B
bluekeko
游客
之前007sh出软解的时候就有人说俄罗斯人另有一种解锁方法,于是搜了一下,不知道有多少人看过这篇文章:
转载自网上,原作者tewilove@gmail.com
--------------------------------------------------------------
感觉Android设备的bootloader比PC的要繁琐,感兴趣的可以搜索MSM8960 Boot Architecture Overview一文。
因为手上的手机是日本夏普的本土机器,且早有耳闻俄罗斯人实现了Softbank的解锁(Softbank是不支持解锁的)。抛开高通的AMSS锁定运营商的方法不谈(这个只要是合作伙伴有现成代码可看),两个月前总算弄清楚了他们怎么做到解锁的。
答案是,夏普居然有bootloader级别的(官方?)后门,且对于被加载的代码,只有简单的校验,并没有像检查boot分区一样有高强度的签名保护。触发的方式也挺人性化,把要执行的代码放到SD卡根目录,开机的时候多按几个键就行了。
这应该算是厂商自作聪明吗,还是说受到指使有意为之,因为bootloader(SBL3)里面写了,这个流程叫做SH_BOOT_MODE_SD_LOADER_CARRIER。嗯,CARRIER。
最终程序倒是挺简单,不过要进一步使用,loader显然需要知道很多bootloader中的符号,否则连个hello world都写不出来。
当然貌似这个后门在新的机器上好像已经封上了。
最终的源代码,有条件可以自己去试试看在bootloader里面执行自己代码,一定很开心:
---------------------------------------------------------------------------------------------------
那份代码在网上有,我上传了附件。
先来看下支持机型列表:
"SH12C", "D001", "DOCOMO", "DC40_a", s_aes_key_dcm, 0}, // not sure
"SH06E", "D001", "DOCOMO", "DL32_a", s_aes_key_dcm, &s_aes_key_mask}, // not sure
"007SH", "S001", "SBMSBM", "PA04_a", s_aes_key_sb, &s_aes_key_mask}, // confirmed
"101SH", "S001", "SBMSBM", "PA06_a", s_aes_key_sb, 0}, // confirmed
"203SH", "S001", "SBMSBM", "PA16_a", s_aes_key_sb, &s_aes_key_mask}, // not sure
可以看到,007sh,和101SH是已经确认可以通过这种方法解锁的,
203SH虽然是未确认,但显然有一试的价值,老实说我有一点怀疑淘宝上卖的203软解机是用这个方法解的。为什么这样说?因为他们写明只提供解锁,不提供刷机服务,当然也不提供救砖,如果他们掌握刷机方法的话不赚这个钱有点奇怪,而汉化只需要取得临时ROOT权限就办得到。
可惜我本人的203因为手贱,在RECOVERY模式强行重启,现在卡在了SOFTBANK这里了,至今没找到进入FASTBOOT的方法,不过估计知道进入FASTBOOT方法也没用,没有BOOT.img文件也救不了, 反正我是没法测试了,有条件的人可以试试,不包生仔。
解锁代码的使用方法,好像是将代码保存为hrodat.c文件放进SD卡根目录,然后重启进入BOOTLOADER模式,就可以运行。
进入BOOTLOADER模式我暂时只知道可以用ADB进入,命令是adb reboot bootloader
如果不行别骂我,我只是搬运。。。
转载自网上,原作者tewilove@gmail.com
--------------------------------------------------------------
感觉Android设备的bootloader比PC的要繁琐,感兴趣的可以搜索MSM8960 Boot Architecture Overview一文。
因为手上的手机是日本夏普的本土机器,且早有耳闻俄罗斯人实现了Softbank的解锁(Softbank是不支持解锁的)。抛开高通的AMSS锁定运营商的方法不谈(这个只要是合作伙伴有现成代码可看),两个月前总算弄清楚了他们怎么做到解锁的。
答案是,夏普居然有bootloader级别的(官方?)后门,且对于被加载的代码,只有简单的校验,并没有像检查boot分区一样有高强度的签名保护。触发的方式也挺人性化,把要执行的代码放到SD卡根目录,开机的时候多按几个键就行了。
这应该算是厂商自作聪明吗,还是说受到指使有意为之,因为bootloader(SBL3)里面写了,这个流程叫做SH_BOOT_MODE_SD_LOADER_CARRIER。嗯,CARRIER。
最终程序倒是挺简单,不过要进一步使用,loader显然需要知道很多bootloader中的符号,否则连个hello world都写不出来。
当然貌似这个后门在新的机器上好像已经封上了。
最终的源代码,有条件可以自己去试试看在bootloader里面执行自己代码,一定很开心:
---------------------------------------------------------------------------------------------------
那份代码在网上有,我上传了附件。
先来看下支持机型列表:
"SH12C", "D001", "DOCOMO", "DC40_a", s_aes_key_dcm, 0}, // not sure
"SH06E", "D001", "DOCOMO", "DL32_a", s_aes_key_dcm, &s_aes_key_mask}, // not sure
"007SH", "S001", "SBMSBM", "PA04_a", s_aes_key_sb, &s_aes_key_mask}, // confirmed
"101SH", "S001", "SBMSBM", "PA06_a", s_aes_key_sb, 0}, // confirmed
"203SH", "S001", "SBMSBM", "PA16_a", s_aes_key_sb, &s_aes_key_mask}, // not sure
可以看到,007sh,和101SH是已经确认可以通过这种方法解锁的,
203SH虽然是未确认,但显然有一试的价值,老实说我有一点怀疑淘宝上卖的203软解机是用这个方法解的。为什么这样说?因为他们写明只提供解锁,不提供刷机服务,当然也不提供救砖,如果他们掌握刷机方法的话不赚这个钱有点奇怪,而汉化只需要取得临时ROOT权限就办得到。
可惜我本人的203因为手贱,在RECOVERY模式强行重启,现在卡在了SOFTBANK这里了,至今没找到进入FASTBOOT的方法,不过估计知道进入FASTBOOT方法也没用,没有BOOT.img文件也救不了, 反正我是没法测试了,有条件的人可以试试,不包生仔。
解锁代码的使用方法,好像是将代码保存为hrodat.c文件放进SD卡根目录,然后重启进入BOOTLOADER模式,就可以运行。
进入BOOTLOADER模式我暂时只知道可以用ADB进入,命令是adb reboot bootloader
如果不行别骂我,我只是搬运。。。