【ROM焼き】docomo AQUOS PHONE ZETA SH-02E root2

1 ：2013/07/25 〜 最終レス ：2013/08/03

ドコモ2012冬モデル「AQUOS PHONE ZETA SH-02E」の改造スレです。
■注意事項
・ここは本スレではありません。
・root化してしまうとキャリア・メーカーの保証は一切効かなくなります。
・4.1ではmiyabiを解除した時点で記録されてしまいます。保証は諦めましょう。
・最悪の場合端末が起動しない（いわゆる文鎮）になる恐れがあります。
またトラブルが発生した場合などは自力で解決する努力が必要です。
このスレに助言を求めるときは
・何をしてどうなったか？
など最低限の情報は書き込んでください。小出し・後出しでは助言を得られません。
■公式サイト
【docomo】
　http://www.nttdocomo.co.jp/product/next/sh02e/index.html
　http://www.nttdocomo.co.jp/product/2012_winter_feature/lineup/sh02e.html
【Sharp】
　http://www.sharp.co.jp/products/sh02e/
【説明書】
　http://www.nttdocomo.co.jp/support/trouble/manual/download/sh02e/index.html
【USBドライバー】
　http://k-tai.sharp.co.jp/support/d/sh-02e/download.html#usb_driver
【SHARP共通 ADB USBドライバー】
　https://sh-dev.sharp.co.jp/android/modules/driver/#adbAll
【sh-02e @ ウィキ】
　http://www49.atwiki.jp/sh-02e/
■主なスペック
　【OS】Android 4.1
　【CPU】Qualcomm Snapdragon S4 Pro APQ8064 1.5GHz/Quad-Core CPU
　【ROM/RAM】32GB（システムメモリ：約5.6GB/本体メモリ：約20.1GB）/2GB
　【Display】4.9型 IGZOパネル TFT液晶/HD(1280x720)/1678万色
　【カメラ(外側)】CMOS方式1630万画素/裏面照射型/光学手ぶれ補正/1080p動画撮影
　【カメラ(内側)】CMOS方式120万画素/裏面照射型
　【通信方式】FOMA(W-CDMA HSAP+)：下り14Mbps,上り5.7Mbps)/Xi(LTE)：下り100Mbps,上り37.5Mbps/GPRS
　【通信方式】WiFi IEEE 802.11 a/b/g/n (2.4GHz and 5.xGHz Dual-Band, HT40)
　【Bluetooth】Bluetooth 4.0（HSP/HFP/OPP/A2DP/AVRCP/SPP/HID/PBAP/PAN/HDP/ANP/FMP/PASP/PXP/TIP）
　【サイズ】縦135×横68×厚9.8(mm)（最厚部：約10.9mm）　質量 約152g
　【電池】Li-Ion 2,320mAh
　【外部メモリ】microSD/microSDHC/microSDXC（最大64GB）
　【SIM形状】 microSIM(miniUIM)
　【発売日】2012年11月29日
■前スレ
【ROM焼き】docomo AQUOS PHONE ZETA SH-02E root1
http://anago.2ch.net/test/read.cgi/smartphone/1354149482/

2 ：

ttp://www.dotup.org/uploda/www.dotup.org4366018.png
ありがとうございます！
2chMate 0.8.5.4/SHARP/SH-02E/4.1.2

3 ：

>>1
おつ
>>2
おめでとう

4 ：

とりあえずunlock_security_moduleでroot取れるようになったけど再起動ごとにADBでMIYABIとNANDロック解除必要なのか
なんとかならんものか・・・

5 ：

メジャーアップデート前にrootを取得し、/data/local/tmpに/sys/kernel/uevent_helperのシンボリックリンクを貼ったままアプデした場合
adb push unlock_security_module /data/local/tmpは不可能
そこで荒業を使って送り込む
1. Google Playから端末エミュレータをインストールする
2. ひとまずsdcard領域にunlock_security_moduleをpushする
adb push unlock_security_module /storage/sdcard0/
3. 端末エミュレータ起動、mvコマンドで端末エミュレータのdata領域にunlock_security_moduleを移動する
$ mv /storage/sdcard0/unlock_security_module > /data/data/jackpal.androidterm/files/unlock_security_module
$ cd /data/data/jackpal.androidterm/files
$ chmod 777 unlock_security_module
4. 実行
$ ./unlock_security_module 1
5. rootshellが起動出来たらお片付け
# rm /data/local/tmp
# mkdir /data/local/tmp
# chmod 771 /data/local/tmp
# chown shell.shell /data/local/tmp
# mv unlock_security_module > /data/local/tmp/unlock_security_module
# rm unlock_security_module
# reboot

