写在前面

此文章中仅涉及Nya已知的部分恶意Magisk模块的代码实现方式,并不是一切恶意模块都是如此,一切请以实际情况为主。如有能力,尽可能在刷入任何模块前对其中代码进行分析。

请勿蓄意向他人分享恶意模块!你有可能会有牢狱之灾

不要试图制作类似的恶意模块!

具体例子

rm法

恶意代码位置

此种模块大多会在模块内的:

  • META-INF/com/google/android/目录下两文件

  • 部分特别指定的脚本

中嵌入恶意代码。

此方式简单粗暴,操作效果类似于sudo rm -rf /*

危险程度

  • 直接删除根目录法 低 爱玩机工具箱的Magisk模块检测功能目前(未来可能会出现变种)可以很好的检测出这种恶意模块。就算误刷入,也会由于根目录下文件夹排列的原因无法彻底摧毁系统。可以通过恢复出厂设置的方式来恢复系统。
  • 指定删除的目录顺序 较低 爱玩机工具箱的Magisk模块检测功能目前(未来可能会出现变种)可以很好的检测出这种恶意模块。请注意,如果恶意代码指定先删除如/system而不是以字母顺序排列的/data,你的系统就真正的需要进一步的修复,如线刷甚至9008等。

dd法

恶意代码位置

此种模块大多会在模块内的:

  • META-INF/com/google/android/目录下两文件

  • 部分特别指定的脚本

中嵌入恶意代码。

此方式简单粗暴,但效果远超rm法。

危险程度

  • 较高 dd可以被用来从一项东西读取数据并写入另一项东西。在root条件下打开/dev/block,你就会发现你的手机的磁盘分区。他们可能是一堆mmcblk亦或者是sda,sdb,sdc……使用dd可以从/dev/zero,/dev/urandom,/dev/random读取并写入分区。这会导致分区完全被摧毁,数据也无法恢复。通常这类代码并不只会单独的覆写一个分区,而是将所有的分区一网打尽。因此,这将会导致真正意义上的变砖,甚至连9008都可能救不回来。

幸运的是,爱玩机工具箱可以检测出这种代码并提给予提示。

分区软件法

恶意代码位置

此种模块大多会在模块内的:

  • META-INF/com/google/android/目录下两文件

  • 部分特别指定的脚本

中嵌入恶意代码,并会携带一份可执行文件。这些文件可能是partedfdisk等可以通过cli处理磁盘分区的可执行文件。

此方式相比于前两种较难,但危害远大于前两种。

危险程度

  • 高 Android启动时,会根据事先设定好的分区一步一步挂载分区并启动。因此,当一个排名交较前的分区被磁盘分区软件删除时,所有的处于此分区后的分区的序列都会减一。这导致系统启动时无法正确挂载分区,导致变砖。

很遗憾,爱玩机工具箱并不能检测出这种恶意模块。故其危险程度要高于dd法而为高。