分类 开发随笔 下的文章

Description

There's no further technical introduction needed; those who understand this code will naturally know its use.

import struct

def makeKcjPropQuery(src, buffer):
    totalSize = len(src) + len(buffer) + 14
    dataBLK = bytearray(totalSize)
    struct.pack_into('I', dataBLK, 0, 547486795)
    dataBLK[4] = 1
    struct.pack_into('H', dataBLK, 5, len(src))
    struct.pack_into('H', dataBLK, 7, len(buffer))
    dataBLK[9:9+len(src)] = src.encode()
    dataBLK[9+len(src):9+len(src)+len(buffer)] = buffer
    dataBLK[-1] = 0x7E
    return dataBLK.hex()

kcjPropName = "rw_eut_su_time"
buffer = bytearray([0] * 1)
hexData= makeKcjPropQuery(kcjPropName, buffer[1:])
print("Query Command for " + kcjPropName + " is " + hexData)

介绍
由于经常有获取各种奇奇怪怪设备的各种特化信息的需求,故写了这个小工具App来解决这些事情。
此App支持获取的信息有
设备基本信息
eUICC(eSIM)支持情况
广升OTA用设备信息
Knox位状态,CSC配置版本,安全原则版本
AVB状态,VNDK版本,模块更新版本
通用内核镜像支持情况,启动磁盘信息
实际Android版本检测

包信息
包名:com.yuu.maklumat
Android Target版本需求: 14(34)
Android 版本最低需求: 5.0(21)
界面语言支持:中文(简体/繁體),英文,马来文
平台支持:Android Normal/Android TV

截图
Maklumat_Screenshot_1.9

下载
下载

更新日志

版本号更新时间更新日志
2.0(10)2024/02/011.修复无法获取AOSP模块更新版本的问题
2.修复在一些设备上无法获取启动设备信息的问题
3.升级AGP到8.2.2
1.9(9)2023/11/071.首次公开发布
2.添加马来文支持
1.8(8)2023/10/271.添加Android版本低于M时的安全补丁版本获取支持
2.修复设备信息处的一个错误
3.升级Grade
4.添加启动设备信息和基带信息检测
5.提升Target SDK版本从33至34
1.7(7)2023/10/251.整体重构

提示/Alert/Amaran

华文

本文章中所提供的方法仅供开发者调试使用,其使用后产生的任何法律和硬件损坏等后果与本人和马来西亚电讯公司(Telekom Malaysia Berhad)无关。

English

The methods provided in this article are intended for developer debugging purposes only. Any legal consequences and hardware damages arising from their use are not the responsibility of the author and Telekom Malaysia Berhad.

Bahasa Melayu

Kaedah yang disediakan dalam artikel ini hanya untuk tujuan penyahpepijatan pembangun sahaja. Sebarang akibat undang-undang dan kerosakan perkakasan yang timbul daripada penggunaannya tidak menjadi tanggungjawab pengarang dan Telekom Malaysia Berhad.

前言

由于搬家到了新的屋子,新的屋子客厅里有个电视,有一天与好友聊到如何利用起这个电视,好友提到他那边有一个闲置的Unifi Plus Box,来自于办理TM家宽的附带产品,历经几日之奔波,这个电视盒子最终到了我手上。

加注

感谢某位网友提供的关键数据,这个分析流程在基于Android12的新版Unifi Plus Box(创维HP43A)也可用,但有可能会被其自带的远控更新设置后变为不可用状态,请恢复出厂设置后再尝试。

特殊

到手后,发现其采用的是Amlogic S905X2的SoC,有4核心A53,主频为1.8Ghz,2GB的运行内存和16GB的闪存,Android版本为9,在大多数电视盒子中都属于较高配置。
首先尝试执行系统更新,没想到居然接收到了更新到Android 10的大版本更新,对于我这种熟悉中国电视和电视盒子市场的人来说是颇为惊讶的,从来没有在这类型的设备上看到过有Android大版本更新。执行更新之后,发现了更多奇妙,于是则开始了以下的流程。

开发者选项密码?

