Root对于任何定位器发烧友、游戏玩家以及从事移动设备研发的人来说都不陌生。它代表了大多数移动设备用户能够掌握的最高权限。

从技术层面来说，用户有权修改系统文件，甚至控制账号，添加或删除硬件等。，但是对于普通用户来说，最大的用处就是卸载“Root前无法卸载的软件”。有些品牌出厂前内置安装了一些无法卸载的软件，Root后这些软件就可以卸载了。Root相当于给了用户自由增减软件的权利。

根的前世

“Root”一词源于Linux/Unix系统。众所周知，Linux/Unix系统的文件系统是从根“/”开始的，形成倒树形文件系统结构。root是Root的英文定义，所以Linux/Unix系统以Root帐号的权限作为系统管理员的权限。口碑，root代表Linux/Unix上的最高权限。

在移动设备发展的早期，各种移动设备使用不同的操作系统，如塞班、Windows Phone、iOS和Android。随着市场的选择，只有Android和iOS幸存下来，成为流行的定位器操作系统。根据POSIX标准协议和开源协议，Android和iOS应该在Linux/Uinx上保留相应的功能。

其中Android是基于Linux的系统，而iOS使用的是以xnu为内核的Darwin(来自BSD的Darwin)。按照开源操作系统的规定，Android和iOS应该保留所有用户使用Root账号控制自己设备的权利。

但现实是，Android和iOS都不允许用户使用Root权限，尤其是iOS对Root权限的监控和封锁达到了前所未有的程度，以至于iOS的Root被称为“越狱”。与Android相比，iOS上的Root过程更加复杂和困难，所以本文主要针对Android的Root，详细介绍Root的前世。

Android系统的三种根本方式

相对于封闭的生态iOS系统，Android的Root模式可谓是从百花齐放到万物统一。不同版本的Android系统获取Root权限的主流方式不同。

在安卓***上，获取Root权限主要有三种方式：漏洞、OEM官方解锁、工厂方式。其中通过漏洞方式获取Root，是开发者最早的探索；工厂模式获取Root则是通过如骁龙9008模式通过底层串口将特殊的ROM刷写入定位器进而获取Root；官方解锁的方式则是OEM产商提供给一些发烧友的“通道”，通过解锁Bootloader锁获取刷写ROM获取Root。在Android定位器上，获得Root权限的途径主要有三种:漏洞、OEM官方解锁、工厂途径。其中，通过漏洞获取Root是开发者最早的探索；工厂模式通过底层串口将专用ROM刷写入***获取Root，如骁龙9008模式，从而获取Root；官方的解锁方式是OEM厂商提供给部分发烧友的“渠道”。可以通过解锁Bootloader锁来获取flash ROM，从而获得Root。

第一阶段:数百个漏洞争鸣，先锋CVE-2009-2692漏洞。

Android系统早期，安全问题被忽视，很多Linux中出现的安全问题在Android中都能重现。最早公开记录并可追溯的由Znix利用Linux漏洞CVE-2009-2692编写的升电程序Android版本，代码如下:

利用蓝牙协议触发sendpage漏洞通过蓝牙协议触发发送页面漏洞

权限提升攻击载荷特权提升攻击有效负载

该漏洞主要是由于sock_sendpage没有检查socket_file_ops数据结构的snedpage字段的指针，部分模块没有sendpage函数，导致指针初始化为NULL。此时直接调用sendpage会导致直接调用空指针，导致出错，进一步权限提升。Znix直接将已有的有效用户id(euig)和有效用户组(egid)指针赋给0，即Root用户和Root用户组，再将有效用户和有效用户组指针赋给真实用户指针和真实用户组指针，从而达到提升权限的目的。然后利用蓝牙协议和send_page的漏洞来触发这种攻击载荷。

Znix在Android _ndk_r1版本发布两个月后发布了这个漏洞。漏洞利用发布后，发现在Android上以漏洞的形式获取Root权限是可行的，随后越来越多的安全人员和爱好者开始利用Android上的系统漏洞，导致Android上安全问题的井喷爆发。但随着Google的不断修复和SElinux的推出，这场闹剧在Android 4.4戛然而止，Android系统进入稳定期，Android的根也进入了新的探索时代。

使用Linux系统的人都知道，在Linux上有一个程序叫/usr/bin/su，用户可以通过su命令来切换身份，安卓的基础是Linux，在安卓版本1.0-4.4中，安卓默认安装了su程序，使用者可以通过使用su进行获取Root，只需要su程序的权限为Access: (4755/-rwsr-xr-x) Uid: ( 0/ Root) Gid: ( 0/ Root)。使用Linux系统的人都知道，Linux上有一个程序叫/usr/bin/su，用户可以通过su命令切换身份。Android是基于Linux的。在Android 1.0-4.4版本中，Android中安装了默认的su程序，用户使用su即可获得Root，只需要SU程序的权限即可访问:(4755/-RWSR-XR-X) UID:

第二阶段:混沌中的探索，supersu，超级用户。

在Android版本中，谷歌基本修复了Linux中的漏洞，并限制了利用漏洞进行***的方式。Android 4.4及以上，Anroid不预装su程序，即使使用SElinux，拥有4755权限的su也无法做到完美Root。开发者尝试将修改后的su写入Android的/系统，让需要Root权限的程序通过/系统下的su程序执行。

但是把su写到/system需要提前解锁安卓***，比利用漏洞升电更稳定。很多大神都开始编写不同的su程序，其中比较著名的有chainsDD的su和chainfire的suspersu。但是，仅靠获取Root权限的方式还是不够的，还需要一个分配Root权限的管理工具。koush的超级用户正好弥补了这个缺点，让这个系统更加完善。

