Androidは、カスタムシステムサービスのインストールをどのように妨げますか？

セキュアブートプロセスを理解しようとしています。ファームウェアがロックされており、OSイメージの署名付きインストールのみを実行するとします。この「イメージ」は、システムに必要なすべてのバイナリの圧縮されたバンドルです。したがって、これらがインストールされると、ファイルシステムに配置されます。その後、他のバイナリをデバイスにコピーできないのはなぜですか。システムは、それが元のインストールの一部ではないことをどのように認識しますか？

Androidは、読み込まれる前に個々のバイナリの署名検証を行いますか？これがないと、どのように実行できるかわかりません。

ロード時にバイナリ署名の検証がないと仮定すると、私はこれを考えることができます-ルートファイルシステムは読み取り専用でマウントされ、SUを実行するときにSUサービスのみがrwモードで再マウントできます。また、「mount」および「su」プログラムは、（他のプログラムの中でも）インストールの一部にはなりません。これは、誰かがカスタムバイナリをルートパーティションにインストールするのを防ぐのに十分ですか？