◆串口大法就是好-酷開電視沒得跑◆（三）系統(tǒng)分析

羅波波 · 發(fā)表于 2024-10-18 11:27

本帖最后由羅波波于 2024-10-18 15:45 編輯

#@版主，配圖丟失，重新編輯#

●型號：褲開5S58_K5C

●系統(tǒng)版本：180524版（191223版刪除默認(rèn)主頁后，無法長按菜單鍵呼出快捷菜單，所以選該版搞機(jī)）
●安卓版本：6.0
●上市年份：2018
●本心得也適用褲開的爸爸SkyWorth

■MBOOT和MPOOL

這兩個分區(qū)是Mstar芯片廠家提供的。MBOOT由電視廠家修改進(jìn)行適配編輯，設(shè)備上是只讀的，它是uboot運行的載體。所以一般不要打該分區(qū)的主意，一旦損壞，uboot無法進(jìn)入！安卓系統(tǒng)通常也無法啟動！

除了這兩個分區(qū)外的所有分區(qū)，從mmc的角度來說，正規(guī)的叫法都是-User Partions-用戶分區(qū)。而從安卓系統(tǒng)的角度來說，userdata分區(qū)叫做用戶（數(shù)據(jù)）分區(qū)，包括掛載后的/data和/sdcard。

■自動掛載/system讀寫

為了方便在線編輯測試，在/system/bin/install-recovery.sh里添加下面兩行：

echo 1 > /sys/class/remount/need_remount
mount -o rw,remount /system

復(fù)制代碼

這樣每次啟動可自動掛載system分區(qū)為讀寫，方便。

■內(nèi)置應(yīng)用分析

相關(guān)列表見跟帖（發(fā)布時總提示有不良內(nèi)容）

刪除默認(rèn)主頁后，系統(tǒng)設(shè)置里的定時關(guān)機(jī)功能失效。且系統(tǒng)設(shè)置、coocaaTV等的UI變丑：

解決方法1：替換191223版的相應(yīng)應(yīng)用。省事，但版本越高越油膩。

解決方法2：反編譯修改這些應(yīng)用。稍麻煩，完美主義者適用。

刪除com.tianci.system后，待機(jī)鍵、音量鍵、靜音鍵、菜單鍵失效，僅幾個導(dǎo)航鍵含ok鍵有效。

禁止com.tianci.system聯(lián)網(wǎng)之后，系統(tǒng)無法獲取互聯(lián)網(wǎng)時間。

刪除廣告服務(wù)com.tianci.ad后：系統(tǒng)設(shè)置里的屏保功能失效（該功能會播放廣告）。

■系統(tǒng)配置分析

電視機(jī)/盒子這類批量生產(chǎn)的產(chǎn)品，為了方便工程師維護(hù)方便，通常將一些基本的功能配置寫成xml文件，由系統(tǒng)級app讀取這些文件從而形成各種功能，這樣對于不同的機(jī)型就只需統(tǒng)一的apk，例如：A機(jī)型有藍(lán)牙，而B機(jī)型無藍(lán)牙，A、B兩個機(jī)型的系統(tǒng)設(shè)置apk是同一個，但B機(jī)型的xml文件會隱藏藍(lán)牙入口。

這同時又給了搞機(jī)方便之門~

主要的系統(tǒng)配置xml文件位置在/system/pcfg/機(jī)型/config，例如這里機(jī)型為5S58_K5C（其它機(jī)型的文件夾可刪）。

例如，可以配置主頁、廣告開關(guān)...的general_config.xml:

再如setting_gerenal.xml控制著系統(tǒng)設(shè)置，ssc_item.xml控制著快捷菜單（長按菜單鍵）的內(nèi)容。

都有原廠注釋，比較簡單，不贅述。

反編譯看了一下，這些xml都是通過com.tianci.system（系統(tǒng)服務(wù)）來讀取實現(xiàn)的。

里面的bootQueue.xml沒搞清楚作用，試改了下，貌似沒設(shè)么變化。

■工廠菜單

工廠菜單里的STR待機(jī)功能實測無效，而191223版的工廠菜單沒有這個選項，即便反編譯添加該選項也無效，說明該機(jī)型不支持STR待機(jī)功能。

■開機(jī)畫面&動畫

tvconfig分區(qū)有開機(jī)圖片boot0.jpg，替換該圖片，重啟，竟然沒有換過來，恢復(fù)出廠，還不行！又發(fā)現(xiàn)/system/etc/logo_coocaa.jpg和boot0.jpg完全相同（md5值一樣），將該圖片替換，重啟&恢復(fù)出廠，依舊無效！難道沒找到位置？可搜了個遍，所有的分區(qū)只有上述兩處有開機(jī)圖片文件。

