中興ZXV10 B760E root詳細(xì)全過程——小白玩機(jī)

倉鼠哥 · 發(fā)表于 2015-8-10 12:53

歡迎加入中興機(jī)頂盒破解交流群：495753974！

04.09 更新：
本以為全OK了，root的事情還沒結(jié)束。只好再更新下，見后面。

04.02 總結(jié)：
root成功并且安裝了sshd。感覺就沒有刷固件的必要了。就此作個總結(jié)吧。
從陪你一起老，JZJ7979 的貼子中學(xué)了很多。靜水流深jsls提供了關(guān)鍵的幫助。在此感謝前輩們的幫助。* I4 [: @2 X& f) l* G. N
我們的社會浮躁且急功近利，無數(shù)小白們希望飯來張口，不知道享受求知探索而成功的成就感。7 p1 g9 q* e8 q# e9 D- L$ E2 P
雖然這樣，還是做了個懶人包，去下載吧。不過密碼只能回復(fù)可見了。不會再提供解答，有問題，仔細(xì)看貼吧。
如果不僅希望know how還想know why，其實(shí)不必下載，因為所有的信息和探討本貼下面都有，只要花點(diǎn)時間。' Q5 P  N1 [9 b0 S

2015.03.10  起源：9 v! |3 |5 H+ g# A, _7 n
移動公司寬帶IPTV帶的機(jī)頂盒，發(fā)現(xiàn)還帶USB口，本以為可以外置硬盤放高清呢，結(jié)果怎么也找不到菜單。上網(wǎng)一搜才知道閹割的水深火熱。明明給自己用的設(shè)備，小雞雞攥別人手里，越是強(qiáng)權(quán)越是可恨。所以決心要破了這個，上網(wǎng)搜教程發(fā)現(xiàn)并不容易。邊干邊學(xué)吧，本文就作個記錄，方便后來者。
因為本人小白沒玩過線刷，過程會羅嗦，高手見諒別嫌煩。/ ^1 \4 K9 ?6 Q7 h/ T
$ P2 |! C- j/ s6 v% V
機(jī)器型號：智能機(jī)頂盒(Wi-Fi)中興ZXV10 B760E(H)4 m7 _: ^+ r  ^3 a" X% K5 ^
因為之前知道閹割的利害，基本確認(rèn)必須走adb破解的法子。
電子市場買來USB-TTL接頭，(BTW,實(shí)體店要20，等的起還是網(wǎng)購吧)還不帶杜邦線。沒線難不住我，找了根舊光驅(qū)音頻線，菜刀劈開，干吧。
1）核對下USB-TTL接頭的芯片，PL2303HX，下驅(qū)動裝上，OK
2）我的電腦系統(tǒng)WIN7 64，Rapidtest.exe不好用(提示Unable to open port)，于是下載ACCESS PORT1.37。ACCESS PORT Win7下可用，不過要手動設(shè)置下COM口，在設(shè)備管理器下可以找到COM口信息。
3）USB-TTL頭短接 RX TX，ACCESS PORT測試，發(fā)出的代碼都收到了，OK3 S9 Z+ c7 V7 ]+ ^. U* X
4）拆盒子，聽說這貨沒螺絲，上平口螺絲刀底板直接就給別開了。$ z/ m9 K, g3 u& O" Y) N& ]; X
5）三個螺絲拆了板子翻過來
      找到USB接口旁邊的六針座。
6）估計個大概先接上試試。ACCESS PORT測試，打開B760E，一個回車發(fā)出，收到：; f* M+ a) W0 ]" U
      root@android:/ # , N) j, E0 j/ b2 g' k. X2 x2 x
      一次成功??？我都不敢相信。趕緊記錄針腳線序：以X1為基準(zhǔn)! s% y9 B: Q8 K/ m) T5 w+ C3 Z# C: w: @
            (5 ) (6 )
            (3 ) (4 )( j8 L, `3 j4 M! A- t+ y2 v
            (X1) (2 )
      6       =       GND
      2       =       TX
   X1       =       RX  ( e1 |/ H5 u# M* Z: W- o
      這里要注意，收發(fā)兩端RX TX 要交叉連接的。通常電壓不超5V，錯了就反接一下，不是問題。
7）在B760E上啟動adbd。這需要發(fā)給B760E一個命令?？紤]到ACCESS PORT已經(jīng)得到了命令行提示“root@android:/ # ”，我試了下用ACCESS PORT完全可以。  W( ], X: K- K0 ?- t4 [
   即當(dāng)B760E提示“root@android:/ # ”時，發(fā)出：
      adbd &    回車: `% l# }* p7 P: t
      也就是讓adbd服務(wù)在后臺運(yùn)行等待連接。
8）測試adb，下載好adb軟件，放到C：根目錄。5 f( ]1 X4 {9 ~' V& M' l
      打開windows命令行cmd.exe，在C：根目錄運(yùn)行 adb connect xxx.xxx.xxx.xxx:5555  x6 x( f8 w. F
      提示 connected to xxx.xxx.xxx.xxx:5555
      OK
9) adb install xxx.apk，試裝了個ES瀏覽器，提示SUCCESS。: i+ a0 q  @4 {: Z7 B! I
10）但是，安裝的apk在B760E中找不到。而且到此為止，我還是找不到任何原界面外軟件。我甚至10086重置了IPTV盒子出廠設(shè)置，仍然無法跳過。) k. j/ ?- }* I5 K/ j- s& `/ m
11）看來移動公司是把閹割的管理器做到B760E固件里,所以到這里折騰了好久。$ a& \' |  I7 b/ `
      其實(shí)是沒經(jīng)驗，因為JZJ7979提示的很清楚：悟空助手8 O4 f; |) N; W0 ^1 L
      下載悟空助手裝上，設(shè)定PC和B760E的IP內(nèi)網(wǎng)同網(wǎng)段，顯示找到機(jī)頂盒的IP，OK/ M- U! j0 o( T2 o, k0 Q8 }2 n
      這里注意要確保機(jī)頂盒上adbd是正在運(yùn)行的，因為悟空助手實(shí)際也是同過adb機(jī)制操作的。: D  g! Q! I) `5 k# \
12）現(xiàn)在關(guān)鍵是要有一個桌面launcher替換掉B760E內(nèi)置的：3 i. d- z+ m8 [, f% J7 U
      當(dāng)貝桌面，下載apk，拖進(jìn)悟空助手就自動安裝了。& O  \4 C, D! N- r
      裝好后，B760E已經(jīng)在TV界面上提示了，選擇當(dāng)貝桌面，DONE！( A! h* Y0 N# Q% O* |, {, J5 j

