Qual+Android方案Unlock学习 以Oneplus7Pro为例

已于 2023-10-17 12:01:56 修改
阅读量808 收藏 2
点赞数
分类专栏: 技术干货 文章标签: 学习 网络安全 安全 web安全
于 2023-10-12 14:59:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hackzkaq/article/details/133790647
版权
本文作者通过逆向工程探讨了如何解锁OnePlus7Pro的Bootloader,涉及Unpack OPS固件、Firehose提取、解锁流程分析、分区读写以及MSM Download逆向等步骤,分享了在解锁过程中遇到的问题和解决方案。
摘要由CSDN通过智能技术生成

目录

背景

Unpack guacamole_21_H.04_190416.ops

Unlock探究

开发者选项–允许解锁

fastboot oem unlock

extract LinuxLoader from abl

过程分析

FH读写分区

逆向MSM Download

USB抓包

token & pk 逆向结果

尝试修改分区实现unlock

VerifiedBoot Protocol 分析

结束

参考

                                hack渗透视频教程,扫码免费领

背景

严格意义上来说本文应该叫做: <<我本来只是想救个砖,但是却逆向了刷机工具尝试搞清楚android unlock的原理>> :D

前段时间因为一些工作需求想给手里的测试机(一加7Pro)刷个ColorOS,因为之前想体验Android12,机器是刷了个userdebug的lineageos,遂尝试了卡刷、sideload等之后机器被我搞坏了,开机直接recovery,报错信息是什么 mount fs的时候失败了 :( 没办法只能救转了,逛了一圈论坛发现有人提供9008刷机工具(https://www.oneplusbbs.com/forum.php?mod=viewthread&tid=4730052),通过万能的9008救回来之后,我就想做点别的: 把他的firehose“偷”出来玩玩。

Unpack guacamole_21_H.04_190416.ops

刷机工具解压之后就几个文件,一个刷机工具 msmdownloadtoolv4.0.88,还有个guacamole_21_H.04_190416.ops,一看就是固件包,然后就是一些完整性校验用的文件。

根据经验,这类刷机包里应该是内置了firehouse的,可以考虑两条路:

  1. 解包,直接把firehose提出来

  2. 内存dump,在刷机工具尝试给手机传输firehose的时候的时候内存dump,从内存里根据ELF文件头给截出来

方法2是我最开始尝试的办法,但是dump了几次,发现了好几个ELF,但是都不对,所以尝试方法1 :D 很显然这个包是厂商自己搞得加密,不过网上已经有大佬分析了(早用方法1就少走弯路了),所以根据 How to Extract/Decrypt OnePlus OPS Firmware(https://www.droidwin.com/how-to-extract-oneplus-ops-firmware/) 提供的工具,可以成功吧固件包解开,获取到firehose

# muhe @ muheMacBookAir in ~/Work/play_with_oneplus7pro on git:main x [22:01:37]
$ ls -al prog_firehose_*
-rw-r--r--@ 1 muhe staff 726400 Oct 28 22:46 prog_firehose_ddr.elf
-rw-r--r--@ 1 muhe staff 726272 Oct 28 22:46 prog_firehose_lite.elf

随便试了一把读分区,是可以的,说明firehose是没问题的 :)

图片

然后就想着顺手看点别的,研究研究Qual+Android平台的解锁BL是怎么实现的,遂有了后续的过程。

Unlock探究

开发者选项–允许解锁

参考android-9-r1, 因为现在用的一加的系统的是Android9的

没在开发这里允许解锁BL的话,直接fastboot oem unlock是不行的

  1. onOemUnlockConfirmed

https://cs.android.com/android/platform/superproject/+/android-9.0.0_r1:packages/apps/Settings/src/com/android/settings/development/OemUnlockPreferenceController.java;l=132

public void onOemUnlockConfirmed() {
  mOemLockManager.setOemUnlockAllowedByUser(true);
}

  1. setOemUnlockAllowedByUser

https://cs.android.com/android/platform/superproject/+/android-9.0.0_r1:frameworks/base/core/java/android/service/oemlock/OemLockManager.java;drc=b45a2ea782074944f79fc388df20b06e01f265f7;l=114

@RequiresPermission(android.Manifest.permission.MANAGE_USER_OEM_UNLOCK_STATE)
  public void setOemUnlockAllowedByUser(boolean allowed) {
      try {
          mService.setOemUnlockAllowedByUser(allowed);
      } catch (RemoteException e) {
          throw e.rethrowFromSystemServer();
      }
  }