通過WinHex發(fā)現(xiàn)MPOOL分區(qū)里有原廠boot0.jpg文件，推測開機(jī)圖片被緩存到了這里，uboot下清除該分區(qū)數(shù)據(jù)：mmc erase.p MPOOL，重啟，成功替換為tvconfig新的開機(jī)圖片，再查看MPOOL分區(qū)，果然新的開機(jī)圖片又被緩存了。

除了上述清除MPOOL分區(qū)的辦法外，還可以在uboot下執(zhí)行下面兩條命令使新的開機(jī)圖片生效：

setenv db_table 0
saveenv

復(fù)制代碼

（另一個安卓9的Mstar機(jī)頂盒，清除cache分區(qū)或恢復(fù)出廠就可以使新的開機(jī)圖片生效）

開機(jī)動畫是/system/media/bootanimation_Coocaa.zip，（若是SkyWorth應(yīng)該是bootanimation_Skyworth.zip），修改后，重啟直接生效。

■無需修改系統(tǒng)-替換默認(rèn)主頁的方法

反編譯主頁com.tianci.movieplatform，查看AndroidManifest.xml文件發(fā)現(xiàn)其入口activity有一條category：

細(xì)看紅框。將第三方桌面的categoray改成這個，adb安裝，重啟，驚喜來了-系統(tǒng)自動跳出對話框讓你選擇桌面：

再pm uninstall --user 0 [packagename]卸載一些系統(tǒng)應(yīng)用無需費事修改系統(tǒng)。（小技巧：若需重新啟用被卸載的系統(tǒng)應(yīng)用，先pm list packages -u -f [packagename]查詢路徑，再pm install -r --user 0 [apk路徑]來重新安裝該應(yīng)用）

該方法適合怕麻煩的用戶，免去了修改系統(tǒng)的麻煩！

■dtmb-dra解碼

180524版無法解析數(shù)字電視dra音頻碼，一些使用dra音頻的頻道沒有聲音。

191223版dra解碼正常，解決過程如下：

將191223版的/system/vendor/app/SkyTVUI/SkyTVUI.apk(coocaaTV=com.skyworth.tv)替換過來，不行！

將191223版里包名里帶tv字樣的包替換-com.skyworth.tv.provider、com.mstar.android.providers.tv、com.android.providers.tv，不行！

將191223版里tv開頭的分區(qū)挨個替換。

替換到tvservice分區(qū)，成功解決！

注意：tvservice分區(qū)無法在線刷入，需uboot下刷入才有效。經(jīng)確認(rèn)，只需替換tvservice分區(qū)即可。

看到這里：桌面也替換了、廣告也去除了、系統(tǒng)也精簡了、dra也有聲了，不要以為就萬事大吉了，往下看↓

■問題突現(xiàn)

1、將系統(tǒng)應(yīng)用刪除后，一切運行正常，但是：

恢復(fù)出廠后：電視機(jī)無操作100秒后，屏幕自動黑屏（無背光），led燈仍為綠燈，通過串口系統(tǒng)shell確定安卓系統(tǒng)仍在運行，此時按任何按鍵可使屏幕有顯示，但是無背光。不仔細(xì)查看還以為是完全黑屏呢。如果沒有替換默認(rèn)主頁的情況下，任意按鍵可以點亮屏幕。

經(jīng)逐一排查（太熬人?。┐_定是刪除了廣告com.tianci.ad惹得禍。

難道就讓廣告服務(wù)com.tianci.ad以高達(dá)26%的 CPU占用率大模大樣的在后臺運行？

絕對不能忍受！方法奉上，將如下命令添加進(jìn)install-recovery.sh：

sleep 10 #延遲10秒再執(zhí)行后續(xù)的指令，否則后面的指令無法執(zhí)行
pm hide com.tianci.ad #隱藏應(yīng)用包

復(fù)制代碼

通過反編譯發(fā)現(xiàn)com.tianci.system里有幾處指向com.tianci.ad的操作，應(yīng)該可以反編譯修改，從而可徹底刪除廣告服務(wù)，這個有空了再研究。

2、修改general_config.xml替換桌面后：

刪除系統(tǒng)應(yīng)用，替換桌面并使用一段時間之后，通過top命令發(fā)現(xiàn)com.tianci.system日常運行有著高達(dá)35%的CPU占用率，解決方法-在install-recovery.sh里sleep 10之后添加：

pm clear com.tianci.system #清除該包數(shù)據(jù)

