизировать загрузку подставного WiFi модуля, который отключает hooks. И хорошо бы, чтобы WiFi после этого оставался работоспособным. А еще лучше разблокировать загрузчик, чтобы загружать своё ядро.
Для начала можно изучить какие средства применялись для разблокировки других телефонов. При беглом поиске я обнаружил лишь следующие два, к тому же устаревшие:
Цифровая подпись aboot и boot разделов
В качестве эксперимента я попробовал записать boot раздел в раздел fota, зная, что при загрузке fota снимаются все ограничения. Здесь я сильно рисковал, т.к. мог получить bootloop, похожий на bootloop recovery. Метка загрузки в fota записывается в раздел fotamng и если раздел не загрузится, то я получу бесконечную перезагрузку.
К сожалению, boot раздел, записанный в fota не загрузился, а bootloop я, к счастью, не получил. Не понятно почему тогда boot раздел, записанный в recovery успешно загрузился. Толку от этого конечно нет, для recovery используется та же защита, что и для boot. Не знаю чем вызвано подобное поведение. Возможно различными смещениями ramdisk и tags:
В Secure boot whitepaper от Qualcomm говорится о том, что подписывается sha256 hash от sha256 hash’ей нескольких сегментов ELF загрузчика. Количество сегментов определено в Subject’е сертификата. Например OU=05 00002000 SW_SIZE говорит о том, что в подписи содержится sha256 hash от первых 256 hash’ей областей по 32 байта (0x2000/32=256). Сам по себе aboot не содержит ELF заголовка и описание больше подходит к sbl1 (secondary boot loader).
Есть описание работы little kernel от Qualcomm, но и там нет ничего про алгоритм создания подписи aboot. Задача определить алгоритм все еще актуальна.
Эксперименты с загрузчиками
Для проведения экспериментов я заказал из штатов за символическую сумму Kyocera Brigadier с разбитым экраном.
Я проверил цифровые подписи aboot загрузчиков. Subject’ы сертификатов оказались идентичными, следовательно они могут быть взаимозаменяемыми. Решился на эксперимент: прошить aboot от KC-S701 в Brigadier. Загрузчик заработал. На удивление, защита emmc от записи с этим загрузчиком не включилась и я смог спокойно восстановить загрузчик от Brigadier. Понимая все риски, я решил прошить загрузчик от Brigadier на KC-S701. Я бы получил возможность загружать любое неподписанное ядро и использовать fastboot. В этот раз телефон не загрузился.
То, что еще требует работы или выяснить не удалось
Загрузка Fota
Почему boot раздел не грузится из раздела fota? Ведь они подписаны одним ключём. Если бы загрузка произошла, то я бы получил разлоченный телефон, в котором не пришлось бы подменять модули.
Расшифровка Kyocera properties
Kyocera наряду с android system properties использует свой внутренний механизм properties, который мне тоже не удалось выяснить. Наверняка там хранятся интересные опции, которые могут влиять в том числе и на снятие защиты bootloader’а. В телефоне есть библиотека libkcjprop_jni.so и демон kcjprop_daemon. Библиотеку можно подключить и использовать её функции, но у меня пока не нашлось времени этого сделать.
Опции пишутся на файловую систему, внутри бинарные данные:
Kexec
Kexec позволяет из ядра Linux загрузить другое ядро. По умолчанию в production релизах ядер отключают поддержку Kexec, но его можно включить через модуль ядра. Затем из user-end можно загрузить любое ядро, которое заменит текущее. Это выглядит как хак, но если хочется загружать своё ядро — этот вариант имеет своё место под солнцем.
Уязвимость в QSEE
QSEE — защита в процессорах Qualcomm, в которой недавно уже достаточно давно обнаружили уязвимость. Суть уязвимости — полный доступ к выполнению команд на уровне Trust Zone. Вплоть до загрузки любого ядра.
Пока еще разбираюсь в этом вопросе. Насколько я понял мне необходимо получить доступ к области emmc, называющейся RPMB. Этого можно добиться отправкой специально сформированной SCM командой. В области RPMB (Replay Protected Memory Block) содержатся биты, которые отвечают за lock/unlock статус.
Заключение
Код модулей, aboot загрузчики и библиотека для работы с Kyocera Propertiies находятся в моём репозитории на github: https://github.com/kayrus/break_free.
С каждым решением очередной проблемы, процесс всё больше напоминает апорию об Ахиллесе и черепахе. Не знаю на сколько еще хватит моего энтузиазма. Возможно здесь есть знающие люди, которые помогут достичь дна кроличьей норы.
Пользуясь случаем, выражаю благодарность разработчикам из компании Kyocera за прекрасные устройства и их защиту. В противном случае этой статьи бы не было. С другой стороны отсутствие регулярных обновлений сильно огорчает. Если у вас появится модель телефона с возможностью разблокировки загрузчика, я непременно его приобрету.
Приветствую. При установке драйверов либо при установке нового оборудования в компьютер — может появиться неопознанное устройство. При попытке найти драйвер — оказывается такого оборудования не существует.