  1. setOemUnlockAllowedByUser

https://cs.android.com/android/platform/superproject/+/android-9.0.0_r1:frameworks/base/services/core/java/com/android/server/oemlock/OemLockService.java;l=156;drc=b45a2ea782074944f79fc388df20b06e01f265f7;bpv=0;bpt=1

// The user has the final say so if they allow unlock, then the device allows the bootloader
// to OEM unlock it.
@Override
public void setOemUnlockAllowedByUser(boolean allowedByUser) {
  if (ActivityManager.isUserAMonkey()) {
      // Prevent a monkey from changing this
      return;
  }

  enforceManageUserOemUnlockPermission();
  enforceUserIsAdmin();

  final long token = Binder.clearCallingIdentity();
  try {
      if (!isOemUnlockAllowedByAdmin()) {
          throw new SecurityException("Admin does not allow OEM unlock");
      }

      if (!mOemLock.isOemUnlockAllowedByCarrier()) {
          throw new SecurityException("Carrier does not allow OEM unlock");
      }

      mOemLock.setOemUnlockAllowedByDevice(allowedByUser);
      setPersistentDataBlockOemUnlockAllowedBit(allowedByUser);
  } finally {
      Binder.restoreCallingIdentity(token);
  }
}

  1. setPersistentDataBlockOemUnlockAllowedBit

https://cs.android.com/android/platform/superproject/+/android-9.0.0_r1:frameworks/base/services/core/java/com/android/server/oemlock/OemLockService.java;drc=b45a2ea782074944f79fc388df20b06e01f265f7;bpv=0;bpt=1;l=232

/**
* Always synchronize the OemUnlockAllowed bit to the FRP partition, which
* is used to erase FRP information on a unlockable device.
*/
private void setPersistentDataBlockOemUnlockAllowedBit(boolean allowed) {
  final PersistentDataBlockManagerInternal pdbmi
          = LocalServices.getService(PersistentDataBlockManagerInternal.class);
  // if mOemLock is PersistentDataBlockLock, then the bit should have already been set
  if (pdbmi != null && !(mOemLock instanceof PersistentDataBlockLock)) {
      Slog.i(TAG, "Update OEM Unlock bit in pst partition to " + allowed);
     
