安卓安全编译选项

① 如何设置NDK的编译选项

1. 概述
首先回顾一下 android NDK 开发中，Android.mk 和 Application.mk 各自的职责。
Android.mk，负责配置如下内容：
（1） 模块名（LOCAL_MODULE）
（2） 需要编译的源文件（LOCAL_SRC_FILES）
（3） 依赖的第三方库（LOCAL_STATIC_LIBRARIES，LOCAL_SHARED_LIBRARIES）
（4） 编译/链接选项（LOCAL_LDLIBS、LOCAL_CFLAGS）
Application.mk，负责配置如下内容：
（1） 目标平台的ABI类型（默认值：armeabi）（APP_ABI）
（2） Toolchains（默认值：GCC 4.8）
（3） C++标准库类型（默认值：system）（APP_STL）
（4） release/debug模式（默认值：release）
由此我们可以看到，本文所涉及的编译选项在Android.mk和Application.mk中均有出现，下面我们将一个个详细介绍。
2. APP_ABI
ABI全称是：Application binary interface，即：应用程序二进制接口，它定义了一套规则，允许编译好的二进制目标代码在所有兼容该ABI的操作系统和硬件平台中无需改动就能运行。（具体的定义请参考 网络 或者 维基网络 ）
由上述定义可以判断，ABI定义了规则，而具体的实现则是由编译器、CPU、操作系统共同来完成的。不同的CPU芯片（如：ARM、Intel x86、MIPS）支持不同的ABI架构，常见的ABI类型包括：armeabi，armeabi-v7a，x86，x86_64，mips，mips64，arm64-v8a等。
这就是为什么我们编译出来的可以运行于Windows的二进制程序不能运行于Mac OS/linux/Android平台了，因为CPU芯片和操作系统均不相同，支持的ABI类型也不一样，因此无法识别对方的二进制程序。
而我们所说的“交叉编译”的核心原理也跟这些密切相关，交叉编译，就是使用交叉编译工具，在一个平台上编译生成另一个平台上的二进制可执行程序，为什么可以做到？因为交叉编译工具实现了另一个平台所定义的ABI规则。我们在Windows/Linux平台使用Android NDK交叉编译工具来编译出Android平台的库也是这个道理。
这里给出最新 Android NDK 所支持的ABI类型及区别：

那么，如何指定ABI类型呢？在 Application.mk 文件中添加一行即可：
APP_ABI := armeabi-v7a //只编译armeabi-v7a版本APP_ABI := armeabi armeabi-v7a //同时编译armeabi，armeabi-v7a版本APP_ABI := all //编译所有版本
3. LOCAL_LDLIBS
Android NDK 除了提供了Bionic libc库，还提供了一些其他的库，可以在 Android.mk 文件中通过如下方式添加依赖：
LOCAL_LDLIBS := -lfoo
其中，如下几个库在 Android NDK 编译时就默认链接了，不需要额外添加在 LOCAL_LDLIBS 中：
（1） Bionic libc库
（2） pthread库（-lpthread）
（3） math（-lmath）
（4） C++ support library (-lstdc++)
下面我列了一个表，给出了可以添加到“LOCAL_LDLIBS”中的不同版本的Android NDK所支持的库：

下面是我总结的一些常用的CFLAGS编译选项：
（1）通用的编译选项
-O2 编译优化选项，一般选择O2，兼顾了优化程度与目标大小
-Wall 打开所有编译过程中的Warning
-fPIC 编译位置无关的代码，一般用于编译动态库
-shared 编译动态库
-fopenmp 打开多核并行计算，
-Idir 配置头文件搜索路径，如果有多个-I选项，则路径的搜索先后顺序是从左到右的，即在前面的路径会被选搜索
-nostdinc 该选项指示不要标准路径下的搜索头文件，而只搜索-I选项指定的路径和当前路径。
--sysroot=dir 用dir作为头文件和库文件的逻辑根目录，例如，正常情况下，如果编译器在/usr/include搜索头文件，在/usr/lib下搜索库文件，它将用dir/usr/include和dir/usr/lib替代原来的相应路径。
-llibrary 查找名为library的库进行链接
-Ldir 增加-l选项指定的库文件的搜索路径，即编译器会到dir路径下搜索-l指定的库文件。
-nostdlib 该选项指示链接的时候不要使用标准路径下的库文件
（2） ARM平台相关的编译选项
-marm -mthumb 二选一，指定编译thumb指令集还是arm指令集
-march=name 指定特定的ARM架构，常用的包括：-march=armv6， -march=armv7-a
-mfpu=name 给出目标平台的浮点运算处理器类型，常用的包括：-mfpu=neon，-mfpu=vfpv3-d16
-mfloat-abi=name 给出目标平台的浮点预算ABI，支持的参数包括：“soft”, “softfp” and “hard”

