華為 EC6108V9U 破解過程全記錄

移動寬頻送的 IPTV 盒子，型號 EC6108V9U，CPU 為 Hi3798M，1G 記憶體，8G 儲存，支援 H.265 硬解碼，系統為 Android 4.4.2，卻只能看電視，豈不浪費？好在華為厚道，還是留了後門供 DIY。於是，經歷了10餘次刷機之後，終於破解成功，在此記錄，與君分享。（聽說還有個 CA 版的，不過我不是。）

快捷方式

進入 Recovery 模式
按遙控首頁不回桌面
去除系統被篡改的提示
系統預裝應用
允許盒子安裝非官方市場的 App
禁止盒子自動升級系統
備份使用者資料
恢復使用者資料
提取出廠韌體
恢復出廠韌體
觀看本地影片

目標

不破壞 IPTV 功能
能自由安裝 App
能播放外接 U 盤 / USB 硬碟上的影片檔案

磨刀篇（掃盲）

關於 root

話說 root 這個詞兒，源自 Unix/Linux。因為在 Unix 的世界裡，root 使用者就是超級使用者，是系統管理員，相當於 Windows 系統中的 Administrator，也就是一個 Unix 系統中的 “上帝”！

Android 系統是基於 Linux 的，出於安全考慮，很多系統檔案、目錄不允許普通使用者訪問。“破解”Android 的目標，就是為了能自由訪問系統檔案，從而實現系統最佳化，或自行管理 App 的安裝和解除安裝。所謂“root”一個 Android 系統，真正的含義其實是：讓任意使用者獲取底層 Linux 的 root 使用者許可權。

關於 root 的基本原理，比較完整的解釋：Android root 原理，簡化一點的解釋：Android的Root原理。

root 的基本步驟

所有的 root 方法，都不過是想盡一切辦法找到某個廠家 Android 的漏洞，以便能把修改後的 su 放進系統的可執行目錄，獲得 root 許可權。基本步驟如下：

將可被任何使用者執行的 su 可執行檔案放入 /system/xbin 目錄；
預裝 Superuser/SuperSU 之類的 root 許可權管理 App（放入 /system/app 目錄）；
將 Superuser 之類 App 的服務程式做成隨 Linux 自啟動的後臺守護程序（比如寫入 etc/init.d/）。

所有的 root 工具，都不過是將這個過程自動化，以便能自動判斷手機型號、根據 Linux 的不同版本選擇 su，僅此而已。

關於 su

其實 su 是 Unix/Linux 自帶的程式，功能就是讓普通使用者能夠臨時成為 root 使用者幹活。但是在執行 Android 的 Linux 中，多半是被拿掉了，或者是被修改成僅供 root 使用者執行的。因為 Linux 是開源的，所以就有好人用原始碼編譯出一個帶有正常功能的 su 的可執行檔案，只要選對 Linux 的版本即可拿來用了。

關於 Android 系統的目錄結構和配置檔案

下面列出最緊要的幾個，其他目錄可參閱 Android 的檔案系統結構。

/system/ 基本上所有的 Android 工具和應用程式都在這裡。/system/app/ 系統 App 存放目錄，刪不掉的 App 都在這裡。/system/bin/ 常用的可執行程式存放目錄。/system/etc/ 系統配置檔案存放目錄。/system/framework/ Java平臺架構核心庫，存放 jar 包和 odex 最佳化的檔案。/system/lib/ 系統底層共享庫，存放 .so 庫檔案。/system/xbin/ 存放不常用的系統可執行程式，相當於 Linux 的 /sbin。/system/build.prop 系統設定和變更屬性檔案。這是個檔案，不是目錄。
/data 存放使用者軟體和資料。/data/app 普通 App 安裝目錄。

關於 Superuser

Superuser 是一個開源軟體，原始碼在此。主要功能是監聽並管理 App 對 su 的呼叫，給使用者選擇是否授予 root 許可權。

主要原理是將 apk 層傳入的本應放在 shell 程序中執行的命令，放到 daemonsu 建立程序 sush 中執行。其中 Daemonsu 為開機時啟動的 su 守護程序（user 為 root）。最重要的過程是 apk、su、daemonsu、sush、superuser 之間的通訊。