最低0.47元/天 解锁文章
zkzq
关注
专栏目录
android unlock,安卓手机解锁助手 (A Unlock Tool)
weixin_29056701的博客
05-27 3788
支持机型(“--------------------------------------------------------------------------------”)(“vivo”)(“Y33 Y35 Y51 Y53 Y55 Y55A Y66 Y66L Y66I Y66IA ”)(“Y67 Y67A Y67L Y71 Y71A Y75 Y75A Y75S Y75SA&nBSP;...
[LeetCode 351] Android Unlock Patterns
ExcitedZhang的博客
06-13 402
Given an Android3x3key lock screen and two integersmandn, where1 ≤ m ≤ n ≤ 9, count the total number of unlock patterns of the Android lock screen, which consist of minimum ofmkeys and maximum...
unlock_android
05-14
unlock_android 自述标记-具有完整代码的分支称为“测试分支”。 我们使用rebase将其设置为默认分支,但在此处进行编写以澄清名为“ master”的分支不包含完整的代码
Android - lock/unlock bootloader
最新发布
感觉不怎么会的博客
08-23 1408
在执行 adb remount 时高版本经常会提示失败此时就需要对设备的进行解锁操作。记录两个部分,Google解锁和展锐解锁。
android unlock,Android Unlock Patterns
weixin_28991715的博客
05-27 313
Android Unlock Patterns这道题dfs做,关键是注意对称性,减少dfs次数。同时注意第3个条件 No jumps through non selected key is allowed. 这种情况发生在两个值的x和y差值没有1的时候,也就是abs(nx-x) == 2或者abs(nx - x) == 0,y也是同理。public class Solution {public i...
Android Unlock Patterns
kane的博客
04-02 360
Given an Android 3x3 key lock screen and two integers m and n, where 1 ≤ m ≤ n ≤ 9, count the total number of unlock patterns of the Android lock screen, which consist of minimum of m keys and maximum...
foundry+process+qual+guideline
09-01
铸造工艺质量指导方针是一份文档,为铸造过程中的操作和控制提供准则和指导。它的目的是确保铸造件的质量达到预期标准,并提供一个一致的方法来管理铸造工艺。 首先,该指南包括了铸造工艺的各个环节。从原材料的...
checker-qual-3.5.0-API文档-中文版.zip
06-05
赠送jar包:checker-qual-3.5.0.jar; 赠送原API文档:checker-qual-3.5.0-javadoc.jar; 赠送源代码:checker-qual-3.5.0-sources.jar; 赠送Maven依赖信息文件:checker-qual-3.5.0.pom; 包含翻译后的API文档:...
checker-qual-3.5.0-API文档-中英对照版.zip
05-11
赠送jar包:checker-qual-3.5.0.jar; 赠送原API文档:checker-qual-3.5.0-javadoc.jar; 赠送源代码:checker-qual-3.5.0-sources.jar; 赠送Maven依赖信息文件:checker-qual-3.5.0.pom; 包含翻译后的API文档:...
checker-qual-2.11.1-API文档-中英对照版.zip
07-14
赠送jar包:checker-qual-2.11.1.jar; 赠送原API文档:checker-qual-2.11.1-javadoc.jar; 赠送源代码:checker-qual-2.11.1-sources.jar; 赠送Maven依赖信息文件:checker-qual-2.11.1.pom; 包含翻译后的API文档...
Android解锁
08-29 2216
重启后会提醒设备处于解锁状态,会重置设备数据等操作,等待完成。开启“OEM解锁”开关。
AndroidPUnlockTool.rar
05-27
展讯remount工具 Android p 阅读readme.txt
Android点亮屏幕或屏幕解锁和锁定以及其他相关权限实现代码
01-04
1、Android屏幕常亮/点亮 代码如下: //保持屏幕常亮 PowerManager pm = (PowerManager) getSystemService(Context.POWER_SERVICE); mWakeLock = pm.newWakeLock(PowerManager.FULL_WAKE_LOCK | PowerManager.ACQUIRE_CAUSES_WAKEUP, LOCK_TAG); mWakeLock.acquire(); 代码如下: //释放屏幕常亮锁 if(null != mWakeLock) {     mWakeLock.release(); }
Android-AndroidCustomSlideToUnlockView安卓自定义滑动解锁控件
08-13
AndroidCustomSlideToUnlockView 安卓自定义滑动解锁控件
unlock-Bootloader:使用PC或Android解锁任何设备的Bootloader
02-17
解锁引导程序 将引导加载程序解锁到您的Android手机中,以安装自定义Roms。 警告 :warning: :通过解锁引导加载程序,您的Android手机保修将无效。 怎么做? 您可以使用Windows-AndroidAndroid-Android方法解锁引导加载程序(需要OTG)。 预先要求 Windows计算机[PC] Android手机(将用于解锁引导程序的手机) [MOB] USB线 对计算机的一点了解* 注意:通过这种方法,您的设备将恢复出厂设置,因此在解锁引导加载程序之前,请备份您的个人文件。 如何使用Windows计算机? (Windows-Android) PC = Windows计算机MOB =将使用哪个设备来解锁引导加载程序。 下载以及您的电话驱动程序。 [PC]将所有ADB和Fastboot文件保存在一个文件夹中。 [PC]安装设备驱动程序。 [PC]按住S
自动解锁myLockAutoUnlock.apk
03-17
myLock Auto UnlockAndroid的取消滑动解锁软件!省去多余操作!如果你不喜欢滑动屏幕解锁,那可以试试这个软件,装上后,在锁屏状态下按硬键盘,如关机键,会自动点亮屏幕,并解锁屏幕,不过解锁屏幕并不是很完美,HTC Hero测试时屏会动一下。安装好后软件名是Auto Unlock. 使用用法:勾选Enabled即可,其他可不勾选。
Android unlock screen
s011208的专栏
08-04 1043
import android.os.Bundle; import android.os.PowerManager; import android.app.Activity; import android.app.KeyguardManager; import android.app.KeyguardManager.KeyguardLock; import android.content.Conte
Android 设备解锁
lvi_166的博客
07-15 1853
Android 设备解锁
[Android]Unlock SIMLOCK
weixin_33832340的博客
07-31 358
2019独角兽企业重金招聘Python工程师标准>>> ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值