6 ：

4.1のrootはまとめると
1.
前スレの神作unlock_security_moduleを
/data/local/tmp　に突っ込む。
一時rootまでいける。
2.
/system　をrwでリマウントする。
/system　以下の書き込み権限が得られる。
3.
suとbusyboxをそれぞれ
/system/xbin/su　/system/xbin/busybox
にインストール
4.
/system　をroでリマウントする。
/system　以下が読み込み専用になる。
5.
SuperUser.apkインストール
情弱が必死に解釈した結果だけどこれで間違いない？
suやbusyboxはxdaのDooMLoRD_Easy-Rooting-Toolkitから拝借したやつで大丈夫？
手順が抜けてる、間違ってるところがあったら御教授願いたいです。

7 ：

Titanium導入できました！前スレの神々に感謝！
http://i.imgur.com/asyJHIG.png
他のrootスレを参考に以下の通りにやりました。
1)準備
Android SDKと各種ドライバを導入する。
以下4つの必要ファイルをC:\***（何でも良い）に配置する。
　・unlock_security_module (前スレ>>984氏作)
　・su（F10Dスレ>>595より拝借）
　・Superuser.apk（同上）
　・busybox（同上）
SH-02E側で開発者オプションを有効にする。
「スリープモードにしない」と「USBデバック」を有効にする。
2)adb pushで必要ファイルを/data/local/tmp転送
コマンドプロンプトを開く
C:\Users\（ユーザー名） >cd C:\***
C:\***>adb push unlock_security_module /data/local/tmp
C:\***>adb push su /data/local/tmp
C:\***>adb push Superuser.apk /data/local/tmp
C:\***>adb push busybox /data/local/tmp
3)unlock_security_moduleの実行（一時root取得）
adb shell
shell@android:/ $ cd /data/local/tmp
shell@android:/data/local/tmp $ chmod 777 unlock_security_module
shell@android:/data/local/tmp $ ./unlock_security_module 1
（unlock_security_moduleが動いてMIYABIとNANDロック解除）
　（色々表示されるので↓が出る間で待つ）
　Unlocked LSM.
　Do setresuid...
　OK.
　shell@android:/data/local/tmp #
　（#になれば一時root取得完了）
4)system領域にsu，Superuser.apk，busyboxを設置
shell@android:/data/local/tmp # mount -o rw,remount /system /system
shell@android:/data/local/tmp # cat /data/local/tmp/su > /system/xbin/su
shell@android:/data/local/tmp # cat /data/local/tmp/busybox > /system/xbin/busybox
shell@android:/data/local/tmp # cat /data/local/tmp/Superuser.apk > /system/app/Superuser.apk
shell@android:/data/local/tmp # chmod 644 /system/app/Superuser.apk
shell@android:/data/local/tmp # cd /system/xbin
shell@android:/system/xbin # chown root.root su
shell@android:/system/xbin # chown root.root busybox
shell@android:/system/xbin # chmod 6755 su
shell@android:/system/xbin # chmod 755 busybox
shell@android:/system/xbin # mount -o ro,remount /system /system
PCでの作業は終わりなのでケーブル外して良い。
アプリ一覧に「SuperSU」が追加されているのでタップ。
⇒SUバイナリアップデート→通常
マーケットからbusybox導入。
⇒busyboxアップデート

8 ：

ちなみにsuとかのファイルがあるフォルダでShift押しながら右クリックすれば
「コマンドウインドウをここで開く」がでるから最初のcdをしなくてすむようになる

9 ：

注意点として、suやbusyboxをインストールしても、再起動したらケーブル接続してmiyabiとLSM解除しないといけない
あくまで一時rootで永続rootじゃない

10 ：

PC接続後
adb shell
cd /data/local/tmp
chmod 777 unlock_security_module
./unlock_security_module 1
を順に実行するだけでまた取れるね。

11 ：

>>5
> /data/data/jackpal.androidterm/files/unlock_security_module
↑の/jackpal.androidterm/filesの部分は任意(例えば、/rootkit)とかでもいいんだよね？
あと、/data/local以下じゃなくて、/data/data以下がいいんだよね。
今夜にでもやってみます。