復(fù)制代碼

反編譯com.tianci.system發(fā)現(xiàn)多處指向原廠主頁com.tianci.movieplatform的操作，發(fā)現(xiàn)framework里也有類似的操作，估計就是高CPU占用率的原因。有空再修改com.tianci.system和framework，徹底根治。

建議各位已經(jīng)刷了精簡強(qiáng)刷包的，不限機(jī)型，用top命令自查一下吧。

3、前面兩種替換桌面的方法會導(dǎo)致主頁鍵失效。

貌似與com.tianci.system&framework有關(guān)，有待進(jìn)一步研究。不過相信很多人和我一樣：主頁鍵極少用到！不如把主頁鍵改為常用應(yīng)用的快捷鍵！

■系統(tǒng)廣播android.intent.action.BOOT_COMPLETED

該廣播會在桌面啟動15秒之后發(fā)送，而安卓正常情況下會立即發(fā)送，看來是被是該餓死的SkyWorth魔改了。

很多app包括一些桌面應(yīng)用會建立一個Receiver，當(dāng)收到該廣播時就啟動自己，這就是開機(jī)自啟動的原理。如果你替換的桌面有這樣的Receiver，就會出現(xiàn)狀況：過15秒后又加載一次桌面，從而影響到當(dāng)前的操作。

所以需要反編譯自己桌面應(yīng)用，將該Receiver刪掉，例如某貝。

另外的辦法就是修改系統(tǒng)，使得該廣播立即發(fā)送或者從根本上yan割，這個還需深入研究。

■ro.secure=1

該字段在/default.prop里，修改它=0應(yīng)該就可以使得連上adb就直接是root，這樣的話用「甲殼蟲adb助手」GUI的方式在線替換系統(tǒng)文件，比起在系統(tǒng)shell下命令行的方式編輯文件方便的多。

可惜修改無效，該值重啟依舊=1，應(yīng)該是由boot分區(qū)生成決定的。

而boot分區(qū)用bootimg、rom助手兩個工具均無法解包，CSDN上有號稱可解包Mstar的boot分區(qū)的工具（收費），應(yīng)該是國內(nèi)作者自編的（國際上沒搜到），可是：僅有的幾條留言都說無法解包。

不知道能否在ubuntu下解包，還沒去嘗試。

■/sdcard被yan割

這個酷開系統(tǒng)已yan割內(nèi)置存儲/sdcard，這樣做的好處是壓根不存在/sdcard文件換亂的問題，不用擔(dān)心各種應(yīng)用在此自建亂七八糟的垃圾文件。壞處就是一些依賴/sdcard的應(yīng)用受到影響，例如Tvbox就無法在本地建立接口文件了。

不清楚是否只有該型號的酷開系統(tǒng)是這樣。沒看到有人抱怨酷開系統(tǒng)沒有內(nèi)置存儲的問題，這個比較納悶。

若要恢復(fù)/sdcard，貌似要修改boot，具體還沒研究。

■系統(tǒng)app簽名

看了一下是廠家自有簽名，自行修改系統(tǒng)應(yīng)用是無法運行的，需去除framework里的簽名驗證。

◆下期預(yù)告：（四）自制強(qiáng)刷包◆

1293952438 · 發(fā)表于 2024-10-18 18:05

不錯不錯，有點很恩山的味，教程很詳細(xì)

羅波波 · 發(fā)表于 2024-12-4 17:01

   將191223版的tvservice分區(qū)刷入180524版固件，雖然解決了數(shù)字電視dra音頻解碼的問題，可問題來了，播放數(shù)字電視時的聲音時而正常，時而異常：音量變小、些許破音。
   仔細(xì)對比兩個版本的tvservice分區(qū)，發(fā)現(xiàn)更新了幾個庫文件、更新了1個可執(zhí)行文件-applications/bin/MiSysSrv，單獨將該可執(zhí)行文件替換到180524版tvservice分區(qū)，完美解決聲音異常的問題。
   另外，個人在搞機(jī)過程中出現(xiàn)了開機(jī)圖片無法顯示的問題，查看uboot環(huán)境變量FactoryDB_Copy值由默認(rèn)的1變?yōu)榱?，恢復(fù)為1就可以顯示開機(jī)圖片了。

羅波波 · 發(fā)表于 2024-12-4 16:50

羅波波發(fā)表于 2024-10-31 11:43
#瓶頸求高人指點！#
目前遇到了一個瓶頸：
想要修改快捷菜單（長按菜單鍵）里某個快捷入口，例如把 ...

