-rwxr-xr-x：r代表该文件可读，w代表可写，x代表可执行，-代表没有该权限。第一个rwx代表文件所有者的权限，第二个rwx代表和所有者同组人的权限，第三个rwx代表其他用户对该文件的权限。但下面这个文件就比较特殊。

rws。它的执行权限标识位是一个 s，s 代表当任何一个用户执行该文件的时候都拥有文件所有者的权限，这文件的所有者是Root，简单来说就是不管谁执行这个文件，他执行的时候都是以Root身份执行的。

也就说即使不是 Root 也有可能以 Root 身份来执行程序，那么就把一个所有者是 Root的su程序权限标识位置成-rwsr-xr-x，不管谁执行它，都是Root身份执行，su就可以顺利执行了，执行成功之后就是Root身份了。

所以，需要把一个所有者是Root的su拷贝到Android手机上，并且把su的权限标识位置成-rwsr-xr-x，就成功Root了一个手机

但是每一行代码都要Root权限才能执行成功，就是说只有在有Root权限的情况下才能执行上面3行代码，而这3行代码就是为了获得Root权限的，这是一个逻辑闭环，正常情况下是无法实现的。

目前有以下两种思路。
找到一个已经有Root权限的进程来完成上述的命令，一般就是利用系统漏洞提升权限到Root，init进程启动的服务进程，如adbd、rild、mtpd、vold都是有Root权限的。比较经典的是RageAgainstTheCage漏洞，通过adbd启动时候自动降级Shell权限失败，adbd仍然运行在Root权限下面，再用adb连接设备，adb就运行在了Root权限下

另一个就是通过系统之外植入，如通过Recovery刷机的形式刷入su。