在 Chrome OS 和 Android 上,dm-verity 用于验证系统分区。在 Chrome 操作系统中,由于没有初始 RAM 磁盘,因此映射和根摘要通过参数在内核命令行上提供dm
。在Android上,我不知道启动参数中是否包含dm-verity信息(我怀疑没有),但我知道存储在初始RAM磁盘中的公钥用于验证系统分区的根摘要。
我可以看到,当系统运行时,您可能无法修改 Chrome 操作系统中的映射,因为它传递了一个内核参数,这很可能使其不可变。正如我所想,由于 Android 中的映射是在用户空间中设置的,因此我认为我也可以更改它,从而绕过 dm-verity 提供的安全性。那么在这两种情况下,什么可以阻止这种情况发生呢?