總結(jié)下：
a) 再次感謝JZJ7979，提示的每一步都很關(guān)鍵，我走了彎路是因為缺乏經(jīng)驗。; b! f; t) g0 m) t1 X2 n# c
b) 我知道老主機(jī)時代有串口終端的，USB-TTL接頭其實(shí)是串口終端的延續(xù)，配合PC上的驅(qū)動和終端軟件，把PC虛擬成一
臺終端機(jī)。因為是本地終端，系統(tǒng)給的是root權(quán)限。所以啟動adbd，裝apk，這都不是事兒。  u; ?  ?$ M0 j3 {8 G
c) 回頭研究下刷固件，機(jī)器復(fù)原也不用從頭再來了。1 y; J; C4 c6 Z7 `  z

2015.03.30更新：
- 針腳圖在六樓: E4 Y+ _% @0 J) }# F& }
- 桌面的說明。僅針對我自己B760E（山東移動）
   我的未破解前，開機(jī)時自動登錄進(jìn)IPTV，也取消不了，IPTV的界面無瀏覽器，無法安裝任何應(yīng)用。設(shè)置頁面也閹割且固化了。" L# v, b' v) e% Y  \2 [# _! B
   用悟空助手安裝當(dāng)貝桌面后，B760E立即在TV上提示選擇當(dāng)貝桌面還是移動的IPTV，用遙控器選當(dāng)貝桌面就OK。( H6 R6 A& [+ z8 p# J
   有了當(dāng)貝桌面，能安裝新應(yīng)用，怎么都好辦了。
   此后使用時，只要按遙控器應(yīng)用鍵，就會出現(xiàn)桌面選擇。/ O+ |; u/ P! z  y& U/ {" Y

要注意的是，開始用adb install 返回消息是SUCCESS，但是盒子上找不到安裝的軟件。而用悟空助手安裝當(dāng)貝桌面就成功。$ [1 u' R9 m. |) P! Q! f: U1 E
所以，悟空助手安裝是必須的。關(guān)鍵是悟空助手安裝完后立即提示并啟動了當(dāng)貝桌面。為什么這樣，我還不清楚。( r( M3 y, W! B6 M3 l) j

后續(xù)其它軟件安裝，用當(dāng)貝桌面，常用的都可以裝。有些小眾軟件，比如quicksshd，下載APK，' W3 y" |, t& A4 Z$ m
adb push quicksshd.apk /tmp
然后在盒子上es瀏覽器安裝就行。
; c9 x3 ^& `3 ^. D

