前言
華為手機在刷入第三方rom需要首先解鎖手機,而獲取解鎖碼必須要在華為官網進行,并且有14天限制,這無疑給某些特殊需求的用戶和rom定制廠商設置了一個很大難題,也為華為保護自身定制軟件提供了有利因素,因此這里給出獲取華為解鎖碼的思路。方法一 通過在內置存儲卡中dump出nvme分區,搜索WVDEVID關鍵字獲得,這樣做的缺陷是手機需要root
255|shell@hwp7:/ $ su
root@hwp7:/ # cd /storage/sdcard1/
root@hwp7:/storage/sdcard1 # mkdir -p PartitionBackup
root@hwp7:/storage/sdcard1 # cd PartitionBackup
root@hwp7:/storage/sdcard1/PartitionBackup # dd of=nvme if=/dev/block/platform/hi_mci.0/by-name/nvme
8192+0 records in
8192+0 records out
4194304 bytes transferred in 0.916 secs (4578934 bytes/sec)
root@hwp7:/storage/sdcard1/PartitionBackup # dd of=oeminfo if=/dev/block/platform/hi_mci.0/by-name/oeminfo
65536+0 records in
65536+0 records out
33554432 bytes transferred in 8.768 secs (3826919 bytes/sec)
root@hwp7:/storage/sdcard1/PartitionBackup # dd of=recovery if=/dev/block/platform/hi_mci.0/by-name/recovery
32768+0 records in
32768+0 records out
16777216 bytes transferred in 4.419 secs (3796609 bytes/sec)
root@hwp7:/storage/sdcard1/PartitionBackup # strings nvme | grep WVDEVID -B 1
方法二
通過華為工程模式獲得,但是需要獲得工程模式授權,具體逆向思路如下(華為工程模式的詳細介紹請問度娘:))
0x00得到撥號##2846579##呼出的工程模式設置activity的信息**
1.首先撥號##2846579##呼出工程模式菜單ProjectMenuAct
2.輸入:adb shell dumpsys activity|grep “Runningactivities” –A 7
得到ProjectMenuAct這個Activity的信息,從下圖可以看出來該Activity所在的包名為com.android.huawei.projectmenu。
3.得到包名為com.android.huawei.projectmenu對應的apk路徑
可以知道ProjectMenuAct這個Activity在/system/app/ProjectMenuAct.apk中,我們把這個apk以及odex給pull下來進行逆向分析。
0x01 反編譯ProjectMenuAct .odex
由于華為手機的dalvik虛擬機添加了一些內部java方法,直接用baksmali反編譯會失敗,需要特殊處理,請詳見:Android逆向之逆向框架層
0x02 分析ProjectMenuAct應用
通過代碼可以看出,ProjectMenuAct通過android屬性系統啟動了一個名為atcmdserver的進程用于作為華為手機工程模式的服務端。
0x03逆向atcmdserver
用IDA attach進程atcmdserver
通過在IDA中搜索字符串關鍵字key,結合交叉引用我們可以逐步找到華為工程模式的命令表所在的內存地址,如下圖所示:
進一步調試發現華為工程模式的驗證授權流程的主要邏輯是通過
AT^CHECKAUTHORITY
AT^CONFORMAUTHORITY=
而獲取bootloader解鎖碼是如下指令(必須通過授權之后才能獲得)
AT^WVKEY?
每一條指令都有先對應的函數來處理,下圖中貼出AT^CHECKAUTHORITY的處理程序(圖中的各函數通過各種分析處理后修復了堆棧平衡并且根據函數具體功能進行了重命名)
具體的邏輯請見測試代碼,如下:
import serial
import time
def calckey(seed):
pass #這里不給出具體加密算法,鑒于合同原因,只給出思路
def serio(ser , istr , timeout = 0.5):
ser.timeout = timeout
istr=istr +"\r\n"
ser.write(istr)
ostr = ser.readall()
print "send:%s\trecv:%s"%(repr(istr),repr(ostr))
return ostr
ser = serial.Serial('com31',115200)
#ostr = serio(ser , 'AT^LED')
#ostr = serio(ser , '?')
#ostr = serio(ser , 'AT^FBLOCK?')
ostr = serio(ser , 'AT^MODEM=0')
ostr = serio(ser , 'AT^CURC=0')
ostr = serio(ser , 'AT^WVKEY?')
ostr = serio(ser , 'AT^CHECKAUTHORITY=?')
ostr = serio(ser , 'AT^CHECKAUTHORITY')
seed = ostr.split("\r\n")[1]
seed = seed[seed.index(":")+1:].strip()
key = calckey(seed)
#key = 'aa06c7b48dd42909926e8223f34aed30baea9bbe44926d818aa81464f5178150a66da672483cbab08a13cc7240d85066878c2a640c4cf26f3d8a8b6969d0a788304bab1dd567fe80bc6c1ca170eda312af3cb0089f12bdde014dd2a0d516526e8ac403a112ec81e20f3f692dc3d7abb590c2b312613422d6a734817310732125'
ostr = serio(ser , 'AT^CONFORMAUTHORITY='+key)
time.sleep(3000)
"""
ostr = serio(ser , 'AT^CURC=0')
ostr = serio(ser , 'AT^SN?')
ostr = serio(ser , 'AT^BSN?') #Serial NR
ostr = serio(ser , 'AT^PHYNUM?')
ostr = serio(ser , 'AT^ALLVER?')
ostr = serio(ser , 'AT^FBLOCK?')
ostr = serio(ser , 'AT^GETRAM?')
ostr = serio(ser , 'AT^GETEMMC?')
ostr = serio(ser , 'AT^WVKEY?')
ostr = serio(ser , 'AT^VENDORCOUNTRY?')
ostr = serio(ser , 'AT^MODEM=1')
ostr = serio(ser , 'AT^MODEM=1')
ostr = serio(ser , 'AT^CURC=0')
ostr = serio(ser , 'AT^CURC=0')
ostr = serio(ser , 'AT^PHYNUM?')
ostr = serio(ser , 'AT^SIMLOCKDATAREAD?')
ostr = serio(ser , 'AT^IDENTIFYSTART')
"""
ser.close()
另外我在上傳了分析過程中保存的版本為IDA6.6的idb分析文件,用IDA打開后按快捷鍵ctrl+M能看到我處理過后的函數,能大大簡化逆向分析工程,詳見:
