【ROM焼き】au AQUOS PHONE SERIE ISW16SH roo1

1 ：2012/07/07 〜 最終レス ：2013/06/18

au AQUOS PHONE SERIE ISW16SH のroot化、ROM焼きに関する話題について語りましょう。
とりあえず立ててみましたが現在root化情報はなし。
神々が降臨するのをまったりと待ちましょう。

2 ：

>>1
ルー乙

3 ：

shbreakはまだか

4 ：

いろいろ塞がれまくりでroot化はもう無理なのかな…
2月発売の104SHも未だにroot化出来ないみたいだし。

5 ：

ルー大柴スレか

6 ：

age

7 ：

しかし、シャープは
rootとれてやっと一人前の機種ばかり出す癖にセキュリティー堅いものなぁ。

8 ：

あ〜ステータスバー変えたい
日付出てないのは不便だわ

9 ：

あげ

10 ：

とりあえず、
com.android.settings -f tmp/backup.bk
の結果ください〜。

11 ：

あ、標準ではそういうことはないのですが、
メーカーカスタマイズでbackup.bkに個人情報が含まれる可能性があるので、
中身は確認してみてください。
adb backup .. 使用時に画面にバックアップ認証画面が出ますが、
パスワード要れずにバックアップ実行してください。

12 ：

>>10
>com.android.settings -f tmp/backup.bk
これどうすれば良いのですか？無知ですみません。
そのまま実行してももちろんnot　foundですし。
分かる人お願いします〜

13 ：

あっ、分かりました。adb backupですね(^_^;

14 ：

>>10-11
これで良いですかね？
http://goo.gl/TJq2S

15 ：

OKです。ツールあげておきました。
詳細はtwitterで

16 ：

>>15
goroh_kunさん、ありがとうございます。
いま仕事から帰宅したとこで、ツールを頂いてreadmeまで拝見しました。
夕飯食べたら睡魔に負けそうですけど、もし動作確認出来ましたら報告します。

17 ：

リストアを行うときに画面がでますが、何も入力せずデータを復元するでよろしいのでしょうか

18 ：

上に書いてありましたね。リストアして作業を進めたのですがaというディレクトリが出てきません…

19 ：

>>15
私も確認してみました。
aのディレクトリは存在しましたがパーミッションがworld readable, writableに
なりませんでした。
shell@android:/data/data/com.android.settings/a $ ls -l -d
ls -l -d
drwxr-xr-x system system 1970-01-16 21:27 .
aのディレクトリにfile00〜file99は作成されてます。

20 ：

勘違いしてました。自分も19さんの通りになってます。

21 ：

gorohです。
検証ありがとうございます！
isw16sh.abの内容を変更してみました。
これでworld readable/writableになるか見てみていただけますか？

22 ：

>>21
world readable/writableになりました。
(4)以降の確認を行います。

23 ：

>>21
確認終わりました。
/dataおよび/cacheのパーミッションは以下の通りです。
shell@android:/data/local/tmp $ ls -l -d /data
drwxrwxrwx system system 2012-07-27 21:34 data
shell@android:/data/local/tmp $ ls -l -d /cache
drwxrwxrwx system cache 1970-01-15 03:20 cache
さすがgoroh_kunさん、素晴らしいです。

24 ：

shell@android:/data/local/tmp $ ls -l -d /data
drwxrwxrwx system system 2012-08-02 19:54 data
shell@android:/data/local/tmp $ ls -l -d /cache
drwxrwxrwx system cache 1970-01-08 11:00 cache
自分もパーミッション変わりましたが>>23さんと時間が違う…

25 ：

rootはここからですけどね..。sharpだと/data/local.propのような
rootに直結するものはないのですが、
まずはプリインアプリ周りを見てみたいです！
できれば、
ls -l /system/binの結果があればほしいです。
pastebinあたりに貼り付けお願いします！

26 ：

>25
http://pastebin.com/tZfVzYXX
ls -l /system/bin の結果です。役立てば幸いです。

27 ：

ありがとうございます。特に問題のあるファイルはなさそうです。
あとは、ls -l /dataの結果をお願いできますか？

28 ：

>27
http://pastebin.com/aPxJDgXZ
こちらですー。

29 ：

大体状況把握しました。
とりあえず、property利用します。
twitterでツールあげておきました。
動作確認お願いします。

30 ：

>29
adb pushしたのち設定アプリでストレージの項目開いて終了しても/dev/shが出来ていないみたいですー。
パーミッションは変わるみたいなので動作はしてるみたいです。