通訊過程大概為：

三方程序呼叫su，su 透過 socket 與 daemonsu 通訊，
daemonsu 建立sush，
sush 透過 am 啟動 superuser apk ，讓使用者選擇是否授予其root許可權。
superuser 透過 socket 告知 sush 使用者選擇的結果
sush 根據 apk 傳過來的結果，選擇繼續執行或中斷執行

詳見 Superuser root 原理詳細分析。

動手篇

root 方法有以下 2 種：

利用 ADB 模式，執行命令列指令碼，分步完成。
進入 Recovery 模式，用別人已經 root 完的 ROM，整個替換掉現有的系統。

Recovery 方式（刷機）

Recovery 模式，顧名思義，是 Android 系統提供的恢復作業系統（ROM）、清除使用者資料、恢復出廠設定的模式。所謂“刷機”，就是在 Recovery 模式下，把已 root 、已修改過的系統 ROM“恢復”到盒子的儲存中去，覆蓋現有系統。

刷機方式的好處是簡單，適合不懂（或不想懂）計算機原理的人操作。但前提是必須找到適合自己盒子的 ROM 版本。因為盒子不像手機，各省、各個運營商都對 ROM 做過定製，IPTV 的配置引數更是各不相同，刷錯了就變磚了。

因此，刷機方式：

必須找到和自己盒子版本完全相同的 ROM；
難以保留 IPTV 功能。

步驟如下（詳見華為悅盒EC6108V9系列-海思晶片通刷韌體破解教程）：

U 盤格式化為 FAT32，在根目錄建個 upgrade 資料夾（有些盒子是直接放入根目錄），把需要刷入的 ROM（update.zip 檔案）拷入；
進入 Recovery 模式。注意 2 種遙控器的進入方式不同。詳見華為悅盒怎麼進入REC模式、升級、雙清、恢復出廠教程。
螢幕上各個選項的含義如下（注意，各個型號的選項次序不一定相同）：Apply update from external storage 從外部儲存中更新系統（刷機用）Apply update from backup 從自帶備份中更新系統（恢復出廠韌體）Wipe dalvik-cache partition 清除 Dalvik 快取資料Wipe data/factory reset 清除系統資料 / 恢復出廠設定Wipe userdata partition 清除使用者資料Reboot 重啟
選擇 Apply update from external storage，開刷。
等待完成，重啟盒子。

不過我得保留IPTV功能，所以選擇下一種方案。

ADB方式（執行指令碼）

華為悅盒 EC6108V9U 的 ADB 模式，天然就是帶 root 許可權的，這就是華為為我們開的 backdoor，不需要再費心費力去找 Linux 的漏洞了。這和一些 Android 手機不同。

判斷 ADB 是否已經獲到了 root 許可權，只要看 shell 的提示符即可。“#”是 root 使用者的專屬提示符。

> adb shell
$                // 普通使用者許可權
#                // root 許可權

基本步驟：

保證電腦和盒子的 IP 在同一個網段（子網）內。如果都是用 DHCP 獲取 IP 的，預設就是同一網段。Wifi 或有線網路均可，只是盒子優先認網線，想用 Wifi 就必須拔下網線。
開啟盒子的“遠端維護連線”，（設定--更多（或高階）--遠端連線控制，設為允許），左下角會出現“DEBUG模式”。並記錄本次連線的密碼（每次開啟都會生成新的密碼，可以隨時進來檢視當前密碼）；
執行華為 STB 管理工具，匯入同一目錄下的許可證檔案（*.dat）；連線盒子，輸入IP、連線密碼；開啟遠端登入（ADB模式），提交。
執行破解指令碼（*.bat），可能會有多個。
重啟盒子。

詳見華為悅盒電腦破解教程。

關於同一個 IP 網段

盒子和電腦都設定為同一段 IP，才能從電腦上連線到盒子去。“同網段”由 IP 地址和掩碼共同決定的，可參閱 IP地址的定義和含義。簡單來說，就是掩碼（mask）的每個位元組（8 個二進位制位）控制著對應 IP 位元組是屬於主機（Host）地址，還是屬於網段地址，同一網段的掩碼必定相同。IPv4 的地址由 4 個位元組構成，相應的掩碼也是 4 個位元組。一般地，可以如下設定：