2014.04.02 更新：
root，
本以為有了#，root很容易。沒想到還挺費(fèi)勁。光拷貝su無數(shù)遍，被一個后臺守護(hù)進(jìn)程玩弄。還多虧靜水流深jsls的指點(diǎn)。
然后su Superuser.apk配合又不能運(yùn)作, 陪你一起老 adb 包中的試過，不行。+ p% H  m4 ^* w3 ?& Q$ H& H
后來嘗試supersuer的3.2版本，OK。下載地址：
http://downloads.noshufou.netdna ... -RC3-arm-signed.zip# g5 k$ q2 ^- E4 }5 m
1) 回到dos命令行，提取Superuser-3.2-RC3-arm-signed\system\的2個文件：app\Superuser.apk以及bin\su
adb push su /tmp
adb push Superuser.apk /tmp
2) 殺掉stbmc進(jìn)程。這個應(yīng)該是中興自己搞的，啟動時通過zte_init.rc加載。目的就是監(jiān)控并刪掉/system/bin和xbin下的su
adb shell 連接到B760E，
ps | grep stbmc    得到stbmc的PID+ h8 T# g2 [- f" I5 R+ X- d* W
kill PID       殺掉stbmc對應(yīng)的進(jìn)程號' K/ r& ]0 ~; I9 U: Y) ]7 H
mv /system/bin/stbmc /system/bin/stbmc.bak 這樣重啟后stbmc也無法再啟動。不知道是否有其他影響，暫時先改個名好了。
3）沒有root，先有雞還是先有蛋？所以指望Superuser自己裝好su是不現(xiàn)實(shí)的。必須 adb shell $ y, R' S& }+ d3 o9 z2 i' ?5 J
cp /tmp/su /system/bin/su
cp /tmp/su /system/xbin/su, S  H( ?8 z( s3 Q2 u; g  y
chmod 4755 /system/bin/su# M0 a6 ^( }9 I: e5 [
chmod 4755 /system/xbin/su
4 )  然后，在盒子TV界面上啟動ES文件瀏覽器，到/tmp文件夾下，啟動并安裝Superuser.apk
5）這樣root好了，再有需要root權(quán)限的APP，Superuser會自動彈提示，點(diǎn)允許就可以了。' I: ^9 m3 S- i9 L

創(chuàng)建sshd' W7 {, x$ e. Y5 x$ _
USB-TTL是終端直連倒不要緊，但是一個root權(quán)限的adbd開著，連密碼認(rèn)證都不要而且WIFI可以連接，安全風(fēng)險太大了。  }  S5 t2 v) n/ k+ Y* {0 T/ _
所以最好是開sshd，平時把a(bǔ)dbd關(guān)掉，需要時再打開。其實(shí)就是用SSH連接機(jī)制取代adb shell% c2 T; v7 @% j2 m
1) 下載quicksshd的APK，
adb push quicksshd.apk /tmp! K# {  L0 P) X& C0 N% H
2) 用es瀏覽器安裝，并設(shè)置密碼，啟動sshd服務(wù)。quicksshd默認(rèn)的用戶名只是root，密碼隨便設(shè)。設(shè)置后看提示確保sshd在后臺等待。
3）在PC端啟動putty，設(shè)置盒子IP，選SSH，端口2222。我習(xí)慣把連接快捷方式保存為IPTV SSH。點(diǎn)open
4) 輸入登錄名root，密碼。就登錄到盒子了。* G  y6 h- ~/ `; @' H8 E
5）測試/system/xbin/su, TV界面上提示申請root權(quán)限，點(diǎn)允許。得到#提示符，ok。這樣就有了可以升級root權(quán)限的ssh shell
6) ps | grep adbd 然后殺掉adbd的PID。- A; I) ], n3 Z8 e+ L) E! P
今后需要adb連接時，啟動quicksshd，PC端putty登錄，su 然后 adbd&就可以了

04.09 更新：# {% F; q0 }# w; G
本以為全OK了，但是有反映root后遙控器關(guān)機(jī)和設(shè)置鍵實(shí)效的問題。我測試后果然。8 e( |1 d1 B! y/ F- Q* Y
主要原因是為了root停掉了stbmc，還把stbmc更名為stbmc.bak?？磥韘tbmc還有其它功能，不能簡單一停了事。7 @* e2 z/ Q/ p. E5 a
我想了下，這個stbmc是個編譯后可執(zhí)行程序，一般沒必要加密，其中關(guān)于針對su的操作應(yīng)該可以看到。
那么ssh登錄，搜索下看看：
root@android:/system/bin # cat stbmc.bak | grep \/system\/bin\/su
/system/bin/su! i1 w0 p" l& `" c7 @
@@@@@======> /system/bin/su exist, delete it.6 c+ j4 Z) U7 T  K/ W
rm -r /system/bin/su
root@android:/system/bin # cat stbmc.bak | grep \/system\/xbin\/su
/system/xbin/su% {: S% `+ ]5 v' L4 t
@@@@@======> /system/xbin/su exist, delete it.
rm -r /system/xbin/su  k+ K2 _8 Y1 d! o6 x, b9 a
'\'是轉(zhuǎn)義符，發(fā)現(xiàn)stbmc中果然內(nèi)置了刪除su的命令。而且是明文shell命令，那這樣的話，直接改掉應(yīng)該可以吧？0 {. M* S0 D9 T