12 ：

>>10
接続して
adb shell "/data/local/tmp/unlock_security_module"
を実行するだけでいい
どうにか他の穴でMIYABIとLSM解除出来ないものかな

13 ：

>>9,>>10
一時ではない、adb不要
端末エミュレータで、エミュレータ起動時の設定で以下のコマンドを追加
export PATH=/data/local/tmp/:$PATH
エミュレータ起動、
$ unlock_security_module
これでmiyabiとnandロック解除可能
>>11
いや、端末エミュレータの書き込み権限があるのはSDカード以外だとこのディレクトリ（/data/data/jackpal.androidterm/
）だけだから、/data下の任意のディレクトリに書き込みは出来ない
まあ/data/data/jackpal.androidterm/以下ならどこでも良いけど
そもそも、/data下にディレクトリ作成出来ないし

14 ：

追記
/data/rootkitなどの以前に作成した任意のディレクトリが存在し、shellユーザが書き込み可能ならばこんなややこしい方法は不要
adb push unlock_security_module /data/rootkit

15 ：

取りあえずRoot Explorerから無音化してみた。
1) r/wでマウント
2) 下記ファイルを「〜.bak」にリネーム
/system/media/audio/ui/VideoRecord.ogg
/system/media/audio/ui/camera_click.ogg
/system/media/audio/ui/camera_focus.ogg
/system/media/.sharp_audio/ui/camera_focus.ogg
/system/media/.sharp_audio/ui/camera_click1.ogg
/system/media/.sharp_audio/ui/camera_click2.ogg
/system/media/.sharp_audio/ui/camera_click3.ogg
/system/media/.sharp_audio/ui/VideoRecord_end.ogg
/system/media/.sharp_audio/ui/VideoRecord_start.ogg
/system/media/.sharp_audio/ui/barcode_scan.ogg
3) r/oでマウント
4) 再起動
スクショも無音化できた。むしろカメラよりこっちが目的。

16 ：

>>13
shellユーザじゃないと使用できない穴使ってるからロック解除出来ないと思う

17 ：

>>16
実行するユーザは関係ないよ
というかこの端末エミュレータのみの環境で解除してrootアプリ使えてるから

18 ：

graphicsのGIDがついてないユーザだと/dev/graphics/fb0にアクセスした時にパーミッションエラーになって実行できないと思うんだけど・・・
実際実行できなかったし
やり方おかしいかな？
端末エミュレータで
$ export PATH=/data/local/tmp/:$PATH
$ unlock_security_module
を実行したんだけどもパーミッションエラー

19 ：

>>18と同じくエラーになる…
export PATH=/data/local/tmp/:$PATH
u0_a268@android:/ $ export PATH=/data/local/tmp/:$PATH
u0_a268@android:/ $ unlock_security_module
Mapping kernel memory...
Detected kernel physical address at 0x80208000 form config
Attempt fb_mem_exploit...
Failed to open /dev/graphics/fb0 due to Permission denied
OK.
Finding kallsyms address in memory...
Segmentation fault
139|u0_a268@android:/ $

20 ：

>>17
端末エミュレータの実行ユーザーはapp_197なので、/dev/graphics/fb0に権限がなくてfb_mem_expolitが使えない
>>17の環境はroot化していて、端末エミュレータがルート権限で実行されていたりしないかな？
ここでsuよりも先にMIYABI解除をしたいのは、root化が記録されるからだよね？
（MIYABIを解除した後なら記録されない）
これをadb接続なしでやるには、appユーザをshellまで上げる何らかのexpolitが必要じゃないかなぁ

21 ：

あー、そうか
報告してくれてありがとう
アドレス情報なしで更にperf_sweventじゃなくてfb_memの脆弱性使ってるから/dev/graphicsにアクセスしなきゃならないんだ…
俺の勘違いだった本当にすまん
カーネルダンプ取れればsupported_deviceに追加してなんとかなるかもしれない

22 ：

ルート化は俺には大変っぽいなぁ

23 ：

最新ビルドではperf_sweventは塞がれてる模様
perf_sweventのsupported_deviceに追加してもerror no such file or directoryになる

24 ：

ふと思いついたのでmiyabi.cのソースを読んでみた
root化のログをとってるのはここで、id==0(root)しか取っていないことが分かる
if((new->uid != 0 && new->euid == 0) ||
(new->gid != 0 && new->egid == 0))
{
if(!permitted_prog(bprm->filename))
{
record_rooted();
return -EPERM;
}
}
つまり、一時rootで/system/xbin/su作ってるわけだから、端末エミュレータから
su system -c /data/local/tmp/unloack_security_module
でMIYABI解除すればいいんじゃね？