② Android.mk optional编译选项为什么不编译

用Eclipse编译工程，若工程下有libs目录，会自动将里面的*.so库编译到apk包中。我现在需要用到*.so库和Android.mk文件编译工程，但用Eclipse编译时，Android.mk不起作用。 Android.mk好像只有在通过源代码编译工程时才起作用（我目前只发现这个办法），即在Linux环境下的Android源代码目录中，通过make或mmm命令编译。但通过mmm编译的工程，不会把工程下libs目前中的*.so库添加进apk包里，是不是要在Android.mk文件中添加一些申明什么的？ 还有，想知道Android源代码中，重启手机的相关代码在哪个部分。

③ 如何定制android源码的编译选项 amp;后期安装

文件build/core/version_defaults.mk用来检查一些跟版本相关的变量是否定义；如果未定义，则使用默认值。
这些变量包括
PLATFORM_VERSION # 如 2.2.5
PLATFORM_SDK_VERSION # 8, 对应2.2.5
PLATFORM_VERSION_CODENAME # REL，即发行版
DEFAULT_APP_TARGET_SDK # 同SDK_VERSION或VERSION_CODENAME
BUILD_ID # 默认为UNKNOWN
BUILD_NUMBER # 默认eng.$(USER).$(shell date +%Y%m%d.%H%M%S)的形式。

version_defaults.mk首先包含进build_id.mk。用户应当配置build_id.mk，而不应该改动version_defaults.mk文件。然后检查上述变量，如未定义则赋值默认值。

---------------------------------------------------------------------------
关于调试功能(adb)的开启
编译android源码之前总是要先运行build/envsetup.sh，以初始化一些常用命令（实际上是bash的函数，如add_lunch_combo）。
其中也从以下文件中引入了一些编译设置：
device/${CHIPSET_VENDOR}/vendorsetup.sh
我们这里使用的CHIPSET_VENDOR为amlogic。
比如我们有文件device/amlogic/vendorsetup.sh，内容为"产品名-编译类型(flavor)"列表（称为combo），如下：
add_lunch_combo m1ref-eng
add_lunch_combo m1ref-user
add_lunch_combo m2ref-eng
add_lunch_combo m2ref-user
add_lunch_combo stvm3-eng
add_lunch_combo stvm3-user
其中，m1ref和stvm3是产品名（作前缀），后面为编译类型。
除此前缀外可选的combo值有： eng, user, userdebug, tests。
（参考文件build/core/main.mk中对于变量TARGET_BUILD_VARIANT的筛查条件）
我们可以修改vendorsetup.sh文件，来改变为特定设备编译的结果。
以下是各个编译类型的特点：
eng: 工程模式，用于平台级的调试，是默认的编译类型。
待安装的模块tag有: eng, debug, user, development.
安装不带tag的非APK模块；
所安装应用由产品定义文件给出；
默认属性: ro.secure=0, ro.deuggable=1, ro.kernel.android.checkjni=1
adbd默认开启，adb以root身份运行。
user: 即最终用户版;
待安装的应用tag有: user
安装不带tag的非APK模块；
所安装应用由产品定义文件给出；
默认属性有ro.secure=1, ro.debuggable=0；
默认关闭adbd服务（但可通过应用settings来打开，且adb以shell身份运行）；
userdebug: 与user类似，除了：
支持有限的调试功能；
待安装的应用tag有:debug；
默认属性有ro.secure=1, ro.debuggable=1；
默认打开adbd服务，adb以shell身份运行；

例如，由文件build/core/main.mk可以看出，当使用含有userdebug的combo值时，此文件中的临时变量enable_target_debugging会保持为true，相应地，编译过程会执行：
ADDITIONAL_DEFAULT_PROPERTIES += ro.debuggable=1 persist.service.adb.enable=1
这意味着目标系统中根目录下的文件/default.prop文件(对应变量 INSTALLED_DEFAULT_PROP_TARGET )会含有以下行（参考文件build/core/Makefile）：
persist.service.adb.enable=1
由此，目标系统会默认开启adbd服务，你就可以通过其它PC来连接目标系统了。