31 ：

cat /sys/kernel/uevent_helper
と
ls -l /data/local/tmp/mkdevsh
の結果はどうなってますか〜？

32 ：

shell@android:/ $ cat /sys/kernel/uevent_helper
/data/local/tmp/mkdevsh
shell@android:/ $ ls -l /data/local/tmp/mkdevsh
-rw-rw-rw- shell shell 510095 2012-07-20 12:40 mkdevsh
となってますー。

33 ：

あれ。そっか持ち主がshell shellだからsystem権限から
chmodできないのか。
adb shell chmod 777 /data/local/tmp/mkdevsh
お願いします。

34 ：

>33
無事root取得できましたー！ありがとうございます！

35 ：

つづいて、miyabi解除ですか。
まずはkernel抜かないとなんともならないので
cat /proc/partitions
の結果いただけますか？

36 ：

連投対策に引っかかった？支援レスしとこうか

37 ：

>>35
>>34は寝落ちかな？
代わりに上げときますね。
http://pastebin.com/kZUaNXGM

38 ：

んや、彼らやりとりができなくてツイッタ上でやり取りなさってるみたいですよ

39 ：

アナゴ鯖落ちてたからな

40 ：

鯖落ちしてたのでtwitterの方でやり取りしてたみたいだね
その後のつぶやきなくなったからお二方とも寝たのかな？
goroh_kunさんがtwitterの方で最後に知りたがってたのは
cat /init.rcと cat /init.qcom.rc
の結果みたい
出先でPC触れないのでどなたか代わりに頼む

41 ：

返事待ちです〜。linuxのコマンドにあまり詳しくないらしく。
>adb shell
$ /dev/sh
# dd if=/dev/block/mmcblk0p13 of=/data/local/tmp/mmcblk0p13.bin bs=512
# chmod 666 /data/local/tmp/mmcblk0p13.bin
# exit
$ exit
>adb pull /data/local/tmp/mmcblk0p13.bin
で抜けるファイルがほしいです。カーネルイメージあると思うので・・

42 ：

>41
https://docs.google.com/file/d/0B-T5z15odq5JY0Q4LUluVmdnWmM/edit
すいません。コマンドわからなかったので遅れました；；　こちらでよろしいでしょうか？

43 ：

OKです

44 ：

展開してみたら、リカバリ用のカーネルイメージですね。これ

45 ：

こっちか、mmcblk0p10。
同じくmmcblk0p10抜けたらお願いします。
こちらはチェック入ってて駄目かも知れないですが。
うまく抜けなくて、
dmesgの結果protectエラーが出てたら、チェックでNGですね。

46 ：

>45
dd if=/dev/block/mmcblk0p10 of=/data/local/tmp/mmcblk0p10.bin bs=512
/dev/block/mmcblk0p10: read error: I/O error
0+0 records in
0+0 records out
0 bytes transferred in 0.002 secs (0 bytes/sec)
となりますー。

47 ：

この機種の不具合て何処に報告すればいいのでしょうか?

48 ：

邪魔すぎるアクションバーをどうにかしたい。

49 ：

/dev/shで#だとpmコマンドでSegmentation faultになってしまう…

50 ：

#の時に
id
って入力するとどうなる？

51 ：

# id
id
uid=2000(shell) gid=2000(shell) groups=1003(graphics),1004(input),1007(log),1009(mount),1011(adb),1015(sdcard_rw),3001(net_bt_admin),3002(net_bt),3003(inet),3006(net_bw_stats)
です。

52 ：

/dev/shは6755なのでrootで動作するから#表記にはなるけど、何か動かそうとすると実際はshellユーザの権限しかないってこと？
詳しい人、解説プリーズ

53 ：

/dev/shはどうもよくわからない感じなのですが、onload.shでは確実にroot権限で動いている様で、
onload.shにpm disable云々を追記してみたところ、正常に動作しました。

54 ：

>>53
勇気あるなぁ。
ヤバいの凍結して操作不能にでもなったら文鎮のリスク高いやん。
再起動したらjni消えちゃうし、もう一度手順(4)から実行してonload.shを動かせる状態
までもってこないと凍結解除できないしょ？
普通にpm使えるようになるまでは俺は怖くて手がだせない。