正常情况下,如果想对这个盒子深挖,首要就是要打开USB调试,不管是无线还是有线调试。
然而当我尝试以正常方式打开开发者选项时,其弹出了一个与AOSP完全不同的密码输入界面。
UTVCK_Password1
当然目前是不知道实际的密码是什么的,其为什么会有个密码也不是很明确,也无法进行后续的分析了。

获取系统包

UTVCK_GetBFg
后来一天与另一位朋友闲聊,他跟我说他逆向了Google的OTA分发系统的API,问我有没有需求来测试一下,我就想到这个盒子系统更新时候的界面十分原生,其内置的阉割版本Google Play商店也可以下载到AIDA64来获取到当前软件版本的编译指纹,于是我就把编译指纹发给了这位朋友,于是得到了以下结果。

{
    "code": 200,
    "message": "success",
    "data": {
        "title": "New software version is now available. ",
        "url": "https://android.googleapis.com/packages/ota-api/package/xxxxxxxxxxxxxxxxxxxxxx.zip",
        "size": "803.6 MB",
        "size_num": 842585223,
        "fail": "Upgrade failed!",
        "inst": "Upgrade successfully!",
        "desc": "<b>A new software update is available.</b> <br>1. Fix issue Error code 01999 of unifi tv application <br> 2. Update Android TV security patch<br> <br><b>Note: The update may take up to 10 minutes to complete. You will not be able to use the TV during the update. Thank you for your patience.</b> <br>"
    }
}

(请私信我以取得完整链接以作他用)
成功拿到了完整的系统更新包!!

逆向TvSettings

首先我们打开获取到的ZIP包,依据个人经验,这类密码一般存在于系统设置之本体。
UTVCK_InsideOfPkg
所以首先从SYSTEM分区镜像中找到TvSettings的apk
UTVCK_GetTvSettings
找到之后,我们需要一个特征来找到这个密码部分
尝试在密码输入框内胡乱输入,其输出了一个有“Password is error!!”的Toast信息,我们就以此入手
UTVCK_PasswordErr
在Jadx中以字符串搜索Password is error这个字符串,很快得到了有效回应
UTVCK_JadxSearchStr
打开这个代码段后,得益于Jadx强大的反编译能力,我们可以得到非常清晰的程序逻辑,分析这些判断语句,很容易即可得到密码。
输入进密码输入框,开发者选项成功被启用!
UTVCK_DevSettingsPass

USB调试密码?

但是当尝试打开USB调试时,其又出现了跟前面一样密码输入框,输入上一个判定中得到的密码,又一次提示密码错误。
尝试找到了开发者模式中USB调试开关的逻辑,会发现有一个额外的source判定
再混合前面所提到的逻辑语句得到的字符串密码,成功打开了USB调试!
UTVCK_ADBAuthPass

后记

以上则为这个电视盒子如何打开开发者选项和USB调试的办法了
其实历经以上分析,发现这个盒子还有个很特别的点,其几乎用了可谓是”围追堵截“的办法来屏蔽Netflix,关于这个事情如何解决,请等待我的后续更新了!

前言

在本文中,我将使用x86汇编和简易的小小程序片段,其中将会使用最新的C++ 23标准进行代码编写。所以当你开始阅读这篇短文时,希望你有理解C++ 23,内存,指针和标准Win32 API的基本概念的能力。

代码段

#include <iostream>

int main() {
    auto string = "Hello, World! ";
    auto integer = 114514;
    std::cout << string << integer << std::endl;
    system("pause");
    return 0;
}

在这段简单的代码中,很明显这只是一个利用了C++新特性的HelloWorld程序,不难看出它最终会在命令提示符打出”Hello, World! 114514”这个字符串和整数并且传输pause指令给命令提示符,让其暂停运行并显示“按任意键继续”的提示。
提示:在编译时候记得加上-static给CMAKE_EXE_LINKER_FLAGS,这样才可以让编译出的可执行文件独立运行

入口点

当你将编译出的可执行文件拖入IDA的窗口之后,当IDA自动分析完成整个程序的互相调用,会给出一张十分复杂的调用图(如下图)。
IDA_MainGraph
你可能会很好奇为什么,只是一个简单的Hello,World程序而已为什么会存在这么多的调用,并没有在代码中体现出来哇?
放大其中任意一个代码块(如下图)你会发现,他们做的那么多事情,无非就是在准备运行现场,错误处理等现代编程语言自带的功能,在现如今的编程中,这些以往繁琐的操作,都将会被自动处理。
IDA_AnyPreFunc
在这个简单的程序中,入口点是main函数,我们手工构建了一个主函数。在IDA自动生成的调用图中,可以看到许多Win32 API函数被调用。这些函数包括获取当前进程的句柄、获取控制台窗口的句柄、向标准输出打印信息、调用系统命令行窗口实现以实现等待用户按键等。这些函数是必要的,因为它们提供了程序运行所必需的环境和支持。

main?WinMainCRTStartup和mainCRTStartup?