所以，如要默认开启adbd服务，可在设备（如stvm3）定制文件device/amlogic/vendorsetup.sh中增加以下行：
add_lunch_combo stvm3-userdebug
这样在执行bash的lunch函数时，选择此combo就可以默认打开adbd服务（adb以shell身份运行）。

但是，即使adbd已经开启，你仍可能无法通过网络连接到Android进行调试，这涉及到Android的二个属性:
service.adb.tcp.port (优先级高)
persist.adb.tcp.port (优先级低)
注：可查看源码文件system/core/adb/adb.c。
默认地，这两个属性值是5555。有两种方法来设置此变量：
1）(永久性改变)在Android配置文件/init.rc或/init.$MANUFACTUROR.rc中添加一行：
setprop service.adb.tcp.port 5555
2）(临时性改变)在命令行上（你可能需要先通过串口开一个终端）执行如下命令：
setprop service.adb.tcp.port 5555

检查adbd是否支持通过网络链接Android：执行命令
netstat -l -n | grep ":5555"
如果有LISTEN状态的输出，则表示adbd支持网络模式 :) 。

④ 安卓关闭selinux好处

你好朋友
1. 禁止selinux

1.1 在内核中关闭selinux编译选项CONFIG_SECURITY_SELINUX
1.2 还可以在system.prop中定义ro.boot.selinux=disable
这两种方法都可以禁用selinux,也可以设置成ro.boot.selinux=permissive
宽容模式
1.3 可以通过setenforce1开启enforce模式,setenforce 0为permissive模式
getenforce获取当前模式

2. 所有安全策略最终编译成sepolicy文件放在root目录下,init进程启动后会读取/sepolicy策略文件,并通过/sys/fs/selinux/load节点
把策略文件内容写入内核

3 安全上下文存放root目录
/etc/security/mac_permissions.xml
/file_contexts //系统中所有file_contexts安全上下文
／seapp_contexts //app安全上下文
／property_contexts //属性的安全上下文
／service_contexts //service文件安全上下文

genfs_contexts //虚拟文件系统安全上下文

4. app在/data/data/文件的安全上下文设置过程
1. 根据uid,pkgname,seinfo在seapp_contexts中匹配.
2. 根据匹配到的contexts,重新设置给相对应文件

5. 系统中所有的object class 定义在external/sepolicy/security_classes中.
object class使用在allow语句中，object class所具有的操作定义在external/sepolicy/access_vectors
文件中

6 allow语句
allow语句用来权限设置
rule_name source_type target_type : class perm_set

rule_name : 有allow,neverallow
source_type : 权限主体,表示source_type对target_type有perm_set描述的权限
如:
allow zygote init:process sigchld
允许zygote域里面的进程可对init域的进程发送sigchld信号

typeattribute表示把属性和type关联起来

7 role定义
Android系统中的role定义在external/sepolicy/roles中,
目前只定义了r

8 socket使用
以/data/misc/wifi/sockets/wlan0 socket来说明使用方法
1. 定义socket type
type wpa_socket ,file_type
2. 指定安全上下文
/data/misc/wifi/sockets(/.*)? u:object_r:wpa_socket:s0
给/data/misc/wifi/sockets目录下所有的文件统一指定安全上下文为wpa＿socket
3.声明socket使用权限
在进程te中使用unix_socket_send(clientdomain, wpa, serverdomain)即可建立socket连接

9binder使用
在使用binder进程的te中根据情况使用如下宏:
binder_use(domain)//允许domain域中的进程使用binder通信
binder_call(clientdomain, serverdomain)//允许clientdomain和serverdomain域中的进程通信
binder_service(domain)／／标志domain为service端

10 文件的使用
以/dev/wmtWifi来说明：
1．定义type
type wmtWifi_device dev_type //dev_type用来标志/dev/下的文件
2．给/dev/wmtWifi指定完全上下文
/dev/wmtWifi(/.*)? u:object_r:wmtWifi_device:s0

3.进程权限设置
在进程te文件中allow权限
allow netd wmtWifi_device:chr_file { write open };

