关键点：

1.android系统默认不提供su

2.android系统的su和linux的su不同，不需要密码验证

su其实是个权限的切换，root用户使用可以切换到普通用户，普通用户使用可以切换到root用户（前提是普通用户有权限）

3.如果将一个文件设置成rws权限，那么任何用户执行此文件，都将拥有这个文件用户所有者的权限

也就说如果su的拥有者是root，并且权限为rws，则普通用户执行su也将拥有root权限

root原理：

1.把一个所有者是root的su拷贝到Android手机上

2.将su的权限标志位置成-rwsr-xr-x

具体操作：

cp /data/tmp/su /system/bin/ #copy su 到/system/分区
chown root:root su #su的所有者置成root

chmod 4775 /system/bin/su #把su置成-rwsr-xr-x

但是执行以上三行代码，需要root权限，而我们执行代码是为了获取root权限，死逻辑循环

解决办法：

找一个本身拥有root权限的进程来执行上述代码，也就是找一些root权限的系统漏洞。

比如用来破解Android2.3 root权限的zergRush漏洞就是利用一个拥有root权限的进程栈溢出漏洞