请注意，有不法分子尝试使用本文章方法写入无绑定barcode盈利，请自行拆开手表扫内部barcode辨认，请在购买前要求商家拆开手表查看barcode贴纸或购买后自行拆开扫描，如果不一致，请立即退货，防止被定位跟踪！！！

如：有人出售无锁机，你购买后他绑定自己app，你收到货发现没有解绑，找他，他开启锁定模式并把你拉黑。

小天才亦或成为新一代定位器

正文：

好吧，这是我第一次写正式的blog。说实在的，本来很早就有打算写这个了，但是没时间啊（

不管了，就开始写吧（

小天才手表的内置应用真的一言难尽...Launcher里都能内置nv读写，牛逼。但是生态真的强，不说这些有的没的了。

没啥好说的，直接开搞。

很早之前借别人同学的手表拿来研究发现居然无法安装应用，好吧，然后自己花了接近100大洋的冤枉钱去买了个z5q锁机，结果还是被我解了（bushi。如果没有这台z5q，就没有后来的sboot，谢谢你（

我找不到源文件了，但是我就是SBoot开发者其中之一，咋滴，不信你自己去问fatfish，8说了，sboot源文件我们俩都找不到了。

感谢xrzyun的XTC文件（https://www.xrzyun.top/blog/XTC-Files），没有这个sboot备份就没有这篇文章（确信

对于锁机啊，最简单的不联网解除丢失模式肯定是刷超级恢复了（

刷完之后，发现手表没有adb，咋办？有*#0769651#*这串申必代码，好家伙，输入进去很快啊，adb就打开了。

然后我输入*#0769789#*准备打开开发设置的时候，好家伙，没反应，牛逼了（新系统）

反编译/system/app/XTCSetting/XTCSetting.apk。得到其activity为com.xtc.selftest.ui.ControllerActivity

所以只需要am start com.xtc.selftest/.ui.ControllerActivity即可。

打开充电可使用，串口。

把所有代码送给你们（虽然有些调用不了）

实际上，这个就是调用schema开启对应的activity，如果能用webview test的话应该都能调用（

例如0769651，就是setting_secret_code://0769651，不知道这种能不能用am启动？？

首先，如果已经锁定，有adb与sboot的前提下，你可以尝试su后killall com.android.systemui，再rm -rf /data/data/com.xtc.i3launcher/files/*，当然，不推荐，因为这样对方还是能定位你

为了解锁（起码要正常使用网络），开始捣鼓barcode，发现barcode是写死在cmdline里的，反编译aboot发现barcode的nvram id为2497。打开QXDM Professional里的NV Browser，找到02497（Factory Data Storage Area 1，Category为STRIUS Factory，新版QXDM不一定能看到，反正找2497就对了），一共10位(FACTORY_DATA_1[0-9])，为ASCII编码，分别修改即可。修改前先点read读取barcode，修改完后多点几次write防止被系统覆写，再点击reset重启手表。建议是改完之后刷一遍超级恢复，否则需要多次重启系统生效。

如果你买了台锁机，对绑定不感兴趣的，可以备份一遍nv或者记下2497的10位ascii编码，然后再瞎几把改。（万一对方什么时候解除绑定了呢（（（）

如果对xtc串号感兴趣的，反编译/system/app/XTCLauncher/XTCLauncher.apk。会发现NvApi都整上了(com.xtc里的NvApi类)，调用外部jni(nvapi_xtc.so)，

继续挖掘，发现com.xtc.rwmac与com.xtc.i3launcher.status.band NvApiUtil类，rwmac没啥用（在新版系统似乎弃用），NvApiUtil才是重量级，内含多个用于测试的barcode/imei等

然后捏，反编译nvapi_xtc.so，你会发现里面跟shi一样根本没法读。反正怎么改前面都跟你说了，看着办吧（bushi

最开始我试的时候，adb install 无法使用，然后pm install是可以的。但是后来小天才官方加了个所谓“pm锁”，导致pm install也不能使用了，小天才万恶之源了属于是。

简单分析下pm install的源码:

提取/system/framework/oat/arm/pm.odex，转dex后反编译，得到pm源码，发现if判断，自己看吧，不多说。

关于persist.sys.adb.install这个，XTCSetting和XTCLauncher都没有对应的代码，可能需要人工设置？？？

于是研究adb install，反编译源boot镜像里的/sbin/adbd(ramdisk来自我XDPT：https://github.com/XTC-Droid-Port-Team/xtc_msm8909w_dump/tree/msm8909w-user-7.1.1-NMF26F-eng.root.20191218.012241-release-keys/boot/ramdisk)，好家伙，persist.sys.adb.install没找到，反倒是找到了个persist.sys.adb.apk，而且之前XTCSetting与XTCLauncher都有看到，很难不相信这一定和adb install有关。

（图来自XTCLauncher com.xtc.modulemanager.server ModuleSwitchServerImpl）

继续看ref，发现引用就在上面（

好家伙，这不是用来切换服务环境的吗，看来我们user和这个无关了（

那就继续看XTCSetting，发现远程开启开关，这就是所谓的“官方开发者解锁”了吧（

哎，问题来了，这个DevNetHelper到底事甚么东西呢？（

有请大家接下来欣赏一段“美丽”的申必代码（

如何评价：不好评价（bushi

一句话，暴力（

不过xtc用http，真的不怕被抓包吗（bushi

这就事所谓的“官方解锁”，真无聊。