11 property 属性设置
以蓝牙的各种属性来说明
1．定义type
type bluetooth_prop, property_type;
2设置安全上下文
bluetooth. u:object_r:bluetooth_prop:s0
3进程权限设置
allow bluetooth bluetooth_prop:property_service set;

5 专业词汇
MLS :Multi-Level Security
RBAC :Role Based Access Control
DAC :Discretionary Access Control
MAC :Mandatory Access Control
TEAC :Type Enforcement Accesc Control
望采纳祝你好运

⑤ 安卓系统APK反编译的问题——设置里添加新选项

我想问如何在一个已经编译的软件里添加新的事件(不是res)(不是我写的软件，没有源码)
我想你这个情况，应该换上原来的签名试试，我反编译改的都是res，不懂添加新的事件，只改res，就必须用原来的签名，

⑥ 如何更改安卓安装包的内置文件

工具：安卓修改大师、一个你要修改的app安装包（这里以贪吃蛇大作战为例）。

1、纯手选取一个要进行反编译的游戏或应用：点击安卓修改大师顶部的安卓游戏选项卡，打开的页面中找到任何一款想修改的游戏，例如，本示例将要修改的游戏为“贪吃蛇大作战”。

更改安卓安装包的内置文件需要反编译已经打包的APK安装包，此方法推荐使用“安卓修改大师”，可以在没有源代码的情况下，直接反编译安装包，通过修改代码实现添加和去除部分功能，也可以修改应用图标和应用程序名称。

⑦ 如何定制android源码的编译选项 后期安装

Android编译过程比较长，配置起来也很麻烦。现仅就工作遇到的问题做个总结。所用硬件平台为amlogic stvm3。---------------------------------------------------------------------------关于版本号：文件build/core/version_defaults.mk用来检查一些跟版本相关的变量是否定义；如果未定义，则使用默认值。这些变量包括 PLATFORM_VERSION # 如 2.2.5 PLATFORM_SDK_VERSION # 8, 对应2.2.5 PLATFORM_VERSION_CODENAME # REL，即发行版 DEFAULT_APP_TARGET_SDK # 同SDK_VERSION或VERSION_CODENAME BUILD_ID # 默认为UNKNOWN BUILD_NUMBER # 默认eng.$(USER).$(shell date +%Y%m%d.%H%M%S)的形式。 version_defaults.mk首先包含进build_id.mk。用户应当配置build_id.mk，而不应该改动version_defaults.mk文件。然后检查上述变量，如未定义则赋值默认值。---------------------------------------------------------------------------关于调试功能(adb)的开启编译android源码之前总是要先运行build/envsetup.sh，以初始化一些常用命令（实际上是bash的函数，如add_lunch_combo）。其中也从以下文件中引入了一些编译设置： device/${CHIPSET_VENDOR}/vendorsetup.sh我们这里使用的CHIPSET_VENDOR为amlogic。比如我们有文件device/amlogic/vendorsetup.sh，内容为"产品名-编译类型(flavor)"列表（称为combo），如下： add_lunch_combo m1ref-eng add_lunch_combo m1ref-user add_lunch_combo m2ref-eng add_lunch_combo m2ref-user add_lunch_combo stvm3-eng add_lunch_combo stvm3-user其中，m1ref和stvm3是产品名（作前缀），后面为编译类型。除此前缀外可选的combo值有： eng, user, userdebug, tests。（参考文件build/core/main.mk中对于变量TARGET_BUILD_VARIANT的筛查条件）我们可以修改vendorsetup.sh文件，来改变为特定设备编译的结果。以下是各个编译类型的特点： eng: 工程模式，用于平台级的调试，是默认的编译类型。 待安装的模块tag有: eng, debug, user, development. 安装不带tag的非APK模块； 所安装应用由产品定义文件给出； 默认属性: ro.secure=0, ro.deuggable=1, ro.kernel.android.checkjni=1 adbd默认开启，adb以root身份运行。 user: 即最终用户版; 待安装的应用tag有: user 安装不带tag的非APK模块； 所安装应用由产品定义文件给出； 默认属性有ro.secure=1, ro.debuggable=0； 默认关闭adbd服务（但可通过应用settings来打开，且adb以shell身份运行）； userdebug: 与user类似，除了： 支持有限的调试功能； 待安装的应用tag有:debug；