盒子 IP：192.168.0.1
盒子掩碼：255.255.255.0

電腦 IP：192.168.0.2
電腦掩碼：255.255.255.0

掩碼為 255.255.255.0，表示 IP 地址的前 3 個位元組（192.168.0.X）均為網段地址，用於識別網段，不用作識別主機。這時 IP 地址中的最後 1 個位元組才是標識主機用的。各個主機必須設為不同的數字，總共有 256 （2 的 8 次方）種可能，再去掉第 1 個可用數字 0（固定用於代表本網段）和最後 1 個可用數字 255（固定表示本網段的廣播地址），剩下 254 個可用數字（1-254）。也就是說，當掩碼位元組為 0 時，同網段最多可以接入 254 個主機。

當然，掩碼可以是任意值，不一定非得是 0 或 255。這樣 IP 拆分為網段和主機部分就得用二進位制計算了，有專門的網站提供了方便，比如網路和IP地址計算器。

詳細解析破解指令碼

一般會有一個或多個 .bat 檔案供執行。.bat 檔案是普通的文字檔案，只是字尾改成 .bat 而已，用記事本開啟就行了，裡面都是 windows/DOS 能夠執行的命令。下面逐條解釋一下幾條主要命令：

.\root\adb kill-server

執行 root 目錄下的 adb 程式，引數為 kill-server。作用是關閉已經在執行的 adb 程序。

set /p ip=請輸入盒子的IP地址，然後按回車鍵：

獲取使用者鍵盤錄入，賦值給變數 ip。這裡務必準確輸入盒子的 IP，比如 192.168.0.1。

.\root\adb connect %ip%:5555

執行 root 目錄下的 adb 程式，引數為 connect %ip%:5555。作用是連線 ip 指定的盒子 IP 地址，埠為 5555。ADB 預設服務埠即為 5555，因此可省略為 adb connect 192.168.0.1。

 .\root\adb shell mount -o remount,rw /system

執行 adb 程式，引數為 shell mount -o remount,rw /system，也即透過 ADB 在盒子上執行 mount -o remount,rw /system 命令。作用是將 /system 目錄重新掛載為可讀寫模式，便於下面的寫入操作，預設是隻讀的。

.\root\adb push .\root\su /system/xbin/su

執行 adb 程式，引數為 push .\root\su /system/xbin/su。作用是推送本地 root 目錄下的 su 檔案到盒子上的 /system/xbin/ 目錄下，檔名仍然為 su。既然檔名不變，其實可以簡寫為 adb push .\root\su /system/xbin/。

.\root\adb shell "chmod 06755 /system/xbin/su"

執行 adb 程式，引數為 shell "chmod 06755 /system/xbin/su"，即透過 ADB 在盒子上執行 chmod 06755 /system/xbin/su 命令。作用是將 /system/xbin/ 目錄下的 su 檔案的訪問許可權修改為 06755，也就是允許任意使用者執行 su，詳見 UNIX 檔案許可權。

.\root\adb push .\root\Shafa.apk /system/app/Shafa.apk.apk

執行 adb 程式，引數為 shell .\root\Shafa.apk /system/app/Shafa.apk.apk。作用是推送本地 root 目錄下的 Shafa.apk 檔案到盒子上的 /system/app/ 目錄下，檔名為 Shafa.apk.apk，使得沙發桌面應用成為系統預裝應用。

.\root\adb shell "settings put secure install_non_market_apps 1"

執行 adb 程式，引數為 shell "settings put secure install_non_market_apps 1"，即透過 ADB 在盒子上執行 settings put secure install_non_market_apps 1 命令。作用是允許盒子安裝非官方市場的 App。

.\root\adb shell "chmod 0000 /system/app/UpgradeOnline.apk"

執行 adb 程式，引數為 shell "chmod 0000 /system/app/UpgradeOnline.apk"，即透過 ADB 在盒子上執行 chmod 0000 /system/app/UpgradeOnline.apk 命令。作用是將 /system/app/ 目錄下的 UpgradeOnline.apk 檔案訪問許可權該為 0000，也即禁止任何使用者訪問，以禁止盒子自動升級系統。

