小天才手表逆向研究 |
您所在的位置:网站首页 › 小天才z5如何刷机 › 小天才手表逆向研究 |
本人已弃坑,请勿私聊,谢谢! 请注意,有不法分子尝试使用本文章方法写入无绑定barcode盈利,请自行拆开手表扫内部barcode辨认,请在购买前要求商家拆开手表查看barcode贴纸或购买后自行拆开扫描,如果不一致,请立即退货,防止被定位跟踪!!! 如:有人出售无锁机,你购买后他绑定自己app,你收到货发现没有解绑,找他,他开启锁定模式并把你拉黑。 小天才亦或成为新一代定位器 正文: 好吧,这是我第一次写正式的blog。说实在的,本来很早就有打算写这个了,但是没时间啊( 不管了,就开始写吧( 关于小天才小天才手表的内置应用真的一言难尽...Launcher里都能内置nv读写,牛逼。但是生态真的强,不说这些有的没的了。 没啥好说的,直接开搞。 起因很早之前借别人同学的手表拿来研究发现居然无法安装应用,好吧,然后自己花了接近100大洋的冤枉钱去买了个z5q锁机,结果还是被我解了(bushi。如果没有这台z5q,就没有后来的sboot,谢谢你( 我找不到源文件了,但是我就是SBoot开发者其中之一,咋滴,不信你自己去问fatfish,8说了,sboot源文件我们俩都找不到了。 聊天记录感谢xrzyun的XTC文件(https://www.xrzyun.top/blog/XTC-Files),没有这个sboot备份就没有这篇文章(确信 过程对于锁机啊,最简单的不联网解除丢失模式肯定是刷超级恢复了( 刷完之后,发现手表没有adb,咋办?有*#0769651#*这串申必代码,好家伙,输入进去很快啊,adb就打开了。 然后我输入*#0769789#*准备打开开发设置的时候,好家伙,没反应,牛逼了(新系统) 反编译/system/app/XTCSetting/XTCSetting.apk。得到其activity为com.xtc.selftest.ui.ControllerActivity 所以只需要am start com.xtc.selftest/.ui.ControllerActivity即可。 打开充电可使用,串口。 把所有代码送给你们(虽然有些调用不了) secret code实际上,这个就是调用schema开启对应的activity,如果能用webview test的话应该都能调用( 例如0769651,就是setting_secret_code://0769651,不知道这种能不能用am启动?? 解挂失锁首先,如果已经锁定,有adb与sboot的前提下,你可以尝试su后killall com.android.systemui,再rm -rf /data/data/com.xtc.i3launcher/files/*,当然,不推荐,因为这样对方还是能定位你 为了解锁(起码要正常使用网络),开始捣鼓barcode,发现barcode是写死在cmdline里的,反编译aboot发现barcode的nvram id为2497。打开QXDM Professional里的NV Browser,找到02497(Factory Data Storage Area 1,Category为STRIUS Factory,新版QXDM不一定能看到,反正找2497就对了),一共10位(FACTORY_DATA_1[0-9]),为ASCII编码,分别修改即可。修改前先点read读取barcode,修改完后多点几次write防止被系统覆写,再点击reset重启手表。建议是改完之后刷一遍超级恢复,否则需要多次重启系统生效。 如果你买了台锁机,对绑定不感兴趣的,可以备份一遍nv或者记下2497的10位ascii编码,然后再瞎几把改。(万一对方什么时候解除绑定了呢((() 如果对xtc串号感兴趣的,反编译/system/app/XTCLauncher/XTCLauncher.apk。会发现NvApi都整上了(com.xtc里的NvApi类),调用外部jni(nvapi_xtc.so), nvapi继续挖掘,发现com.xtc.rwmac与com.xtc.i3launcher.status.band NvApiUtil类,rwmac没啥用(在新版系统似乎弃用),NvApiUtil才是重量级,内含多个用于测试的barcode/imei等 硬编码然后捏,反编译nvapi_xtc.so,你会发现里面跟shi一样根本没法读。反正怎么改前面都跟你说了,看着办吧(bushi 后来最开始我试的时候,adb install 无法使用,然后pm install是可以的。但是后来小天才官方加了个所谓“pm锁”,导致pm install也不能使用了,小天才万恶之源了属于是。 简单分析下pm install的源码: 提取/system/framework/oat/arm/pm.odex,转dex后反编译,得到pm源码,发现if判断,自己看吧,不多说。 暴力if关于persist.sys.adb.install这个,XTCSetting和XTCLauncher都没有对应的代码,可能需要人工设置??? 于是研究adb install,反编译源boot镜像里的/sbin/adbd(ramdisk来自我XDPT:https://github.com/XTC-Droid-Port-Team/xtc_msm8909w_dump/tree/msm8909w-user-7.1.1-NMF26F-eng.root.20191218.012241-release-keys/boot/ramdisk),好家伙,persist.sys.adb.install没找到,反倒是找到了个persist.sys.adb.apk,而且之前XTCSetting与XTCLauncher都有看到,很难不相信这一定和adb install有关。 (图来自XTCLauncher com.xtc.modulemanager.server ModuleSwitchServerImpl) 彳亍继续看ref,发现引用就在上面( refdeal好家伙,这不是用来切换服务环境的吗,看来我们user和这个无关了( 那就继续看XTCSetting,发现远程开启开关,这就是所谓的“官方开发者解锁”了吧( openDevdealDev哎,问题来了,这个DevNetHelper到底事甚么东西呢?( 有请大家接下来欣赏一段“美丽”的申必代码( 12如何评价:不好评价(bushi 一句话,暴力( 不过xtc用http,真的不怕被抓包吗(bushi 这就事所谓的“官方解锁”,真无聊。 本文已停止更新 |
今日新闻 |
点击排行 |
|
推荐新闻 |
图片新闻 |
|
专题文章 |
CopyRight 2018-2019 实验室设备网 版权所有 win10的实时保护怎么永久关闭 |