Kali Nethunter 核心編譯範例

範例 Samsung Galaxy Note 5

## 下載原始碼
http://opensource.samsung.com/reception/receptionSub.do?method=sub&sub=T&menu_item=mobile&classification1=mobile_phone
搜尋 SM-N9208 下載
下載後解壓縮

1. unzip SM-N9208_TW_NN_Opensource.zip
   
2. cd SM-N9208_TW_NN_Opensource
   
3. 
   
4. mkdir Kernel && cd Kernel
   
5. tar zxvf ../Kernel.tar.gz
   
6. cd ..
   

複製代碼

## 下載編譯工具

1. git clone https://android.googlesource.com/platform/prebuilts/gcc/linux-X86/aarch64/aarch64-linux-android-4.9 PLATFORM/prebuilts/gcc/linux-x86/aarch64/aarch64-linux-android-4.9 -b nougat-release --depth=1

複製代碼

## 指定編譯器
修改 Makefile 檔案

1. CROSS_COMPILE   ?= ../PLATFORM/prebuilts/gcc/linux-x86/aarch64/aarch64-linux-android-4.9/bin/aarch64-linux-android-
   

複製代碼

## 核心配置

1. cd Kernel
   
2. 
   
3. make ARCH=arm64 noblelte_tw_defconfig
   
4. 
   
5. make ARCH=arm64 menuconfig

複製代碼

以下驅動選擇自己需要的，不必全選，因為模塊太多，容量可能會不夠。
MAC80211 要使用外接USB無線網卡是必備的。

<*> 是將驅動編進核心
<M> 是將驅動編成模塊  XXX.ko

# MAC80211 網路驅動
模塊 mac80211.ko

1. Networking support > Wireless
   
2.     <M> Generic IEEE 802.11 Networking Stack (mac80211)

複製代碼

# USB Modem & USB ATAPI 驅動
這是外接 USB Modem 跟 USB光碟機的驅動
模塊 cdc-acm.ko、ums-freecom.ko

1. Device Drivers > USB support
   
2.     <M> USB Modem (CDC ACM) support
   
3.     <M> Freecom USB/ATAPI Bridge support

複製代碼

# USB 無線網卡驅動
Device Drivers > Network device support > Wireless LAN
選擇需要的驅動
範例: Atheros 晶片無線網卡

1. <*> Atheros Wireless Cards  --->
   
2.     <M>   Atheros 802.11n wireless cards support (Atheros ath9k)
   
3.     <M>   Atheros HTC based wireless cards support (Atheros ath9k HTC)
   
4.     <M>   Linux Community AR9170 802.11n USB support
   
5. 
   
6.     <M>   Atheros mobile chipsets support
   
7.     <M>   Atheros ath6kl SDIO support
   
8.     <M>   Atheros ath6kl USB support
   
9. 
   
10.     <M>   Atheros AR5523 wireless driver support
    
11. 
    
12.     <M>   Atheros 802.11ac wireless cards support (Atheros ath10k)
    
13.     <M>   Qualcomm Atheros WCN3660/3680 support

複製代碼

# USB 藍芽驅動

1. Networking support > Bluetooth subsystem support > Bluetooth device drivers
   
2. <M> HCI USB driver
   
3. <M> HCI UART driver
   
4. <M> HCI BCM203x USB driver
   
5. <M> HCI BPA10x USB driver
   
6. <M> HCI BlueFRITZ! USB driver

複製代碼

# USB 網卡驅動

1. Device Drivers > Network device support > USB Network Adapters
   
2. <M> USB Pegasus/Pegasus-II based ethernet device support
   
3. <M> USB RTL8150 based ethernet device support
   
4. <M> Realtek RTL8152 Based USB 2.0 Ethernet Adapters

複製代碼

# mac80211 注入 Patch

1. wget https://raw.githubusercontent.com/Mint-Fans/linux-package/kali/mac80211.patch
   
2. patch -p0 -i mac80211.patch

複製代碼

## 編譯 Kernel

1. make -j$(nproc) ARCH=arm64
   
2. 
   
3. export INSTALL_PATH=$(pwd)/out
   
4. export INSTALL_MOD_PATH=$(pwd)/out
   
5. 
   
6. make -j$(nproc) ARCH=arm64 modules_install
   
7. make -j$(nproc) ARCH=arm64 install

複製代碼

編譯完成後檔案在 out 目錄下

三星機種 TIMA 模塊認證繞過補釘

修改目標：核心原始碼

三星要繞過 TIMA 模塊認証，二進位補釘幾乎沒辦法，只能重編核心。

menuconfig 核心配置好之後

* 刪除 .config 裡面的 _TIMA 項目

1. CONFIG_TIMA=y
   
2. CONFIG_TIMA_LKMAUTH=y
   
3. CONFIG_TIMA_RKP=y
   
4. CONFIG_TIMA_LOG=y
   
5. CONFIG_SEC_DEBUG_TIMA_LOG=y

複製代碼

sed 指令刪除:

1. sed -i "/_TIMA/d" .config

複製代碼

* 替換 module.c
到Linux 官方下載 Linux 核心原始碼 (對應手機核心版本下載)
取出Linux原始碼的 kernel/module.c 替換掉三星原始碼的 kernel/module.c

* 刪除  Makefile 裡面 CONFIG_TIMA 編譯配置

1. ifeq ($(CONFIG_TIMA_LKMAUTH),y)
   