25 ：

./unlock_security_module 1 を実行しても返ってくるメッセージが以下のようになって一時rootにならんのだけど・・・
どーすりゃええかなぁ？
・
・途中省略
・
Checking ccsecurity...
Checking fjsec LSM...
Checking miyabi LSM...
Checking reset_security_ops...
Found reset_security_ops. Run it.
Segmentation fault
139|shell@android:/data/local/tmp $

26 ：

>>25
オレは再起動したら治ったよ

27 ：

>>25
自分の場合再度やるときでもchmod 777 unlock_security_moduleからやらないとダメだった。

28 ：

SH02Eも203SHも両方共root取得できた

29 ：

>>26,27
再起動してchmod 777してもダメなんだがなぜー？？

30 ：

SH-02E 4.1.2 ビルド番号02.00.03でrooted出来た人いますか？
何回やっても結果が>25なんだけど。

31 ：

>>30
前スレの>>984氏作のunlock_security_module使ってる？末尾の1とか忘れてない？
自分の場合はunlock_security_module実行中に画面OFFだと失敗することがあったよ。
http://i.imgur.com/jXNTR8R.png

32 ：

>>31
> 前スレの>>984氏作のunlock_security_module使ってる？
→使ってる
末尾の1とか忘れてない？
→忘れてない
> 自分の場合はunlock_security_module実行中に画面OFFだと失敗することがあったよ。
→画面OFFしてない
何故なの orz

33 ：

解決したいなら情報小出しにしない
ログもfb_mem_expolitに成功したかどうかの重要部分捨ててるし

34 ：

なんかtypoしてるし
>>31
> 画面OFFだと失敗する
使っているexploitがフレームバッファのものだからかもね

35 ：

>>33
これなんだけど
C:\Documents and Settings\****>adb shell
shell@android:/ $ cd /data/local/tmp
cd /data/local/tmp
shell@android:/data/local/tmp $ ls -l
ls -l
-rwxrwxrwx shell shell 142504 2013-07-23 22:03 unlock_security_module
shell@android:/data/local/tmp $ ./unlock_security_module 1
./unlock_security_module 1
Mapping kernel memory...
Detected kernel physical address at 0x80208000 form config
Attempt fb_mem_exploit...
OK.
Finding kallsyms address in memory...
Checking kallsyms_in_memory working...
OK. Ready to unlock security module.
Checking mmc_protect_part...
Found mmc_protect_part.
7 functions are fixed to readable.
1 functions are fixed to writable.
Checking ccsecurity...
Checking fjsec LSM...
Checking miyabi LSM...
Found miyabi LSM.
security_ops[3] = 0xc0219a00 <miyabi_ptrace_access_check>
c0820104: <miyabi_ptrace_access_check>: fixed <cap_ptrace_access_check>
security_ops[4] = 0xc0219a08 <miyabi_ptrace_traceme>
c0820108: <miyabi_ptrace_traceme>: fixed <cap_ptrace_traceme>
security_ops[5] = 0xc02176ec <cap_capget>
security_ops[6] = 0xc0217738 <cap_capset>
security_ops[7] = 0xc02174ec <cap_capable>
security_ops[8] = 0xc021969c <cap_quotactl>
security_ops[9] = 0xc02196a4 <cap_quota_on>
security_ops[10] = 0xc0219694 <cap_syslog>