然而好景不长，这种方法引起了谷歌的注意。Google在后续版本中验证了/system等分区的完整性，使得修改系统分区不可行。2018年10月，chainfire宣布不再维持supersu。另一个开发者以一种巧妙的方式让Root成为可能。

第三阶段:受混沌的启发，走向统一的Magisk。

一个名叫topjohnwu的开发者，从supersu中受到启发，他仍然使用supersu的原理获得Root权限，但是他并不对/system等分区做额外的修改，他通过尝试发现，虽然/system等分区无法修改，但是可以在/system分区下进行添加挂载点，于是他用了一种overlay的方法，让用户刷写特殊的boot.img，修改启动时的挂载操作，做出了一个overlay版本的system，所有的操作都在这个system上进行，这样就避开了对原有system的修改，完成原有supersu的功能，而这款软件就是现在大部分人熟知的Magisk。Magisk不仅完成了获取Root，并且集成了Root权限的管理器。一个叫topjohnwu的开发者，受supersu的启发，仍然使用supersu的原理来获得Root权限，但是他并不对/system等分区进行额外的修改。他通过自己的实验发现，虽然/system之类的分区不能修改，但是挂载点可以添加到/system分区下，所以他使用了叠加的方法。让用户编写专门的boot.img，在启动时修改挂载操作，做一个系统的叠加版本。所有操作都在这个系统上进行，从而避免了对原系统的修改，完成了原supersu的功能，而这个软件现在被大多数人称为Magisk。Magisk不仅完成了Root的获取，还集成了Root权限的管理器。

随着topjohnwu加入谷歌，***gisk的代码需要接受谷歌安全团队的审计。***gisk某种程度上有官方背书，是目前最稳定的Root方法。

小白应该如何扎根安卓***？

本文将使用TWRP教你如何使用Magisk来获得Root权限。在获得根之前，您需要解锁引导加载程序。请联系OEM来解锁引导加载程序。

特别提醒:Root有一定风险，或者定位器不能用。请慎重，本文对任何后果不承担相应责任。

1、准备adb fastboot命令工具、***gisk以及对应的twrp.img（不同厂商需要的twrp镜像不同，请读者自行查询所需的twrp镜像）1.准备好adb fastboot命令工具，***gisk和对应的twrp.img(不同厂商需要不同的twrp镜像，请读者自行查看所需的twrp镜像)

2、使用adb命令将Magisk放入到sdcard中，命令如下：2.使用adb命令将Magisk放入sdcard。该命令如下所示:

3、进入bootloader界面，输入对应的fastboot命令，进入twrp界面。3.进入bootloader界面，输入相应的fastboot命令，进入twrp界面。

4、选择Install,然后选择Magisk.zip。4.选择安装，然后选择Magisk.zip

5、进入安装Magisk的界面，将滑动条从左滑到顶端。如果出现如下界面，则证明安装Magisk成功。5.进入安装Magisk界面，从左到上滑动滑块。如果出现以下界面，则证明Magisk安装成功。

6、重启***后，使用将***igsk.zip改回***gisk.apk，使用如下命令安装Magisk管理器。6.重新启动定位器后，使用将***igsk.zip改回***gisk.apk，并使用以下命令安装Magisk Manager。

随后可以在***中打开Magisk，发现Magisk已经正常工作。然后你可以打开定位器里的Magisk，发现Magisk一直正常工作。

如何检测设备的Root操作如何检测设备的根操作

对于安全从业者和一些需要风控的企业来说，需要了解用户的***是否有风险，是否Root。

1.包名检测。

由于Magisk是通过Maigsk.apk分发的，拥有su权限对其进行管理，所以可以通过获取包名来检查用户***上是否存在Magisk App，从而知道用户是否使用过Magisk Root。具体代码如下:

尝试运行程序，得到如下结果。尝试运行该程序并获得以下结果。

在上述方法中，虽然能检测到用户安装了Magisk，但是由于法律对用户隐私的保护，获取包名的方式会触及隐私合规红线，所以这种方法需要一定的权限，在使用该方法时要慎之又慎。在上述方法中，虽然可以检测到用户安装了Magisk，但由于法律对用户隐私的保护，获取包名的方式会触碰隐私合规红线，因此这种方法需要一定的权限，使用这种方法时要谨慎。

2.专业的安全产品。

顶像设备指纹和顶像服务感知防御平台可以有效实时识别根源风险。

镜像设备指纹:可以准确识别模拟器、root、越狱、调试、代码注入、多次打开、VPN代理等风险。包括，hook，iOS平台的越狱行为，Android root，debug，内存转储，注入，多次打开，模拟器，漏洞攻击等风险行为，WEB平台的浏览器颜色深度和分辨率，浏览器和系统的匹配和一致性，UA，cookie是否禁用。

顶级业务安全意识防御平台:基于威胁探测、流计算、机器学习等先进技术，集设备风险分析、操作攻击识别、异常行为检测、预警防护于一体的主动安全防御平台，可实时检测摄像头劫持、设备伪造、设备Root等恶意行为，有效防控各类人脸识别系统风险。具有威胁可视化、威胁溯源、设备关联分析、多账号管理、跨平台支持、主动防御、开放数据访问、防御定制、全流程防控等特点。

写在最后

本文从Root的历史入手，讲述了获取Root的发展历史和趣闻，教大家从0到1对安卓***进行Root，并提出了一些有效的检测Root的方法。和根钩一样，是一把双刃剑。在普通人手中，可以让系统无拘无束，带来更好的定位器体验。但在黑灰产者手中，就会成为非法获利的工具。作为安全从业者，我们应该辩证地看待每一项技术，我们应该严厉打击非法行为，为安全事业做出贡献。