2. ifeq ($(CONFIG_TIMA),y)
   
3.     KBUILD_CFLAGS += -DTIMA_LKM_AUTH_ENABLED -Idrivers/gud/gud-exynos7420/MobiCoreKernelApi/include/
   
4.     KBUILD_AFLAGS += -DTIMA_LKM_AUTH_ENABLED
   
5. endif
   
6. endif
   

複製代碼

這是三星機種獨有的，好在三星核心有開放原始碼。

刷進重編的核心之後，手機會不斷提出安全性警告，把 SecurityLogAgent 凍結或刪除即可。
APK 位置：/system/app/SecurityLogAgent/SecurityLogAgent.apk

模塊 vermagic 繞過補釘

kernel/module.c

* 找到函數 check_version

1. static int check_version(Elf_Shdr *sechdrs,
   
2.                          unsigned int versindex,
   
3.                          const char *symname,
   
4.                          struct module *mod,
   
5.                          const unsigned long *crc,
   
6.                          const struct module *crc_owner)
   
7. {
   
8.         unsigned int i, num_versions;
   
9.         struct modversion_info *versions;
   
10. 
    
11.         /* Exporting module didn"t supply crcs?  OK, we"re already tainted. */
    
12.         if (!crc)
    
13.                 return 1;
    
14. 
    
15.         /* No versions at all?  modprobe --force does this. */
    
16.         if (versindex == 0)
    
17.                 return try_to_force_load(mod, symname) == 0;
    
18. 
    
19.         versions = (void *) sechdrs[versindex].sh_addr;
    
20.         num_versions = sechdrs[versindex].sh_size
    
21.                 / sizeof(struct modversion_info);
    
22. 
    
23.         for (i = 0; i < num_versions; i++) {
    
24.                 if (strcmp(versions[i].name, symname) != 0)
    
25.                         continue;
    
26. 
    
27.                 if (versions[i].crc == maybe_relocated(*crc, crc_owner))
    
28.                         return 1;
    
29.                 pr_debug("Found checksum %lX vs module %lX
    
30. ",
    
31.                        maybe_relocated(*crc, crc_owner), versions[i].crc);
    
32.                 goto bad_version;
    
33.         }
    
34. 
    
35.         printk(KERN_WARNING "%s: no symbol version for %s
    
36. ",
    
37.                mod->name, symname);
    
38.         return 0;
    
39. 
    
40. bad_version:
    
41.         printk("%s: disagrees about version of symbol %s
    
42. ",
    
43.                mod->name, symname);
    
44.         return 0;
    
45. }
    

複製代碼

改成

1. static int check_version(Elf_Shdr *sechdrs,
   
2.                          unsigned int versindex,
   
3.                          const char *symname,
   
4.                          struct module *mod,
   
5.                          const unsigned long *crc,
   
6.                          const struct module *crc_owner)
   
7. {
   
8.         return 1;
   
9. }

複製代碼

* 找到函數 check_modstruct_version

1. static inline int check_modstruct_version(Elf_Shdr *sechdrs,
   
2.                                           unsigned int versindex,
   
3.                                           struct module *mod)
   
4. {
   
5.         const unsigned long *crc;
   
6. 
   
7.         /* Since this should be found in kernel (which can"t be removed),
   
8.          * no locking is necessary. */
   
9.         if (!find_symbol(VMLINUX_SYMBOL_STR(module_layout), NULL,
   
10.                          &crc, true, false))
    
11.                 BUG();
    
12.         return check_version(sechdrs, versindex,
    
13.                              VMLINUX_SYMBOL_STR(module_layout), mod, crc,
    
14.                              NULL);
    
15. }

複製代碼

改成

1. static inline int check_modstruct_version(Elf_Shdr *sechdrs,
   
2.                                           unsigned int versindex,
   
3.                                           struct module *mod)
   
4. {
   
5.         return 1;
   
6. }
   

複製代碼

* 找到函數 check_modinfo
static int check_modinfo

將以下內容刪除或註解掉

1.         int err;
   
2. 
   
3.         /* This is allowed: modprobe --force will invalidate it. */
   
4.         if (!modmagic) {
   
5.                 err = try_to_force_load(mod, "bad vermagic");
   
6.                 if (err)
   
7.                         return err;
   
8.         } else if (!same_magic(modmagic, vermagic, info->index.vers)) {
   
9.                 printk(KERN_ERR "%s: version magic "%s" should be "%s"
   
10. ",
    
11.                        mod->name, modmagic, vermagic);
    
12.                 return -ENOEXEC;
    
13.         }

複製代碼

* 找到函數 try_to_force_load
整段刪除或註解掉。

1. static int try_to_force_load(struct module *mod, const char *reason)
   
2. {
   
3. #ifdef CONFIG_MODULE_FORCE_LOAD
   
4.         if (!test_taint(TAINT_FORCED_MODULE))
   
5.                 printk(KERN_WARNING "%s: %s: kernel tainted.
   
6. ",
   
7.                        mod->name, reason);
   
8.         add_taint_module(mod, TAINT_FORCED_MODULE, LOCKDEP_NOW_UNRELIABLE);
   
9.         return 0;
   
10. #else
    
11.         return -ENOEXEC;
    
12. #endif
    
13. }

複製代碼

這樣一來才能自由添加驅動模塊。