|
歡迎加入中興機(jī)頂盒破解交流群:495753974!
04.09 更新:
本以為全OK了,root的事情還沒結(jié)束。只好再更新下,見后面。
04.02 總結(jié):
root成功并且安裝了sshd。感覺就沒有刷固件的必要了。就此作個(gè)總結(jié)吧。
從 陪你一起老,JZJ7979 的貼子中學(xué)了很多。靜水流深jsls提供了關(guān)鍵的幫助。在此感謝前輩們的幫助。* I4 [: @2 X& f) l* G. N
我們的社會(huì)浮躁且急功近利,無數(shù)小白們希望飯來張口,不知道享受求知探索而成功的成就感。7 p1 g9 q* e8 q# e9 D- L$ E2 P
雖然這樣,還是做了個(gè)懶人包,去下載吧。不過密碼只能回復(fù)可見了。不會(huì)再提供解答,有問題,仔細(xì)看貼吧。
如果不僅希望know how還想know why,其實(shí)不必下載,因?yàn)樗械男畔⒑吞接懕举N下面都有,只要花點(diǎn)時(shí)間。' Q5 P N1 [9 b0 S
2015.03.10 起源:9 v! |3 |5 H+ g# A, _7 n
移動(dòng)公司寬帶IPTV帶的機(jī)頂盒,發(fā)現(xiàn)還帶USB口,本以為可以外置硬盤放高清呢,結(jié)果怎么也找不到菜單。上網(wǎng)一搜才知道閹割的水深火熱。明明給自己用的設(shè)備,小雞雞攥別人手里,越是強(qiáng)權(quán)越是可恨。所以決心要破了這個(gè),上網(wǎng)搜教程發(fā)現(xiàn)并不容易。邊干邊學(xué)吧,本文就作個(gè)記錄,方便后來者。
因?yàn)楸救诵“讻]玩過線刷,過程會(huì)羅嗦,高手見諒別嫌煩。/ ^1 \4 K9 ?6 Q7 h/ T
$ P2 |! C- j/ s6 v% V
機(jī)器型號(hào):智能機(jī)頂盒(Wi-Fi)中興ZXV10 B760E(H)4 m7 _: ^+ r ^3 a" X% K5 ^
因?yàn)橹爸篱幐畹睦?,基本確認(rèn)必須走adb破解的法子。
電子市場買來USB-TTL接頭,(BTW,實(shí)體店要20,等的起還是網(wǎng)購吧)還不帶杜邦線。沒線難不住我,找了根舊光驅(qū)音頻線,菜刀劈開,干吧。
1)核對(duì)下USB-TTL接頭的芯片,PL2303HX,下驅(qū)動(dòng)裝上,OK
2)我的電腦系統(tǒng)WIN7 64,Rapidtest.exe不好用(提示Unable to open port),于是下載ACCESS PORT1.37。ACCESS PORT Win7下可用,不過要手動(dòng)設(shè)置下COM口,在設(shè)備管理器下可以找到COM口信息。
3)USB-TTL頭短接 RX TX,ACCESS PORT測試,發(fā)出的代碼都收到了,OK3 S9 Z+ c7 V7 ]+ ^. U* X
4)拆盒子,聽說這貨沒螺絲,上平口螺絲刀底板直接就給別開了。$ z/ m9 K, g3 u& O" Y) N& ]; X
5)三個(gè)螺絲拆了板子翻過來
找到USB接口旁邊的六針座。
6)估計(jì)個(gè)大概先接上試試。ACCESS PORT測試,打開B760E,一個(gè)回車發(fā)出,收到:; f* M+ a) W0 ]" U
root@android:/ # , N) j, E0 j/ b2 g' k. X2 x2 x
一次成功???我都不敢相信。趕緊記錄針腳線序:以X1為基準(zhǔn)! s% y9 B: Q8 K/ m) T5 w+ C3 Z# C: w: @
(5 ) (6 )
(3 ) (4 )( j8 L, `3 j4 M! A- t+ y2 v
(X1) (2 )
6 = GND
2 = TX
X1 = RX ( e1 |/ H5 u# M* Z: W- o
這里要注意,收發(fā)兩端RX TX 要交叉連接的。通常電壓不超5V,錯(cuò)了就反接一下,不是問題。
7)在B760E上啟動(dòng)adbd。這需要發(fā)給B760E一個(gè)命令??紤]到ACCESS PORT已經(jīng)得到了命令行提示“root@android:/ # ”,我試了下用ACCESS PORT完全可以。 W( ], X: K- K0 ?- t4 [
即當(dāng)B760E提示“root@android:/ # ”時(shí),發(fā)出:
adbd & 回車: `% l# }* p7 P: t
也就是讓adbd服務(wù)在后臺(tái)運(yùn)行等待連接。
8)測試adb,下載好adb軟件,放到C:根目錄。5 f( ]1 X4 {9 ~' V& M' l
打開windows命令行cmd.exe,在C:根目錄運(yùn)行 adb connect xxx.xxx.xxx.xxx:5555 x6 x( f8 w. F
提示 connected to xxx.xxx.xxx.xxx:5555
OK
