根，对于任何一个手机爱好者、玩家、从事移动设备研发的人员来说，这并不奇怪，它代表着广大移动设备用户所能掌握的最高权威。

从技术层面来说，用户拥有修改系统文件的权限，甚至可以控制账户、添加或删除硬件等，但对于普通用户来说，最大的用途是卸载“在Root之前无法卸载的软件”。一些品牌安装了一些手机出厂前无法卸载的软件。可以卸载，让用户能够自由添加或删除软件。

Root一词源于Linux/Unix系统。众所周知，Linux/Unix系统的文件系统从根目录“/”开始，形成了倒树状的文件系统结构。根是根的英文定义。那么Linux/Unix系统中具有Root权限的帐户作为系统管理员的权限，口碑，Root代表Linux/Unix上的最高权限。

在移动设备发展的早期，各种移动设备使用不同的操作系统，Symbian、Windows Phone、iOS、Android是突出的。在市场选择中，只有Android和iOS仍然是受欢迎的移动操作系统。Android和iOS都应该按照POSIX标准协议和开源协议保留Linux/ux功能。

其中，Android建立在Linux的基础上，iOS使用xnu作为Darwin的内核(来自BSD)。就开源操作系统而言，Android和iOS都应该保留所有用户对其设备的Root访问权限。

然而，现实情况是Android和iOS不允许用户使用Root权限。特别是iOS对Root权限的监控和屏蔽达到了前所未有的程度，以至于iOS的Root被称为“越狱”。iOS的Root流程比Android的更加复杂和困难，因此本文主要围绕Android系统的Root展开，详细介绍了Root的前世今生。

相对于封闭生态的iOS系统，Android的Root模式可以说是从百花齐放到万物统一。根据Android操作系统版本不同，获取Root权限的主流方式有所不同。

在Android手机上获得Root权限主要有三种方式：漏洞、OEM官方解锁和工厂。其中，通过漏洞获取Root是开发者最早的探索；在出厂模式下，Root是在骁龙9008模式下，通过手机底部的串口，将专用ROM插入手机中获取的。官方的解锁方式是OEM厂商提供给一些发烧友的“通道”，通过解锁Bootloader锁获得擦拭ROM获得Root。

阶段1:百大漏洞争锋相对，先行者CVE-2009-2692漏洞

忽略了Android系统早期的安全问题，很多在Linux中产生的安全问题，都可以在Android中重复出现，其中最早公开记录并可追溯的是Znix利用Linux漏洞CVE-2009-2692编写的Android版本的正确程序，代码如下：

使用蓝牙协议触发发送页漏洞

升级攻击负载

此漏洞主要是由于sock_sendpage没有检查socket_file_ops数据结构中snedpage字段的指针。有些模块没有sendpage函数，并将指针初始化为NULL。当直接调用空指针时，直接调用sendpage会导致错误和权限提升。Znix直接将现有有效用户id(euig)和有效用户组(egid)的指针设置为0，即Root用户和Root用户组，然后将Znix和有效用户组的指针分配为真实用户指针和真实用户组指针，实现权限提升。然后使用蓝牙协议和send_page中的漏洞触发此攻击有效载荷。

Znix在Android _ndk_r1版本发布两个月后发布了这个漏洞。该漏洞发布后，人们发现利用漏洞获取Android Root权限是可行的。然后越来越多的安全人员和爱好者开始利用Android上的系统漏洞，导致Android安全问题井喷式爆发。然而，随着谷歌的不断修复和SElinux的引入，这场闹剧在Android 4.4中突然结束。Android进入了稳定期，Android Root也进入了新的探索时代。

任何使用Linux系统的人都知道Linux上有一个名为/usr/bin/su的程序，用户可以通过su命令切换自己的身份。Android是基于Linux的。Android 1.0-4.4版本默认安装了su程序，用户可以通过su获取Root，只需要设置su权限为Access: (4755/-rwsr-xr-x) Uid: (0/Root) Gid: (0/Root)。

阶段2:探索混沌，超级和超级用户

在Android 4.4中，谷歌基本上修复了Linux中的漏洞，并限制了漏洞被利用的方式。在android4.4及以上版本中，roid并没有预装su，而在SElinux中，即使拥有4755的权限，su也不是完美的Root。开发人员尝试将修改后的su写入Android /system，以便需要Root权限的程序可以通过/system下的su程序执行。