55 ：

>>54
いきなりやばいの凍結したわけではないです

56 ：

当方にとって 差し迫っての必要性としては
カメラを無音にすることだけなのですが、
現時点で、/dev/sh作成して
/system/media/audio/ui/camera_click.ogg とかを
他のファイルに差し替えることは可能なのでしょうか？
rwで/systemをリマウントできないかな・・？

ちなみにRじゃないですよ 高いレストランではカメラ音禁止なので
＃Rなら超小型デジカメ使えば良いだけの話だし

57 ：

MIYABIとかまだだから無理

58 ：

onload.shはsystem権限か…

59 ：

>>56
なるほど(棒)
つうか 普通のレストランでのカメラ音禁止ってのは食事中に野暮なマネはすんなっていうことで
音がしなきゃいいって話じゃないと思うんだがな

60 ：

>>59
んだな。高級だろうが安かろうが飯屋で写真とる奴はマナーなさすぎる
うちの店では遠回しにルール化しても効果少なかったからカメラ撮影禁止とはっきり明記した
偏見も入ってるけど、写真撮る奴は大抵声が大きく態度も悪いのが多くて店の雰囲気を悪くしがちだからな

61 ：

どうでもいい話はいいよ
本題になにか進展はあるのかな

62 ：

どなたか、ls -l /dev の結果ください〜。

63 ：

これで大丈夫ですか？
http://pastebin.com/jh2Fq6fx

64 ：

>>63
ありがとうございます〜。
どなたか、
/dev/msm-buspm-dev
が、ソースコードを見る限り、
どのアドレスでもmmapできる気がするのですが、
確認できますでしょうか。
SH01Dの時の/dev/boot_daemon_drv と同じような感じ。

65 ：

mmap base=10000000 length=00008000
00008000-0000a000 r-xp 00000000 b3:1c 25621 /data/local/tmp/dump
0000a000-0000b000 rw-p 00002000 b3:1c 25621 /data/local/tmp/dump
0000b000-0000c000 rw-p 00000000 00:00 0 [heap]
40077000-4007a000 r-xp 00000000 b3:0c 1600 /system/lib/liblog.so
4007a000-4007b000 rw-p 00003000 b3:0c 1600 /system/lib/liblog.so
4007b000-400bf000 r-xp 00000000 b3:0c 1466 /system/lib/libc.so
400bf000-400c2000 rw-p 00044000 b3:0c 1466 /system/lib/libc.so
400c2000-400ce000 rw-p 00000000 00:00 0
400ce000-400d4000 r--s 00000000 00:0a 5405 /dev/__properties__ (deleted)
400d4000-400dc000 rw-s 10000000 00:0a 3645 /dev/msm-buspm-dev
400dc000-400ee000 r--s 0000e000 00:0a 5405 /dev/__properties__ (deleted)
400ee000-40103000 r-xp 00000000 b3:0c 1602 /system/lib/libm.so
40103000-40104000 rw-p 00015000 b3:0c 1602 /system/lib/libm.so
40104000-40105000 r--p 00000000 00:00 0
40110000-40111000 r-xp 00000000 b3:0c 1781 /system/lib/libstdc++.so
40111000-40112000 rw-p 00001000 b3:0c 1781 /system/lib/libstdc++.so
b0001000-b0009000 r-xp 00001000 b3:0c 538 /system/bin/linker
b0009000-b000a000 rw-p 00009000 b3:0c 538 /system/bin/linker
b000a000-b0019000 rw-p 00000000 00:00 0
bef2b000-bef4c000 rw-p 00000000 00:00 0 [stack]
ffff0000-ffff1000 r-xp 00000000 00:00 0 [vectors]

66 ：

shbootgetroot.cのmmap部分を切り出して実行しました。
targetbase, targetlengthはテキトウです。

67 ：

>>65
うまくmmapはできてるみたいですね。
あとは基本的にターゲットは物理アドレスだと思うので、
カーネルがどこにあるかを見ないといけないですね。
cat /proc/iomem
で Kernel TextやKernel Dataが出ているあたりをtarget addressに
lengthも全部ダンプしたら十分カーネルが抜き出せるぐらいで範囲を
取るとよいです。
できればmmapした後指定範囲のメモリをダンプしてもらえるとうれしいです。