36 ：

security_ops[11] = 0xc0217598 <cap_settime>
security_ops[12] = 0xc0218334 <cap_vm_enough_memory>
security_ops[13] = 0xc021a1f4 <miyabi_bprm_set_creds>
c082012c: <miyabi_bprm_set_creds>: fixed <cap_bprm_set_creds>
security_ops[14] = 0xc02196ac <cap_bprm_check_security>
security_ops[15] = 0xc0217de8 <cap_bprm_secureexec>
security_ops[16] = 0xc02196b4 <cap_bprm_committing_creds>
security_ops[17] = 0xc02196b8 <cap_bprm_committed_creds>
security_ops[18] = 0xc02196bc <cap_sb_alloc_security>
security_ops[19] = 0xc02196c4 <cap_sb_free_security>
security_ops[20] = 0xc02196c8 <cap_sb_copy_data>
security_ops[21] = 0xc02196d0 <cap_sb_remount>
security_ops[22] = 0xc02196d8 <cap_sb_kern_mount>
security_ops[23] = 0xc02196e0 <cap_sb_show_options>
security_ops[24] = 0xc02196e8 <cap_sb_statfs>
security_ops[25] = 0xc021a01c <miyabi_sb_mount>
c082015c: <miyabi_sb_mount>: fixed <cap_sb_mount>
security_ops[26] = 0xc0219e9c <miyabi_sb_umount>
c0820160: <miyabi_sb_umount>: fixed <cap_sb_umount>
security_ops[27] = 0xc0219e2c <miyabi_sb_pivotroot>
c0820164: <miyabi_sb_pivotroot>: fixed <cap_sb_pivotroot>
security_ops[28] = 0xc0219d5c <cap_sb_set_mnt_opts>
security_ops[29] = 0xc0219708 <cap_sb_clone_mnt_opts>
security_ops[30] = 0xc021970c <cap_sb_parse_opts_str>

37 ：

security_ops[31] = 0xc02197e0 <cap_path_unlink>
security_ops[32] = 0xc02197d0 <cap_path_mkdir>
security_ops[33] = 0xc02197d8 <cap_path_rmdir>
security_ops[34] = 0xc02197c8 <cap_path_mknod>
security_ops[35] = 0xc0219800 <cap_path_truncate>
security_ops[36] = 0xc0219f08 <miyabi_path_symlink>
c0820188: <miyabi_path_symlink>: fixed <cap_path_symlink>
security_ops[37] = 0xc02197f0 <cap_path_link>
security_ops[38] = 0xc02197f8 <cap_path_rename>
security_ops[39] = 0xc0219d98 <miyabi_path_chmod>
c0820194: <miyabi_path_chmod>: fixed <cap_path_chmod>
security_ops[40] = 0xc0219810 <cap_path_chown>
security_ops[41] = 0xc0219d38 <miyabi_path_chroot>
c082019c: <miyabi_path_chroot>: fixed <cap_path_chroot>
security_ops[42] = 0xc0219714 <cap_inode_alloc_security>
security_ops[43] = 0xc021971c <cap_inode_free_security>
security_ops[44] = 0xc0219720 <cap_inode_init_security>
security_ops[45] = 0xc0219728 <cap_inode_create>
security_ops[46] = 0xc0219730 <cap_inode_link>
security_ops[47] = 0xc0219738 <cap_inode_unlink>
security_ops[48] = 0xc0219740 <cap_inode_symlink>
security_ops[49] = 0xc0219748 <cap_inode_mkdir>
security_ops[50] = 0xc0219750 <cap_inode_rmdir>

38 ：

security_ops[51] = 0xc0219758 <cap_inode_mknod>
security_ops[52] = 0xc0219760 <cap_inode_rename>
security_ops[53] = 0xc0219768 <cap_inode_readlink>
security_ops[54] = 0xc0219770 <cap_inode_follow_link>
security_ops[55] = 0xc0219778 <cap_inode_permission>
security_ops[56] = 0xc0219780 <cap_inode_setattr>
security_ops[57] = 0xc0219788 <cap_inode_getattr>
security_ops[58] = 0xc0217e74 <cap_inode_setxattr>
security_ops[59] = 0xc0219790 <cap_inode_post_setxattr>
security_ops[60] = 0xc0219794 <cap_inode_getxattr>
security_ops[61] = 0xc021979c <cap_inode_listxattr>
security_ops[62] = 0xc0217ee8 <cap_inode_removexattr>
security_ops[63] = 0xc02178b4 <cap_inode_need_killpriv>
security_ops[64] = 0xc02178f8 <cap_inode_killpriv>
security_ops[65] = 0xc02197a4 <cap_inode_getsecurity>
security_ops[66] = 0xc02197ac <cap_inode_setsecurity>
security_ops[67] = 0xc02197b4 <cap_inode_listsecurity>
security_ops[68] = 0xc02197bc <cap_inode_getsecid>
security_ops[69] = 0xc0219820 <cap_file_permission>
security_ops[70] = 0xc0219828 <cap_file_alloc_security>

