收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 国内杀毒软件 本色未改?无法卸载的360root工具
12345下一页
返回列表 发新帖
查看: 15557|回复: 42
收起左侧

[分享] 本色未改?无法卸载的360root工具

  [复制链接]
wowowo
发表于 2014-6-14 22:15:05 | 显示全部楼层 |阅读模式
本帖最后由 wowowo 于 2014-6-14 22:16 编辑

转载自看雪。 原文链接: http://bbs.pediy.com/showthread.php?p=1293022#post1293022


最近在一台手机上使用360一键root工具获取root权限后总是觉得360的权限管理和su不放心,想手工换成之前习惯的supersu, 更换中发现手工删除360的su后会被自动恢复,即使用360一键root工具的卸载只会卸载权限管理的app,而不会删除system/bin/su和/system/etc/install-recovery.sh文件,daemon进程也会一直随系统启动自动运行,为了干净的卸载掉360的root工具,就详细分析了一下360的su偷偷多做了些什么事情。
1、360的特有功能
不使用导入函数,直接静态链接了bionic的libc代码
  Su程序中需要使用libc中函数的地方,都会静态链接libc的代码,而不是使用符号导入,会给逆向带来一点点障碍。

图1 静态链接的系统函数

修改daemon进程显示的名称为permmgrd
Su程序开始执行后,会对命令行参数进行判断,如果是作为daemon模式运行,就会对进程名进行修改。

图2 修改进程名为permmgrd

修改文件属性为immutable
  360会把自身文件设置为immutable属性,必须去掉这个属性才可以进行删除。

图3 设置immutable属性

强制使用daemon模式,注册inotify监控su文件防修改
  即使在低于4.3版本的系统上,360的root工具会使用daemon模式运行,这样会保证后台始终有一个su的进程在执行,360在这个daemon进程内不仅包含正常的daemon功能,还包含了对root工具自身的保护。另外,360还起动了一个线程处理local socket传过来的命令控制自保护功能。

图4 启动自保护线程

图5 注册inotify监控/system/bin/su


图 6 检测到修改操作后恢复原始su

图7 控制自保护功能的后门线程

干掉所有其他root工具的su和后门文件
当自保护的su恢复功能被触发后,su程序会尝试清楚所有其他root工具的bin和后门。

图8 其他公司root工具文件列表

图9 删除其他公司root工具相关文件

直接拒绝其他root工具的apk请求root权限
对于其他公司root管理工具的root权限请求,su中会直接拒绝

图10 其他公司root管理工具app名称列表

图11拒绝其他公司root管理工具请求root权限

2、如何彻底清除安装的360root工具
看了上面的分析,可以知道要删除360的su文件,需要停止360的自保护功能,方案有很多,简单说几个
1、  获得root权限后结束360的daemon进程,然后清除文件。(注意杀死进程后就无法再请求root权限了,但杀死前申请的还可以使用)。
2、  使用360的后门指令关闭自保护功能,然后清除文件。
3、  360自监控了/system/bin/su,所以修改/system/etc/install-recovery.sh, 然后重启设备,360的daemon进程就不会自动运行了,但要删除文件还需要有root权限,可以在重启前安装其他产品的su到系统内并设置好属性和daemon启动相关文件(注意不要触发360的恢复功能)。
实际操作时,我使用了方案2进行清除,bat文件使用到了adb,chattr和一个自己编写的利用360su后门停止360su自保护功能的kill360su,


图12 清除用的bat文件内容

360的su
su_360.zip.
卸载工具
kill.zip.

评分

参与人数 1人气 +1 收起 理由
【乱】 + 1 版区有你更精彩: )

查看全部评分

回复

举报

K_Ghost!
发表于 2014-6-14 22:22:20 | 显示全部楼层
本帖最后由 K_Ghost! 于 2014-6-14 22:24 编辑

看雪是技术研究论坛...发到卡饭有啥用,过一会还是那几个人找出千般万般理由XXX是应该的 XXX万岁万万岁 不信你看已经在路上了

评分

参与人数 1人气 +1 收起 理由
lh920215 + 1 签名不适用于本论坛XXX粉

查看全部评分

回复

举报

wowowo
 楼主| 发表于 2014-6-14 22:25:18 | 显示全部楼层
K_Ghost! 发表于 2014-6-14 22:22
看雪是技术研究论坛...发到卡饭有啥用,过一会还是那几个人找出千般万般理由XXX是应该的 XXX万岁万万岁 不 ...

开门,有你快递。你知道太多了。

评分

参与人数 1人气 +1 收起 理由
lh920215 + 1 快点逃命吧 这都敢发

查看全部评分

回复

举报

白露为霜
发表于 2014-6-15 07:57:59 来自手机 | 显示全部楼层
枪手,我的怎么卸载的了?
回复

举报

知微
发表于 2014-6-15 08:01:50 | 显示全部楼层
一大波水军正在到来
回复

举报

liyuming566
发表于 2014-6-15 08:09:53 | 显示全部楼层
本帖最后由 liyuming566 于 2014-6-15 08:10 编辑

我曾经用过360一键root,是可以卸载掉的,这些root工具在root之后都会自动把工具转成系统应用360也是一样,一般不容易卸载,lingk2sd试试应该可以完美清除

授权管理软件一般不要乱换,小心搞不好要重刷系统
回复

举报

cst8899
发表于 2014-6-15 08:17:41 | 显示全部楼层
此贴要火。。。
回复

举报

wowowo
 楼主| 发表于 2014-6-15 10:27:18 | 显示全部楼层
知微 发表于 2014-6-15 08:01
一大波水军正在到来

己来了,,,
回复

举报

尘梦幽然
发表于 2014-6-15 11:36:12 | 显示全部楼层
不明觉厉,反正我是不root的。因为root没用,况且我用的是nexus系列,不需要卸载系统自带软件。
回复

举报

Kukon
发表于 2014-6-15 11:40:42 | 显示全部楼层
没有用过。
其实用过也不会在意这个。
回复

举报

下一页 »
12345下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-30 09:00 , Processed in 0.136426 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表