获取华为解锁码的思路

前言
华为手机在刷入第三方rom需要首先解锁手机,而获取解锁码必须要在华为官网进行,并且有14天限制,这无疑给某些特殊需求的用户和rom定制厂商设置了一个很大难题,也为华为保护自身定制软件提供了有利因素,因此这里给出获取华为解锁码的思路。方法一 通过在内置存储卡中dump出nvme分区,搜索WVDEVID关键字获得,这样做的缺陷是手机需要root

255|shell@hwp7:/ $ su
root@hwp7:/ # cd /storage/sdcard1/
root@hwp7:/storage/sdcard1 # mkdir -p PartitionBackup
root@hwp7:/storage/sdcard1 # cd PartitionBackup
root@hwp7:/storage/sdcard1/PartitionBackup # dd of=nvme if=/dev/block/platform/hi_mci.0/by-name/nvme
8192+0 records in
8192+0 records out
4194304 bytes transferred in 0.916 secs (4578934 bytes/sec)
root@hwp7:/storage/sdcard1/PartitionBackup # dd of=oeminfo if=/dev/block/platform/hi_mci.0/by-name/oeminfo
65536+0 records in
65536+0 records out
33554432 bytes transferred in 8.768 secs (3826919 bytes/sec)
root@hwp7:/storage/sdcard1/PartitionBackup # dd of=recovery if=/dev/block/platform/hi_mci.0/by-name/recovery
32768+0 records in
32768+0 records out
16777216 bytes transferred in 4.419 secs (3796609 bytes/sec)
root@hwp7:/storage/sdcard1/PartitionBackup # strings nvme | grep WVDEVID -B 1

方法二
通过华为工程模式获得,但是需要获得工程模式授权,具体逆向思路如下(华为工程模式的详细介绍请问度娘:))

0x00得到拨号##2846579##呼出的工程模式设置activity的信息**
1.首先拨号##2846579##呼出工程模式菜单ProjectMenuAct
2.输入:adb shell dumpsys activity|grep “Runningactivities” –A 7
得到ProjectMenuAct这个Activity的信息,从下图可以看出来该Activity所在的包名为com.android.huawei.projectmenu。

3.得到包名为com.android.huawei.projectmenu对应的apk路径



可以知道ProjectMenuAct这个Activity在/system/app/ProjectMenuAct.apk中,我们把这个apk以及odex给pull下来进行逆向分析。

0x01 反编译ProjectMenuAct .odex
由于华为手机的dalvik虚拟机添加了一些内部java方法,直接用baksmali反编译会失败,需要特殊处理,请详见:Android逆向之逆向框架层
0x02 分析ProjectMenuAct应用


通过代码可以看出,ProjectMenuAct通过android属性系统启动了一个名为atcmdserver的进程用于作为华为手机工程模式的服务端。

0x03逆向atcmdserver
用IDA attach进程atcmdserver


通过在IDA中搜索字符串关键字key,结合交叉引用我们可以逐步找到华为工程模式的命令表所在的内存地址,如下图所示:

进一步调试发现华为工程模式的验证授权流程的主要逻辑是通过
AT^CHECKAUTHORITY
AT^CONFORMAUTHORITY=
而获取bootloader解锁码是如下指令(必须通过授权之后才能获得)
AT^WVKEY?

每一条指令都有先对应的函数来处理,下图中贴出AT^CHECKAUTHORITY的处理程序(图中的各函数通过各种分析处理后修复了堆栈平衡并且根据函数具体功能进行了重命名)

具体的逻辑请见测试代码,如下:

import serial  
import time  
  
def calckey(seed):  
    pass  #这里不给出具体加密算法,鉴于合同原因,只给出思路  
  
def serio(ser , istr , timeout = 0.5):  
    ser.timeout = timeout  
    istr=istr +"\r\n"  
    ser.write(istr)  
    ostr = ser.readall()  
    print "send:%s\trecv:%s"%(repr(istr),repr(ostr))  
    return ostr  
      
ser = serial.Serial('com31',115200)  
#ostr = serio(ser , 'AT^LED')  
#ostr = serio(ser , '?')  
#ostr = serio(ser , 'AT^FBLOCK?')  
ostr = serio(ser , 'AT^MODEM=0')  
ostr = serio(ser , 'AT^CURC=0')  
ostr = serio(ser , 'AT^WVKEY?')  
ostr = serio(ser , 'AT^CHECKAUTHORITY=?')  
ostr = serio(ser , 'AT^CHECKAUTHORITY')  
seed = ostr.split("\r\n")[1]  
seed = seed[seed.index(":")+1:].strip()  
key = calckey(seed)  
#key = 'aa06c7b48dd42909926e8223f34aed30baea9bbe44926d818aa81464f5178150a66da672483cbab08a13cc7240d85066878c2a640c4cf26f3d8a8b6969d0a788304bab1dd567fe80bc6c1ca170eda312af3cb0089f12bdde014dd2a0d516526e8ac403a112ec81e20f3f692dc3d7abb590c2b312613422d6a734817310732125'  
ostr = serio(ser , 'AT^CONFORMAUTHORITY='+key)  
time.sleep(3000)  
""" 
ostr = serio(ser , 'AT^CURC=0') 
ostr = serio(ser , 'AT^SN?') 
ostr = serio(ser , 'AT^BSN?') #Serial NR 
ostr = serio(ser , 'AT^PHYNUM?')  
ostr = serio(ser , 'AT^ALLVER?') 
ostr = serio(ser , 'AT^FBLOCK?') 
ostr = serio(ser , 'AT^GETRAM?') 
ostr = serio(ser , 'AT^GETEMMC?') 
ostr = serio(ser , 'AT^WVKEY?') 
ostr = serio(ser , 'AT^VENDORCOUNTRY?') 
 
ostr = serio(ser , 'AT^MODEM=1') 
ostr = serio(ser , 'AT^MODEM=1') 
ostr = serio(ser , 'AT^CURC=0') 
ostr = serio(ser , 'AT^CURC=0') 
ostr = serio(ser , 'AT^PHYNUM?') 
ostr = serio(ser , 'AT^SIMLOCKDATAREAD?') 
ostr = serio(ser , 'AT^IDENTIFYSTART') 
"""  
ser.close()  

另外我在上传了分析过程中保存的版本为IDA6.6的idb分析文件,用IDA打开后按快捷键ctrl+M能看到我处理过后的函数,能大大简化逆向分析工程,详见:

http://download.csdn.net/detail/autohacker/9438916

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 206,214评论 6 481
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 88,307评论 2 382
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 152,543评论 0 341
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 55,221评论 1 279
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 64,224评论 5 371
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,007评论 1 284
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,313评论 3 399
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,956评论 0 259
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,441评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,925评论 2 323
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,018评论 1 333
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,685评论 4 322
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,234评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,240评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,464评论 1 261
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,467评论 2 352
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,762评论 2 345

推荐阅读更多精彩内容