39 ：

security_ops[71] = 0xc0219830 <cap_file_free_security>
security_ops[72] = 0xc0219834 <cap_file_ioctl>
security_ops[73] = 0xc0218380 <cap_file_mmap>
security_ops[74] = 0xc021983c <cap_file_mprotect>
security_ops[75] = 0xc0219844 <cap_file_lock>
security_ops[76] = 0xc021984c <cap_file_fcntl>
security_ops[77] = 0xc0219854 <cap_file_set_fowner>
security_ops[78] = 0xc021985c <cap_file_send_sigiotask>
security_ops[79] = 0xc0219864 <cap_file_receive>
security_ops[80] = 0xc021986c <cap_dentry_open>
security_ops[81] = 0xc0219874 <cap_task_create>
security_ops[82] = 0xc021987c <cap_task_free>
security_ops[83] = 0xc0219880 <cap_cred_alloc_blank>
security_ops[84] = 0xc0219888 <cap_cred_free>
security_ops[85] = 0xc021988c <cap_cred_prepare>
security_ops[86] = 0xc0219894 <cap_cred_transfer>
security_ops[87] = 0xc0219898 <cap_kernel_act_as>
security_ops[88] = 0xc02198a0 <cap_kernel_create_files_as>
security_ops[89] = 0xc02198a8 <cap_kernel_module_request>
security_ops[90] = 0xc0219a10 <miyabi_task_fix_setuid>
c0820260: <miyabi_task_fix_setuid>: fixed <cap_task_fix_setuid>

40 ：

security_ops[91] = 0xc02198b0 <cap_task_setpgid>
security_ops[92] = 0xc02198b8 <cap_task_getpgid>
security_ops[93] = 0xc02198c0 <cap_task_getsid>
security_ops[94] = 0xc02198c8 <cap_task_getsecid>
security_ops[95] = 0xc0218180 <cap_task_setnice>
security_ops[96] = 0xc021817c <cap_task_setioprio>
security_ops[97] = 0xc02198d4 <cap_task_getioprio>
security_ops[98] = 0xc02198dc <cap_task_setrlimit>
security_ops[99] = 0xc0218178 <cap_task_setscheduler>
security_ops[100] = 0xc02198e4 <cap_task_getscheduler>
security_ops[101] = 0xc02198ec <cap_task_movememory>
security_ops[102] = 0xc02198fc <cap_task_kill>
security_ops[103] = 0xc02198f4 <cap_task_wait>
security_ops[104] = 0xc0218184 <cap_task_prctl>
security_ops[105] = 0xc0219904 <cap_task_to_inode>
security_ops[106] = 0xc0219908 <cap_ipc_permission>
security_ops[107] = 0xc0219910 <cap_ipc_getsecid>
security_ops[108] = 0xc021991c <cap_msg_msg_alloc_security>
security_ops[109] = 0xc0219924 <cap_msg_msg_free_security>
security_ops[110] = 0xc0219928 <cap_msg_queue_alloc_security>
security_ops[111] = 0xc0219930 <cap_msg_queue_free_security>
security_ops[112] = 0xc0219934 <cap_msg_queue_associate>
security_ops[113] = 0xc021993c <cap_msg_queue_msgctl>
security_ops[114] = 0xc0219944 <cap_msg_queue_msgsnd>
security_ops[115] = 0xc021994c <cap_msg_queue_msgrcv>

41 ：

security_ops[116] = 0xc0219954 <cap_shm_alloc_security>
security_ops[117] = 0xc021995c <cap_shm_free_security>
security_ops[118] = 0xc0219960 <cap_shm_associate>
security_ops[119] = 0xc0219968 <cap_shm_shmctl>
security_ops[120] = 0xc0219970 <cap_shm_shmat>
security_ops[121] = 0xc0219978 <cap_sem_alloc_security>
security_ops[122] = 0xc0219980 <cap_sem_free_security>
security_ops[123] = 0xc0219984 <cap_sem_associate>
security_ops[124] = 0xc021998c <cap_sem_semctl>
security_ops[125] = 0xc0219994 <cap_sem_semop>
security_ops[126] = 0xc02174e4 <cap_netlink_send>
security_ops[127] = 0xc021999c <cap_d_instantiate>
security_ops[128] = 0xc02199a0 <cap_getprocattr>
security_ops[129] = 0xc02199a8 <cap_setprocattr>
security_ops[130] = 0xc02199b0 <cap_secid_to_secctx>
security_ops[131] = 0xc02199b8 <cap_secctx_to_secid>
security_ops[132] = 0xc02199c4 <cap_release_secctx>
security_ops[133] = 0xc02199c8 <cap_inode_notifysecctx>
security_ops[134] = 0xc02199d0 <cap_inode_setsecctx>
security_ops[135] = 0xc02199d8 <cap_inode_getsecctx>
security_ops[136] = 0xc02199e0 <cap_key_alloc>
security_ops[137] = 0xc02199e8 <cap_key_free>
security_ops[138] = 0xc02199ec <cap_key_permission>
security_ops[139] = 0xc02199f4 <cap_key_getsecurity>
security_ops[140] = 0x75636573 <(null)>
security_ops[141] = 0x79746972 <(null)>
10 functions are fixed.
Unlocked LSM.
Segmentation fault
139|shell@android:/data/local/tmp $