9) adb install xxx.apk,試裝了個(gè)ES瀏覽器,提示SUCCESS。: i+ a0 q @4 {: Z7 B! I
10)但是,安裝的apk在B760E中找不到。而且到此為止,我還是找不到任何原界面外軟件。我甚至10086重置了IPTV盒子出廠設(shè)置,仍然無法跳過。) k. j/ ?- }* I5 K/ j- s& `/ m
11)看來移動(dòng)公司是把閹割的管理器做到B760E固件里,所以到這里折騰了好久。$ a& \' | I7 b/ `
其實(shí)是沒經(jīng)驗(yàn),因?yàn)镴ZJ7979提示的很清楚:悟空助手8 O4 f; |) N; W0 ^1 L
下載悟空助手裝上,設(shè)定PC和B760E的IP內(nèi)網(wǎng)同網(wǎng)段,顯示找到機(jī)頂盒的IP,OK/ M- U! j0 o( T2 o, k0 Q8 }2 n
這里注意要確保機(jī)頂盒上adbd是正在運(yùn)行的,因?yàn)槲蚩罩謱?shí)際也是同過adb機(jī)制操作的。: D g! Q! I) `5 k# \
12)現(xiàn)在關(guān)鍵是要有一個(gè)桌面launcher替換掉B760E內(nèi)置的:3 i. d- z+ m8 [, f% J7 U
當(dāng)貝桌面,下載apk,拖進(jìn)悟空助手就自動(dòng)安裝了。& O \4 C, D! N- r
裝好后,B760E已經(jīng)在TV界面上提示了,選擇當(dāng)貝桌面,DONE!( A! h* Y0 N# Q% O* |, {, J5 j
總結(jié)下:
a) 再次感謝JZJ7979,提示的每一步都很關(guān)鍵,我走了彎路是因?yàn)槿狈?jīng)驗(yàn)。; b! f; t) g0 m) t1 X2 n# c
b) 我知道老主機(jī)時(shí)代有串口終端的,USB-TTL接頭其實(shí)是串口終端的延續(xù),配合PC上的驅(qū)動(dòng)和終端軟件,把PC虛擬成一
臺(tái)終端機(jī)。因?yàn)槭潜镜亟K端,系統(tǒng)給的是root權(quán)限。所以啟動(dòng)adbd,裝apk,這都不是事兒。 u; ? ?$ M0 j3 {8 G
c) 回頭研究下刷固件,機(jī)器復(fù)原也不用從頭再來了。1 y; J; C4 c6 Z7 ` z
2015.03.30更新:
- 針腳圖在六樓: E4 Y+ _% @0 J) }# F& }
- 桌面的說明。僅針對(duì)我自己B760E(山東移動(dòng))
我的未破解前,開機(jī)時(shí)自動(dòng)登錄進(jìn)IPTV,也取消不了,IPTV的界面無瀏覽器,無法安裝任何應(yīng)用。設(shè)置頁面也閹割且固化了。" L# v, b' v) e% Y \2 [# _! B
用悟空助手安裝當(dāng)貝桌面后,B760E立即在TV上提示選擇當(dāng)貝桌面還是移動(dòng)的IPTV,用遙控器選當(dāng)貝桌面就OK。( H6 R6 A& [+ z8 p# J
有了當(dāng)貝桌面,能安裝新應(yīng)用,怎么都好辦了。
此后使用時(shí),只要按遙控器應(yīng)用鍵,就會(huì)出現(xiàn)桌面選擇。/ O+ |; u/ P! z y& U/ {" Y
要注意的是,開始用adb install 返回消息是SUCCESS,但是盒子上找不到安裝的軟件。而用悟空助手安裝當(dāng)貝桌面就成功。$ [1 u' R9 m. |) P! Q! f: U1 E
所以,悟空助手安裝是必須的。關(guān)鍵是悟空助手安裝完后立即提示并啟動(dòng)了當(dāng)貝桌面。為什么這樣,我還不清楚。( r( M3 y, W! B6 M3 l) j
后續(xù)其它軟件安裝,用當(dāng)貝桌面,常用的都可以裝。有些小眾軟件,比如quicksshd,下載APK,' W3 y" |, t& A4 Z$ m
adb push quicksshd.apk /tmp
然后在盒子上es瀏覽器安裝就行。
; c9 x3 ^& `3 ^. D
2014.04.02 更新:
root,
本以為有了#,root很容易。沒想到還挺費(fèi)勁。光拷貝su無數(shù)遍,被一個(gè)后臺(tái)守護(hù)進(jìn)程玩弄。還多虧靜水流深jsls的指點(diǎn)。
然后su Superuser.apk配合又不能運(yùn)作, 陪你一起老 adb 包中的試過,不行。+ p% H m4 ^* w3 ?& Q$ H& H
后來嘗試supersuer的3.2版本,OK。下載地址:
http://downloads.noshufou.netdna ... -RC3-arm-signed.zip# g5 k$ q2 ^- E4 }5 m
1) 回到dos命令行,提取Superuser-3.2-RC3-arm-signed\system\的2個(gè)文件:app\Superuser.apk以及bin\su
adb push su /tmp
adb push Superuser.apk /tmp