sed '/^rm -r \/system\/bin\/su/ s/^rm/#m/' stbmc.bak > stbmc.tmp
sed '/^rm -r \/system\/xbin\/su/ s/^rm/#m/' stbmc.tmp > stbmc# i9 v9 V( t/ W$ S8 H; X, u
sed命令容易出錯，我是實(shí)驗OK才進(jìn)入實(shí)際操作的。說明一下：
1) '\'是轉(zhuǎn)義符，'\/'實(shí)際就被解釋成'/'
2) 所以sed命令前半段就是搜索包含'rm -r /system/bin/su'的行4 {2 g& J" P' P, C' z; O  e3 k! u0 Y
3) 's/^rm/#m/' 就是把行首的'rm'替換成'#m'， bash會認(rèn)為#開始的是注釋行而忽略后續(xù)
      上面的sed命令實(shí)質(zhì)就是把rm這行shell命令給注釋掉了。
      注意因為stbmc是編譯的可執(zhí)行文件，我怕有絕對地址引用，修改時盡量不要影響文件其它部分，包括文件大小，因此只改了行首一個#使得這行刪除命令失效就夠了。  P  |( \1 Y; s7 n  ~
完成后，測試下：
root@android:/system/bin # ls -l stb*& Q9 X) t  V0 l4 c0 o2 `7 h+ V
-rwxr-xr-x root    shell    68292 2008-08-01 20:00 stbcfg3 n  D# G9 v. t- {  L
-rw-rw-rw- root    root    304660 2015-04-09 23:11 stbmc
-rwxr-xr-x root    shell    304660 2008-08-01 20:00 stbmc.bak
-rw-rw-rw- root    root    304660 2015-04-09 23:10 stbmc.tmp2 E1 E4 H) l3 A- J" R" J* J
root@android:/system/bin # cat stbmc | grep \/system\/bin\/su
/system/bin/su
@@@@@======> /system/bin/su exist, delete it.
#m -r /system/bin/su8 K5 C: C5 Q+ w, V3 m( Y
root@android:/system/bin # cat stbmc | grep \/system\/xbin\/su2 a) x. [) N- H3 {/ c
/system/xbin/su# H# q6 ?! a. S7 [: x6 u5 W
@@@@@======> /system/xbin/su exist, delete it.
#m -r /system/xbin/su9 y7 X) K, _3 k$ W
可以看到文件大小保持不變，而且stbmc原先的刪除su的命令實(shí)效了。
然后恢復(fù)文件。
rm /system/bin/stbmc.tmp
chgrp shell stbmc
chmod 755 stbmc

重新啟動盒子，因為stbmc又回來了，zte_init.rc啟動時加載為后臺進(jìn)程。$ `7 h! S* n) s) k% H/ X6 t
但是其中的 rm su的命令已經(jīng)實(shí)效了，su不會被自動刪除了。! V( w* N1 u( s' b
測試root，仍然正常。遙控器關(guān)機(jī)，正常！

移動盒子中興B760E-破解說明包.zip (3 MB, 下載次數(shù): 2258) 密碼：kinema24.com

lexlong2007 · 發(fā)表于 2015-8-14 14:11

感謝分享辛苦了

wwwcd2000 · 發(fā)表于 2015-8-14 04:33

很給力，ZNDS有你更精彩！

ejjhgh · 發(fā)表于 2015-8-17 18:55

強(qiáng)烈支持樓主ing……

lexlong2007 · 發(fā)表于 2015-8-14 13:53

試試可以不先謝謝

樂樂abc · 發(fā)表于 2015-8-10 15:05

很給力，ZNDS有你更精彩！

偉大的biubiu · 發(fā)表于 2015-8-10 13:18

szl0316 · 發(fā)表于 2015-8-23 16:51

學(xué)習(xí)學(xué)習(xí)學(xué)習(xí)學(xué)習(xí)學(xué)習(xí)學(xué)習(xí)學(xué)習(xí)學(xué)習(xí)

7876876876 · 發(fā)表于 2015-9-1 12:15

0-oo9-=90==9=09=

光蘇 · 發(fā)表于 2015-9-6 17:56

試一試強(qiáng)烈支持樓主ing……

› 運(yùn)營商IPTV / 有線電視 / 廣電機(jī)頂盒 › 中興機(jī)頂盒

中興ZXV10 B760E root詳細(xì)全過程——小白玩機(jī) ...

中興ZXV10 B760E root詳細(xì)全過程——小白玩機(jī)

相關(guān)帖子