42 ：

連投すみません。
こんな感じで
Do setresuid...
OK.
とならずに
Segmentation fault
となります。他のところは成功された方と同じだと思うのですが・・・

43 ：

>>35
多分unlock_security_moduleのバージョンが古い

44 ：

build番号の違いとか？

45 ：

>>42
LSM解除までできてるから、問題ない
root shellが起動できないのは、
> 前スレの>>984氏作のunlock_security_module使ってる？
→使ってる
こう回答しているけど、実際には使っていないから
もう一度DLからやり直してみるといい
絶対間違ってないと思うなら、adb pull で取り出してMD5を取ってみると分かるかも
正しい方のMD5は「b37e78ed30037af5a0e9a6f1419be36f」

46 ：

>>43,44,45
いろいろありがとうございます。
>>43ご指摘のunlock_security_moduleが最新でなかったようです。
www1.axfc.net/uploader/link.pl?dr=236505202793903&file=2975046.zip
↑これつかったらrootedいけました！

47 ：

LSM解除しないことには/system/xbin/suが使えないから、今のところtemp root止まり
adb接続環境があればいいが、ない場合に再起動するとしばらくはrootアプリが使えなくなる
そうはいっても、rootアプリが使えるってだけでも全然ましなんだけどな

48 ：

>>47
twitterで永続rootの方法を探ってるよ
VpnFakerが使えれば永続root可能みたい

49 ：

オリジナルunlock_security_module製作者の神々がTwitter上で、SH-02E用のfb_memではなくmsm_acdbの脆弱性を使ったrootとLSM解除コードを製作している模様
上手くいけば端末エミュだけでroot、LSM解除ができるはず

50 ：

VpnFaker-V21.zip落としたけどどうやらうｐろだのファイルが壊れてるみたいだな
誰か正常なファイルを持ってる人いる？

51 ：

いくつかの回線で落としてみたけどやっぱり破損したファイルしか落ちてこない
落とせた人いる？
ttp://www1.axfc.net/uploader/so/2642065

52 ：

>>51
落とせたし普通に解凍もできた
Lhaplusで解凍してましたとかじゃなければ、なんだろうね

53 ：

>>52
MD5が違ってるから多分それはないと思う
7zipで解凍したんだけど・・・
サーバのキャッシュの関係かな？

54 ：

>>52
何を使って解凍した？
7zipだとどうしてもCRCエラーになる

55 ：

鯖のキャッシュの問題かね？
http://ichigo-up.com/Sn2/download/1374939833.zip
DLキー　sh
転載NGなら消すので

56 ：

鯖のキャッシュの問題なら、落とす人がみんな影響受けるよ。
ブラウザの方じゃね？

57 ：

>>55
ありがとう
そのファイル使って永続root確認した

58 ：

>>56
斧は複数鯖の構成じゃないっけ？
そのうち1台だけ生きてたのか、1台だけ死んでたのかは分からないけど
俺がやったときは普通に落とせたしMD5も問題なかった

59 ：

VpnFakerのインストールと永続rootの方法
細かいところは書いてないのと間違ってるところあるかも
ttp://pastebin.com/tDY18mvk

60 ：

あ、ちなみに導入失敗すると文鎮化するので注意
/data/local/tmp/onBootに処理を追加すると起動時にいろいろしてくれる
オレは起動時に無音化したりしてる