2) 殺掉stbmc進(jìn)程。這個(gè)應(yīng)該是中興自己搞的,啟動(dòng)時(shí)通過zte_init.rc加載。目的就是監(jiān)控并刪掉/system/bin和xbin下的su
adb shell 連接到B760E,
ps | grep stbmc 得到stbmc的PID+ h8 T# g2 [- f" I5 R+ X- d* W
kill PID 殺掉stbmc對(duì)應(yīng)的進(jìn)程號(hào)' K/ r& ]0 ~; I9 U: Y) ]7 H
mv /system/bin/stbmc /system/bin/stbmc.bak 這樣重啟后stbmc也無法再啟動(dòng)。不知道是否有其他影響,暫時(shí)先改個(gè)名好了。
3)沒有root,先有雞還是先有蛋?所以指望Superuser自己裝好su是不現(xiàn)實(shí)的。必須 adb shell $ y, R' S& }+ d3 o9 z2 i' ?5 J
cp /tmp/su /system/bin/su
cp /tmp/su /system/xbin/su, S H( ?8 z( s3 Q2 u; g y
chmod 4755 /system/bin/su# M0 a6 ^( }9 I: e5 [
chmod 4755 /system/xbin/su
4 ) 然后,在盒子TV界面上啟動(dòng)ES文件瀏覽器,到/tmp文件夾下,啟動(dòng)并安裝Superuser.apk
5)這樣root好了,再有需要root權(quán)限的APP,Superuser會(huì)自動(dòng)彈提示,點(diǎn)允許就可以了。' I: ^9 m3 S- i9 L
創(chuàng)建sshd' W7 {, x$ e. Y5 x$ _
USB-TTL是終端直連倒不要緊,但是一個(gè)root權(quán)限的adbd開著,連密碼認(rèn)證都不要而且WIFI可以連接,安全風(fēng)險(xiǎn)太大了。 } S5 t2 v) n/ k+ Y* {0 T/ _
所以最好是開sshd,平時(shí)把a(bǔ)dbd關(guān)掉,需要時(shí)再打開。其實(shí)就是用SSH連接機(jī)制取代adb shell% c2 T; v7 @% j2 m
1) 下載quicksshd的APK,
adb push quicksshd.apk /tmp! K# { L0 P) X& C0 N% H
2) 用es瀏覽器安裝,并設(shè)置密碼,啟動(dòng)sshd服務(wù)。quicksshd默認(rèn)的用戶名只是root,密碼隨便設(shè)。設(shè)置后看提示確保sshd在后臺(tái)等待。
3)在PC端啟動(dòng)putty,設(shè)置盒子IP,選SSH,端口2222。我習(xí)慣把連接快捷方式保存為IPTV SSH。點(diǎn)open
4) 輸入登錄名root,密碼。就登錄到盒子了。* G y6 h- ~/ `; @' H8 E
5)測試/system/xbin/su, TV界面上提示申請root權(quán)限,點(diǎn)允許。得到#提示符,ok。這樣就有了可以升級(jí)root權(quán)限的ssh shell
6) ps | grep adbd 然后殺掉adbd的PID。- A; I) ], n3 Z8 e+ L) E! P
今后需要adb連接時(shí),啟動(dòng)quicksshd,PC端putty登錄,su 然后 adbd&就可以了
04.09 更新:# {% F; q0 }# w; G
本以為全OK了,但是有反映root后遙控器關(guān)機(jī)和設(shè)置鍵實(shí)效的問題。我測試后果然。8 e( |1 d1 B! y/ F- Q* Y
主要原因是為了root停掉了stbmc,還把stbmc更名為stbmc.bak??磥韘tbmc還有其它功能,不能簡單一停了事。7 @* e2 z/ Q/ p. E5 a
我想了下,這個(gè)stbmc是個(gè)編譯后可執(zhí)行程序,一般沒必要加密,其中關(guān)于針對(duì)su的操作應(yīng)該可以看到。
那么ssh登錄,搜索下看看:
root@android:/system/bin # cat stbmc.bak | grep \/system\/bin\/su
/system/bin/su! i1 w0 p" l& `" c7 @
@@@@@======> /system/bin/su exist, delete it.6 c+ j4 Z) U7 T K/ W
rm -r /system/bin/su
root@android:/system/bin # cat stbmc.bak | grep \/system\/xbin\/su
/system/xbin/su% {: S% `+ ]5 v' L4 t
@@@@@======> /system/xbin/su exist, delete it.