該問題已解決：長按呼出快捷菜單的目標(biāo)apk是CoocaaTVUI.apk-com.skyworth.tv，而不是SkySystemService.apk-com.tianci.system，二者都有相關(guān)代碼，應(yīng)該是原廠軟件工程師將該功能從后者遷移到了前者，僅簡單屏蔽了后者的相關(guān)代碼而未刪除。個人思維定勢把目光唯一盯到了后者上，壓根沒想到是前者，經(jīng)驗教訓(xùn)值得吸取。

sjw475 · 發(fā)表于 2024-11-26 16:52

我墻都不扶，只服你！

羅波波 · 發(fā)表于 2024-11-1 10:37

從幾個系統(tǒng)應(yīng)用里找到的服務(wù)器地址，包括廠家服務(wù)器、廣告服務(wù)器、第三方統(tǒng)計服務(wù)器等等。內(nèi)有3個文件，地址可能有重復(fù)，保留了地址api.tvinfo.skysrt.com（用于在線展示本機(jī)信息的）。將host文件添加到/system/etc/host即可，或者加入到路由器的屏蔽列表里。對于不會反編譯去除這些地址的人，如此可徹底屏蔽和這些服務(wù)器的聯(lián)系。

羅波波 · 發(fā)表于 2024-11-1 10:24

確定可刪除：com.coocaa.remotectrlservice-/system/vendor/app/SkyTVAgent代碼上來看，這個應(yīng)該是廠家遠(yuǎn)程控制你電視機(jī)的。com.tianci.system里面也預(yù)留了后門，關(guān)鍵詞[backdoor]，可去除。

羅波波 · 發(fā)表于 2024-10-31 11:43

#瓶頸求高人指點！#

目前遇到了一個瓶頸：
   想要修改快捷菜單（長按菜單鍵）里某個快捷入口，例如把「本地媒體」改為自有app的快捷入口，從代碼上來看，可以確定是com.tianci.system（系統(tǒng)服務(wù)）實現(xiàn)的，有多個線索：讀取了/system/pcfg/xxxx/config/ssc_item.xml、有相關(guān)UI的定義；有startLocalMedia()V的method、有指向com.tianci.localmedia的多個操作、有長按菜單鍵的代碼···········。    即便將這些線索都刪掉，快捷菜單里的「本地媒體」依舊打開的是本地媒體。
   將com.tianci.ipc、com.tianci.setting臨時卸載掉，也無效。
   最為詭異的是：將com.tianci.system干掉，并恢復(fù)出廠，依舊可以長按菜單鍵呼出快捷菜單，「本地媒體」依舊打開的是本地媒體。另外的現(xiàn)象是：干掉com.tianci.system之前可以長按電源鍵關(guān)機(jī)，之后長按電源鍵沒反應(yīng)，com.tianci.system里確實看到有長按電源鍵關(guān)閉系統(tǒng)的代碼?？墒沁€有長按菜單鍵的代碼呢！
   從上段推測，可能快捷菜單的入口是由framework決定的，可是找遍了framework里am.jar、com.mstar.android.jar、content.jar、ext.jar、pm.jar、services.jar、settings.jar、Sky-tv.jar、sm.jar、framework.jar，沒有任何指向localmedia的線索！也沒找到長按菜單鍵呼出快捷菜單的任何線索！

#求高人指點！#

qyjok · 發(fā)表于 2024-10-29 12:04

送上我的膝蓋，大概牛逼

hcp1994411 · 發(fā)表于 2024-10-29 09:05

大神就是厲害

1293952438 · 發(fā)表于 2024-10-28 18:38

羅波波發(fā)表于 2024-10-28 16:31
反編譯的教程不好寫，全網(wǎng)也沒多少。boot目前還無法解包，恢復(fù)/sdcard可能沒戲。 ...

因為boot.img版本太老舊確實難以解開；可以把方向放到新版機(jī)型上
安卓8.0及以上機(jī)型可以解開，比如我的7R301 55A4Pro 安卓10 見附件

› 智能電視 / 安卓TV區(qū) › 創(chuàng)維智能電視

◆串口大法就是好-酷開電視沒得跑◆（三）系統(tǒng)分析 ...

◆串口大法就是好-酷開電視沒得跑◆（三）系統(tǒng)分析

相關(guān)帖子