在“/system”下写入su时，需要提前解锁Android手机，这比使用exploit权限更加稳定。一些最著名的例子是chainsDD的su和chainfire的suspersu。但是，仍然没有足够的方法来获得Root权限。您还需要一个管理工具来分发Root权限。完善制度。

chainfire在2018年10月宣布，在这种方法引起了谷歌的注意之后，将不再由chainfire维护supersu，这使得在后续版本中无法通过验证其完整性来修改系统分区。另一个开发人员以一种聪明的方式使Root再次成为可能。

一个名为topjohnwu的开发人员，受到supersu的启发，仍然使用supersu的原则来获得Root权限，但他没有对/system之类的分区做任何额外的更改。他通过尝试发现，虽然/system不能被修改，但是，可以在/system分区中添加挂载点，所以他使用了一种覆盖的方法，要求用户编写特殊的引导。Img修改了开机时的mount操作，做了一个覆盖版本的系统，所有的操作都在这个系统上进行。这避免了修改现有系统的需要，并完成了原始supersu的功能，现在大多数人都知道它是Magisk。Magisk不仅完成了Root权限的获取，还集成了具有Root权限的管理器。

随着topjohnwu加入谷歌，magisk的代码需要谷歌安全团队的审核，magisk有某种形式的官方认可，使其成为迄今为止最稳定的Root方法。

本文将使用TWRP教你如何使用Magisk获得Root权限。在获取Root之前，释放BootLoader锁。请与OEM联系以移除Bootloader锁。

Top提醒：Root存在一定风险，或手机无法使用，请谨慎使用，本文不承担任何后果。

1. 准备adb fastboot命令工具、magisk和相应的twrp。Img(不同厂家要求的twrp图像不同，请自行查询所需的twrp图像)

2. 使用adb命令将Magisk放入sdcard，如下所示：

3.进入bootloader界面，执行fastboot命令，进入twrp界面。

4. 选择Install，然后选择Magisk.zip。

5. 进入安装Magisk的界面，从左到上滑动滑块。如果出现如下界面，说明安装Magisk成功。

6. 重启话机后，将“maigsk.zip”修改回“Magisk.apk”，使用如下命令安装Magisk管理器。

然后你可以在手机上打开Magisk，发现Magisk已经在工作了。

对于安全从业者和一些需要风控的企业来说，有必要了解用户的手机是否处于风险状态，是否是Root。

1. 包名检测。

由于Magisk是通过Maigsk.apk(管理其su权限)分发的，因此可以通过获取包名来检查用户手机上是否存在Magisk应用程序来确定用户是否使用了Magisk Root:

尝试运行该程序并得到以下结果。

在上面的方法中，可以检测到用户已经安装了Magisk，但由于法律隐私保护，获取包名的方式跨越了隐私遵从线，因此这种方法需要一定的权限，应谨慎使用。

2、专业的安全产品。

顶部图像设备指纹和顶部图像服务感知防御平台可实时有效识别Root风险。

顶像设备指纹：能准确识别模拟器、根、越狱、调试、代码注入、多次打开、VPN代理等风险。包括iOS平台上的钩子和越狱行为、Android root、调试、内存转储、注入、多次打开、模拟器、漏洞攻击等风险行为、WEB平台下的浏览器颜色深度和分辨率、浏览器与系统和UA的匹配和一致性、cookies是否被禁用。

顶级业务安全感知防御平台：主动安全防御平台基于威胁探测、流计算、机器学习等先进技术，集设备风险分析、操作攻击识别、异常行为检测、预警防护于一体，可实时检测摄像头劫持、设备伪造、设备Root等恶意行为，有效防控各类人脸识别系统风险。具有威胁可视化、威胁可追溯、设备关联分析、多账号管理、跨平台支持、主动防御、开放数据访问、防御定制化、全过程防控等特点。

本文从Root的历史入手，讲述了Root的发展历程和获得Root的轶事，教大家从0到1完成自己Android手机的Root，并提出了一些有效的检测Root的方法。Root和HOOK一样，是一把双刃剑。在普通人手中，它可以让系统不再受约束，带来更好的手机使用体验。然而，在黑灰制造商手中，它将成为非法牟利的工具。

在上一篇文章《欲知己之所防，先知彼之所攻——论Hook 技术的攻防对抗》中，我们提到了Hook的攻击。Hook一定需要Root吗？答案是否定的。如果开发者有能力修改美术源代码并劫持Zygote，就可以完成root - tless HOOK操作。根本是降低使用HOOK和HOOK模块管理工具的成本，使HOOK运营者的重点不再放在HOOK的前置条件上，而是更专注于HOOK模块的开发。