rm -r /system/xbin/su k+ K2 _8 Y1 d! o6 x, b9 a
'\'是轉(zhuǎn)義符,發(fā)現(xiàn)stbmc中果然內(nèi)置了刪除su的命令。而且是明文shell命令,那這樣的話,直接改掉應(yīng)該可以吧?0 {. M* S0 D9 T
sed '/^rm -r \/system\/bin\/su/ s/^rm/#m/' stbmc.bak > stbmc.tmp
sed '/^rm -r \/system\/xbin\/su/ s/^rm/#m/' stbmc.tmp > stbmc# i9 v9 V( t/ W$ S8 H; X, u
sed命令容易出錯(cuò),我是實(shí)驗(yàn)OK才進(jìn)入實(shí)際操作的。說明一下:
1) '\'是轉(zhuǎn)義符,'\/'實(shí)際就被解釋成'/'
2) 所以sed命令前半段就是搜索包含'rm -r /system/bin/su'的行4 {2 g& J" P' P, C' z; O e3 k! u0 Y
3) 's/^rm/#m/' 就是把行首的'rm'替換成'#m', bash會(huì)認(rèn)為#開始的是注釋行而忽略后續(xù)
上面的sed命令實(shí)質(zhì)就是把rm這行shell命令給注釋掉了。
注意因?yàn)閟tbmc是編譯的可執(zhí)行文件,我怕有絕對(duì)地址引用,修改時(shí)盡量不要影響文件其它部分,包括文件大小,因此只改了行首一個(gè)#使得這行刪除命令失效就夠了。 P |( \1 Y; s7 n ~
完成后,測試下:
root@android:/system/bin # ls -l stb*& Q9 X) t V0 l4 c0 o2 `7 h+ V
-rwxr-xr-x root shell 68292 2008-08-01 20:00 stbcfg3 n D# G9 v. t- { L
-rw-rw-rw- root root 304660 2015-04-09 23:11 stbmc
-rwxr-xr-x root shell 304660 2008-08-01 20:00 stbmc.bak
-rw-rw-rw- root root 304660 2015-04-09 23:10 stbmc.tmp2 E1 E4 H) l3 A- J" R" J* J
root@android:/system/bin # cat stbmc | grep \/system\/bin\/su
/system/bin/su
@@@@@======> /system/bin/su exist, delete it.
#m -r /system/bin/su8 K5 C: C5 Q+ w, V3 m( Y
root@android:/system/bin # cat stbmc | grep \/system\/xbin\/su2 a) x. [) N- H3 {/ c
/system/xbin/su# H# q6 ?! a. S7 [: x6 u5 W
@@@@@======> /system/xbin/su exist, delete it.
#m -r /system/xbin/su9 y7 X) K, _3 k$ W
可以看到文件大小保持不變,而且stbmc原先的刪除su的命令實(shí)效了。
然后恢復(fù)文件。
rm /system/bin/stbmc.tmp
chgrp shell stbmc
chmod 755 stbmc
重新啟動(dòng)盒子,因?yàn)閟tbmc又回來了,zte_init.rc啟動(dòng)時(shí)加載為后臺(tái)進(jìn)程。$ `7 h! S* n) s) k% H/ X6 t
但是其中的 rm su的命令已經(jīng)實(shí)效了,su不會(huì)被自動(dòng)刪除了。! V( w* N1 u( s' b
測試root,仍然正常。遙控器關(guān)機(jī),正常!
移動(dòng)盒子中興B760E-破解說明包.zip
(3 MB, 下載次數(shù): 2258)
2015-8-10 12:51 上傳
點(diǎn)擊文件名下載附件
下載積分: 金幣 -1
密碼:m.81jnr2m.cn
|
上一篇: 中興網(wǎng)絡(luò)電視初始化到百分之77就失敗了怎么會(huì)事?下一篇: 中興的網(wǎng)絡(luò)機(jī)頂盒接到路由器上怎么聯(lián)網(wǎng)
|