68 ：

>gorou_kun
遅くなりました。
dump.txtです。バイナリにすべきでした。
http://www1.axfc.net/uploader/N/so/157718
offsetをつけ忘れたので、見づらいかもしれません。

69 ：

>>68
ありがとうございます。kernelの中身がダンプできてるのは確認できました。
あとは、どのアドレス書き換えるか調べればmiyabi解除はすぐですね

70 ：

そういえば、今回のログ、lengthが0xef177bになってますが
lengthは0x11f177bぐらい取ったほうがdataも全部いけてよさげですね。

71 ：

すみません offsetを忘れていまして。
lengthを0x11f177bにして、あげなおしました。
http://www1.axfc.net/uploader/N/so/157722
miyabi解除よろしくお願いします。

72 ：

security_opsのアドレスが0xC0D99A68で、
いまmiyabi_security_ops 0xC0C75F0Cになってます
ここをdefault_security_ops 0xC0C75C58に変えてあげると良いですね。
ダンプで言うと、
10c99a60 : 00 00 00 00 00 10 00 00 0c 5f c7 c0 2f 64 65 76 ........._../dev
10c99a70 : 2f 00 73 65 63 2f 63 6f 6d 2e 6d 6f 6a 61 6e 67 /.sec/com.mojang
10c99a80 : 2e 6d 69 6e 65 63 72 61 66 74 70 65 2d 31 2f 00 .minecraftpe-1/.
10c99a90 : 62 61 6c 2d 31 2f 00 00 00 00 00 00 00 00 00 00 bal-1/..........
ここの10c99a68番地の0c 5f c7 c0を58 5c c7 c0に変えてください〜。
これで、miyabiはなくなるはず。

73 ：

参考までに、ISW16SHのkallsymsを作成したもの。
https://hotfile.com/dl/165815964/914c605/isw16sh_kallsyms.zip.html

74 ：

NANDプロテクトのほうは、mmc_protect_part が0xc084ad0c番地にあります。
1074ad00 : 69 6f 63 74 6c 5f 63 6d 64 00 00 00 01 00 00 00 ioctl_cmd.......
1074ad10 : 02 00 00 00 02 00 00 00 02 00 00 00 03 00 00 00 ................
1074ad20 : 03 00 00 00 04 00 00 00 03 00 00 00 05 00 00 00 ................
1074ad30 : 03 00 00 00 06 00 00 00 03 00 00 00 08 00 00 00 ................
1074ad40 : 02 00 00 00 09 00 00 00 03 00 00 00 0a 00 00 00 ................
1074ad50 : 03 00 00 00 0b 00 00 00 02 00 00 00 0c 00 00 00 ................
1074ad60 : 02 00 00 00 0d 00 00 00 02 00 00 00 0e 00 00 00 ................
1074ad70 : 03 00 00 00 00 00 00 00 7c f0 a2 c0 00 00 00 00 ........|.......
1074ad80 : 00 00 00 00 00 00 00 00 ff ff ff ff ff ff ff ff ................

struct mmc_protect_inf {
u32 partition;
u32 protect;
};
書き換えたいパーティションのprotectのところを0にすればよいです。

75 ：

なるほど、
SHは独自kernelモジュールを開発・組み込みでシステム領域の書き換え防止を
強化しているんですね。それがmiyabi LSMだと。
当方には応援するしかできませんが、レストランの陰から成功を祈っています！

76 ：

他スレでroot取るために追って読んで検索したりしてるけれど
すごいわ･･･

77 ：

予断ですが、mkdevshは/system/bin/shをコピーしてStickyBit立ててるだけ
なので、この部分を /data/local/tmp/suを/dev/suにコピーして
StickyBit立てるようにすれば、他のシャープのsuperuser.apk+suと同等には
なるんじゃないですかね。

78 ：

おおぉ、いつの間にかすごい進展してる！
難解すぎてどこから手をつけたらいいか分からないからエロい人まとめてくれると助かる

79 ：

gorohです
/dev/msm-buspm-dev
が任意の物理アドレスにmmapすることが分かり、
miyabiの無効化のメモリパッチ、nandlockのメモリパッチも分かった
なのでmmapして、メモリパッチしたらもう終わり、
という状況だと思ってます。サンプルのソースコード待ちなのかな。

