介绍
RootHawk 是一款面向 Android 系统的开源根权限检测工具,依托 GitHub 开源生态构建,聚焦于 Android 设备根权限(Root)的精准识别与分析。该工具整合了多维度检测逻辑,涵盖对 su 二进制文件、权限管理框架、系统分区篡改痕迹及 Magisk 等常见 Root 工具特征的扫描,通过系统化的检测算法与特征匹配机制,实现对设备 Root 状态的全面判定。其开源特性为移动安全研究、安卓系统安全审计提供了可复用的技术框架,可辅助研究人员探究 Root 权限滥用风险,也为移动端安全防护方案的构建提供了技术参考与验证依据。
工具测试
序号 | 操作系统 | 测试漏洞 | 测试结果 | 说明 |
1 | AnolisOS | CVE-2026-31431 / Copy Fail | ✅ 成功 | 工具在该系统环境下测试通过 |
2 | openEuler | CVE-2026-31431 / Copy Fail | ✅ 成功 | 工具在该系统环境下测试通过 |
3 | 统信 UOS | CVE-2026-31431 / Copy Fail | ✅ 成功 | 工具在该系统环境下测试通过 |
4 | openKylin | CVE-2026-31431 / Copy Fail | ✅ 成功 | 工具在该系统环境下测试通过 |
5 | Ubuntu | CVE-2026-31431 / Copy Fail | ✅ 成功 | 工具在该系统环境下测试通过 |
6 | CentOS 7 | CVE-2021-4034 / PwnKit | ✅ 成功 | 工具在该系统环境下测试通过 |
信创系统openEuler
DirtyFrag
./RootHawk-amd64 -e CVE-2026-43284CopyFai
./RootHawk-amd64 -e CVE-2026-31431CVE-2021-4034
./RootHawk-amd64 -e CVE-2026-4034支持漏洞及使用
CVE 编号 | 常见名称/别名 | 漏洞类型/组件 |
CVE-2026-31431 | Copy Fail | Linux Kernel 本地提权,涉及 crypto / AF_ALG / algif_aead 相关逻辑问题。 |
CVE-2026-43284 | Dirty Frag,也有人叫 CopyFail2 | Linux Kernel 本地提权,涉及 xfrm/esp、shared skb frags 等内核网络/数据包处理路径。 |
CVE-2021-4034 | PwnKit | Polkit 的 pkexec 本地提权漏洞。 |
CVE-2021-3560 | Polkit D-Bus 权限绕过 / Polkit Authentication Bypass | Polkit 本地提权,可通过 D-Bus 请求绕过凭据检查,提升权限;没有像 PwnKit 那样特别统一的短名字。 |
CVE-2022-0847 | Dirty Pipe | Linux Kernel 本地提权,管道机制相关漏洞。 |
参数说明
-list 显示当前集成的 CVE 模块 -e <名称> 执行指定 CVE 或别名 -any 按列表顺序执行全部模块 -pk <路径> 指定 CVE-2021-4034 使用的 pkexec 路径,默认 /usr/bin/pkexec -backup <路径> CVE-2026-31431 执行前备份 su 到指定路径 -exec <路径> CVE-2026-31431 提权后执行指定程序,而不是进入 su -v 尽量输出详细日志 -help 显示帮助使用方法
查看帮助:
./RootHawk-amd64 -help查看模块列表:
./RootHawk-amd64 -list执行指定 CVE:
./RootHawk-amd64 -e CVE-2022-0847按顺序执行全部模块:
./RootHawk-amd64 -anyGithub链接
https://github.com/KivenMit/CialloVOL
)