.\root\adb shell "echo 1 > /system/etc/.installed_su_daemon"

執行 adb 程式，引數為 shell "echo 1 > /system/etc/.installed_su_daemon"，即透過 ADB 在盒子上執行 echo 1 > /system/etc/.installed_su_daemon 命令。作用是在 /system/etc/ 目錄下生成 .installed_su_daemon 檔案（如果已存在則覆蓋），檔案內容為一個字元“1”，啟用 su 的守護（常駐記憶體）標誌。

.\root\adb shell mkdir /system/etc/init.d

執行 adb 程式，引數為 shell mkdir /system/etc/init.d，即透過 ADB 在盒子上執行 mkdir /system/etc/init.d 命令。作用是在 /system/etc/ 目錄下新建 init.d 目錄。該目錄下的所有檔案都被 Linux 視為系統啟動時自動執行的指令碼。

.\root\adb push .\root\android /system/framework/android.policy.jar

執行 adb 程式，將本地 root 目錄下的 android 檔案推送到盒子的 /system/framework 目錄下，檔名變為 android.policy.jar，如有同名檔案則覆蓋。作用是解決按遙控首頁不回桌面的問題。

.\root\adb shell "> /system/checksum.img"

執行 adb 程式，將盒子 /system/ 目錄下的 checksum.img 清為 0 個位元組的檔案。作用是去除系統被篡改的提示。盒子在啟動時，會對幾個關鍵檔案進行校驗，校驗資料儲存在 checksum.img 檔案中，將其內容清為 0 就取不到校驗資料了，也就不提示了。其實盒子提示被篡改也沒啥關係，多點選一次確定罷了，繼續用就是了。

adb pull /data/data/com.huawei.iptv.stb.stbconfig .\bak

執行 adb 程式，將盒子 /data/data/ 目錄下的 com.huawei.iptv.stb.stbconfig 檔案複製到本地的 bak 目錄下。作用是備份使用者資料。

adb push .\bak\com.huawei.iptv.stb.stbconfig /data/data/

執行 adb 程式，將本地 bak 目錄下的 com.huawei.iptv.stb.stbconfig 檔案複製到盒子的 /data/data/ 下。作用是恢復使用者資料。

提取出廠韌體

出廠時的韌體，可以透過 Recovery 模式的 Apply update from backup 選單進行恢復。出廠韌體位於盒子儲存的特定分割槽中，一般不會被覆蓋，所以提取出來主要是為了修改裡面的內容，比如製作已經 root 的 ROM。完整的命令如下（前面 2條是連線盒子和修改 /system 為讀寫模式）：

adb connect 192.168.0.1
adb shell mount -o remount,rw /system
adb shell mkdir /tmp/bak
adb shell mount -t ext3 /dev/block/platform/hi_mci.1/by-name/backup /tmp/bak
adb pull /tmp/bak/update.zip ./update.zip

下面逐條解釋一下這幾條命令：

adb connect 192.168.0.1

執行 adb 程式，引數為 connect 192.168.0.1。作用是連線 192.168.0.1（盒子 IP 地址），埠用預設的（5555）。如接著前面的操作，則無需再執行了。

adb shell mount -o remount,rw /system

同上所述，將 /system 目錄重新掛載為可讀寫模式。如接著前面的操作，則無需再執行了。

adb shell mkdir /tmp/bak

執行 adb 程式，在盒子上執行 mkdir /tmp/bak 命令。作用是在盒子的 /tmp/ 目錄下新建一個名為 bak 的目錄，用於掛載備份檔案所在的分割槽。Unix 系統下要訪問裝置（儲存裝置分割槽也被視為一種裝置），得先掛到某個目錄下面，以便像訪問檔案一樣訪問裝置。

adb shell mount -t ext3 /dev/block/platform/hi_mci.1/by-name/backup /tmp/bak

執行 adb 程式，在盒子上執行 mount -t ext3 /dev/block/platform/hi_mci.1/by-name/backup /tmp/bak 命令。作用是將 /dev/block/platform/hi_mci.1/by-name/backup 裝置掛載為 /tmp/bak 目錄，儲存格式是 ext3。