80 ：

>>73さんの対応待ちだと思うんですけど。
その後のレスがないので作業進めてくれているのかわかりません。
一度状況報告して頂きたいですね。

81 ：

間違えました。>>71さんでした。
>>73はgoroh_kunさんだしorz

82 ：

ケータイアップデートきたけどどうなんだろう…

83 ：

root化できたけどそれだけじゃどうしようもないの？

84 ：

71です。

NANDプロテクトは、解除できたのだけれども
dmesgに
EXT4-fs error (device mmcblk0p12):
ext4_remount:4324: Abort forced by user
で、systemのremountが失敗する。
dd if=/dev/block/mmcblk0p10 of=/data/local/tmp/mmcblk0p10.bin bs=512
は成功しました。
これが、カーネルイメージですね。
で、8月8日に、公開されたカーネルのソースを眺め中です。
mmcblk0p10.binを分解して、書き換えて戻せば如何にでもなるのですが
リカバリ側もなんか、ごのごにょしてそうなので。

85 ：

remount失敗するのは、miyabi/nandlock以外の別の原因がありそうですね。
とりあえず、リカバリー側にブート側のカーネル書いて起動するか
試すのがいい気がしますが。。
まあ、リスクおってそこまでしなくても、
人によってやりたいことは既に出来たりもするので。

86 ：

停滞してますね

87 ：

私のほうでは特にこれ以上なにかするということはないので、
ユーザさんの中で頑張ってください〜。

88 ：

なにか手伝えることないかな？
どういう段階で停滞してるのかすらわからないけど…

89 ：

71さんが>>84のremount失敗の原因を調査してくれている段階では？
remount失敗の原因究明に難儀しているんでしょうかね
もしくはお盆休みで旅行中とかｗ

90 ：

取り敢えず3ラインホームを全部disableしてみた
今のところ問題なし

91 ：

今北 三行でたのむ

92 ：

世の中
そんなに
甘くない

93 ：

とりあえずチタニウムが使えて解像度変更ができればいいんだけど

94 ：

>>93
チタとcache cleaner ngが動けば幸せになるんだがなぁ

95 ：

71です。
/systemのremountにも成功して、
/system/binにsuを仕込んで、各種テスト中です。
remountの失敗は、nandlockの解除漏れでした。
gorou_kunさんの
>/data/local/tmp/suを/dev/suにコピーしてStickyBit立てる
これで、id=rootにできます。

96 ：

>>95
おぉ〜、71さんお疲れさまです。
rootkit（パッチツール）を公開できる段階になりましたら是非ともお願いしますm(_ _)m

97 ：

>>95
テストで手伝えることあったらやりますよー

98 ：

71です。
暫定版ですが、rootkitです。
gorou_kunさんの /dev/shによる仮rootが前提です。
http://www1.axfc.net/uploader/Sc/so/371165
isw16shroot.zipです。

99 ：

光の速さでゲッツ！

100read 1read

1read 100read
TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▲

【MNP？】au IS01 未来に移行 Part16【解約？】 (815)
docomo P-04D Part1 (645)
スマートフォン購入相談支援ver.20 (677)
docomo ELUGA power P-07D Part6 (231)
docomo P-04D Part1 (645)
韓国LGエレクトロニクス、Optimus LIFE L-02E発表 (466)
--log9.info------------------
テス (100)
てすと (100)
t (100)
てす (100)
tesuto (100)
テス (100)
てすと (100)
テテスス (100)
てす (100)
テストスレ (100)
てすてす (100)
○ (100)
短い半ズボン好きだった人 (240)
【美しい心】東瑠利子ファンスレ 8【真心の愛】 (761)
自販機のハンバーガーと自販機のそば・うどん part2 (957)
高　見　沢　俊　彦　 (128)
--log55.com------------------
オランダ人従軍慰安婦に謝罪したい1
吹奏楽VIPPERちょっとこい
ネトウヨに対抗して花王大好きデモ決定★3
民主党候補者の演説で韓国朝鮮の旗を振るＯＦＦ
京都・滋賀でオフ
２ちゃん関東カープファンオフ会祭り
【ユダヤ】陰謀論オフ【通貨発行権】
【燃え】アニソンカラオケOFFin福岡【萌え】16曲目