WinMainCRTStartup和mainCRTStartup是CRT(C Runtime)库提供的启动代码。它们都是程序入口点,但是它们的参数和返回值类型不同,适用于不同的应用程序类型以及适配了不同平台的实现。
IDA_mainCRTStartup
由上图可知mainCRTStartup是用于控制台应用程序的入口点,它不带任何参数执行。mainCRTStartup会进行一些必要的初始化工作,然后调用main函数。在main函数执行完毕后,它会自动退出程序,并返回main函数的返回值作为程序的退出码。
IDA_WinmainCRTStartup
在Win的部分中,由于当前程序只有命令行界面,故Win部分的实际实现也与标准入口点相同,其中混合部分Windows特有处理。

反编译的伪代码

IDA_Pseudocode
在IDA中,使用F5可以反编译出伪代码,看以上的伪代码思路要比直接看汇编效率高出很多,非常方便的可以看出这是一个典型的入口点函数,执行的操作也很清晰明了。

总结

在这篇文中,可以大概理解到一个纯命令行程序在Windows下的简易执行逻辑。
1.初始化C/C++运行时环境,包括初始化全局变量、静态变量等。
2.调用MainCRTStartup/WinMainCRTStartup函数,该函数初始化Win32 API环境,并调用Main函数。
3.设置标准输入、标准输出和标准错误流,以便程序可以向控制台输出信息。
4.初始化异常处理机制,包括设置SEH(结构化异常处理)机制*Windows特有。
总之,在现代的程序环境下,大部分与系统底层交互的部分,都存在完备的已封装功能,我们只需要直接调用即可。然而,在一定程度上了解这些内容也是有些必要,对底层更为了解,也更好的优化自己的作品。

这些GUID用于DisplayHdrLevel中的认证项目显示,需要多字符串值(Multi-String)且可叠加使用

VESA DisplayHDR

VESA DisplayHDR 400 (1.0)
20C5A9AF-CD1A-42B1-AA71-4C96A273DEF1
VESA DisplayHDR 400 (1.1)
0D710BC2-6368-4EB2-A829-CBBD45CE3BD2
VESA DisplayHDR 500 (1.1)
C47B4522-B803-47B0-831F-2ED63B56CE79
VESA DisplayHDR 600 (1.0)
D4C5928E-9488-46AF-8DA8-4F996EE4177F
VESA DisplayHDR 600 (1.1)
7134A821-9254-4AF4-9973-95B3FCF720CC
VESA DisplayHDR 1000 (1.0)
78137DFC-3400-412E-B0AF-08120754623A
VESA DisplayHDR 1000 (1.1)
C624859D-304A-4DE8-86DC-8BE82B79527A
VESA DisplayHDR 1400 (1.0)
0D710BC2-6368-4EB2-A829-CBBD45CE3BD2
VESA DisplayHDR 1400 (1.1)
3CA0903F-99E0-46FB-9BEC-DE023507BEF0
VESA DisplayHDR 2000 (1.1)
80931144-16F1-4710-91F4-2E66713B134D
VESA DisplayHDR 400 True Black (1.0)
1A6CBAFB-15FF-4CF0-AD75-12360E9B9F4A
VESA DisplayHDR 400 True Black (1.1)
FB4CB49B-F5A8-4084-800C-EB38E9CA16DE
VESA DisplayHDR 500 True Black (1.0)
86413F8C-0CDB-4D49-81F7-06BB64A8FED1
VESA DisplayHDR 500 True Black (1.1)
3B6DAA9E-3794-4D85-897E-93AE990D275D
VESA DisplayHDR 600 True Black (1.1)
9AD0FB30-006E-49FE-AA15-8F65F28A476B
VESA DisplayHDR 1000 True Black (1.1)
9C5D5F59-1FA8-4D2B-87DD-2E3B2BFF37D5

DOLBY

Dolby Vision
6363AA90-A651-4154-A9E1-2D765C08E68F

NVIDIA

NVIDIA G-SYNC ULTIMATE
35FBD985-74F0-4271-AC61-295F11D71AEF

AMD

AMD Freesync Premium Pro
F9310F0E-93B2-4A58-8642-17358D8CB2E3

  1. 1
  2. 2
  3. 3
  4. 4