[讨论]如何检测system 分区是否被篡改？-Android安全-看雪-安全社区|安全招聘|kanxue.com

最新回复 (3)
五鬼星雪币： 48 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 1 关注私信	五鬼星 2 楼启动一个监控线程呢，一旦发现system分区被修改，马上警告什么的 2016-7-15 09:39 0
netsniffer 雪币： 53 活跃值： (280) 能力值： ( LV3，RANK：20 ) 在线值：发帖 10 回帖 336 粉丝 4 关注私信	netsniffer 3 楼 Android5.x以后的机器都支持verity，只要配置verity功能，system分区别篡改后将无法挂载及启动，这个功能是在底层块设备之上加的hash tree来实现的，即每个block的hash以tree形式组织放在system分区尾部。 http://source.android.com/security/verifiedboot/index.html 如果只是定时检测system分区下的文件，不用pull出来，直接在手机上计算好(busybox sha1sum /system/xxx)，和PC上相应文件的hash值做对比即可 2016-7-15 14:37 0
duanguyuan 雪币： 0 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 18 粉丝 0 关注私信	duanguyuan 4 楼在手机上用md5 sha1sum等命令计算文件的hash值并不一定可靠。因为假设手机真的被root，那么恶意软件是可以替换掉md5 sha1sum 这些命令的，让这些命令返回篡改之前的hash值。谢谢: ) 2016-7-15 17:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (3)
五鬼星雪币： 48 活跃值： (27) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 1 关注私信	五鬼星 2 楼启动一个监控线程呢，一旦发现system分区被修改，马上警告什么的 2016-7-15 09:39 0
netsniffer 雪币： 53 活跃值： (280) 能力值： ( LV3，RANK：20 ) 在线值：发帖 10 回帖 336 粉丝 4 关注私信	netsniffer 3 楼 Android5.x以后的机器都支持verity，只要配置verity功能，system分区别篡改后将无法挂载及启动，这个功能是在底层块设备之上加的hash tree来实现的，即每个block的hash以tree形式组织放在system分区尾部。 http://source.android.com/security/verifiedboot/index.html 如果只是定时检测system分区下的文件，不用pull出来，直接在手机上计算好(busybox sha1sum /system/xxx)，和PC上相应文件的hash值做对比即可 2016-7-15 14:37 0
duanguyuan 雪币： 0 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 18 粉丝 0 关注私信	duanguyuan 4 楼在手机上用md5 sha1sum等命令计算文件的hash值并不一定可靠。因为假设手机真的被root，那么恶意软件是可以替换掉md5 sha1sum 这些命令的，让这些命令返回篡改之前的hash值。谢谢: ) 2016-7-15 17:13 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复