61 ：

ついたーのやり取りを見たけど、
1.unlock_security_moduleに細工をしてカーネルダンプ取得。
2.正確なkallsymsを得る。
3.backdoor_mmap_toolsに関数の正確なアドレスを入れる。
てな、流れだろうか？
自分はCとか判らんチンなので、@fi01_IS01氏の概要だけで
モジュールの内部情報を吐き出せる様に改良できる@sutekinekoman氏すげー、て思たよ。
(kernel_memory.cあたりに仕掛けたのかな？)
今後のうｐだたも見据えて、色んなexploitを仕込んだ、カーネルダンプtoolsを
誰か作ってくれないかなぁ(希望)

62 ：

>>61
カーネルダンプはsh02eunlockのmemsave関数をmain.cに移植しただけだよ
kallsymsはkallsyms_in_memory_print_all_to_fileを呼び出すだけのやっつけ仕事

63 ：

>>59
ビルド番号02.00.03で永続Root確認
手順は書いてあるとおり、以下のスクリプトを事前にpush/chmod 755したくらい
install_backdoor
unlock_lsm_sh02e
unlock_mmc_sh02e
ビルド番号が02.00.02では出来ないので注意

64 ：

>>59
完全root化成功したありがとう
ただ細かい所で権限を修正した↓
# chown system.system packages.xml
# chmod 660 packages.xml
# chown system.system VpnFaker.apk
# chmod 644 VpnFaker.apk
やらなくても大丈夫かもしれないが…

65 ：

>>59と>>63の合わせ技で永続root取得できました。
# stop zygoteで再起動⇒ロゴで停止して焦ったけどもともとそういうものなのか…
予めUSB接続をMTPじゃなくカードリーダーモードにしておいたけどMTPのままだと詰んだりしたのかな？
取りあえず現状での4.1 build02.00.03での永続rootの取り方は
1) >>7で一時root取得
2) 某氏のbackdoor_mmap_toolsと>>55で>>63,(>>64も？),>>59を実行
ってことでいいのかな。

66 ：

やっぱり難易度高そうですね
ワンクリぽちっで完了みたいにできたらいいけど
ルート化は玄人さん専用かな〜

67 ：

SH機はリカバリー系がなんか複雑？みたいなんだけど、CWM-Recoveryを使えるように誰か頼む！

68 ：

>>66
ビルドするわけじゃないし手順も書いてあるからものすごい簡単だぞ
ワンクリでしかできない知識だと危ないからroot化はやめておいた方が良いとは思うが…

69 ：

>>65
俺もロゴで停止して焦ったわ…
多分USBケーブル抜けてもリセットかければ戻るだろうけど
でもコピーや移動途中だとヤバいかも

70 ：

>>65,69
ロゴ停止はstop zygoteの正しい動作
stop zygoteはOSを一時停止するものだと思ってくれれば

71 ：

>>68
色々ダウンロードしないとダメですよね
適切にできるかなぁ
知らないうちにアカンことしてるかも……

72 ：

>>62
おお、当人でしたか！
ダンプとか横から拝借して、kallsymsprintしたりとかしてました。
素人ながら勝手に盛り上がってましたよｗ
ただ、自力検証するにはタコ過ぎるのでどうにも・・・
もし差し支えなければpastebinなどに、改変したmain.cを
張って頂けないでしょうか？

73 ：

>>63
まじかよやる前に教えてもらってよかった。
アプデしてくる

74 ：

>>72
デバッグコード入りまくりなのでソース公開する予定はないです
やってることはmemsaveをコピペしたりconvert_to_kernel_mapped_addressを使ってるところを参考にすればなんとかなるかと

75 ：

常駐プリインアプリを凍結したら1200MBとか空くようになったｗ
もともと常時900MBとか残っていて必要無かったんだけど空けば空くほど更に節約したくなｒ…本末転倒だな。

76 ：

>>74
そうですか、残念です。
返答ありがとうございました。

77 ：

既出の情報をまとめたらこんな感じ？
※警告※
導入失敗すると文鎮化します。
■対象機種
AQUOS PHONE ZETA SH-02E (Android4.1, Build02.00.03)
■準備
1)Android SDKを導入する。
2)Sharp共通ADBドライバーを導入しSH-02Eとadb接続が出来るようにする。
3)下記ファイルを用意する。
・unlock_security_module関連ファイル（root1スレ>>984氏作 http://www1.axfc.net/uploader/so/2975046 ）:
　unlock_security_module, su, Superuser.apk, busybox
・backdoor_mmap_tools関連ファイル（fi01氏作 http://www1.axfc.net/uploader/so/2977175 〜8/3まで）:
　install_backdoor, unlock_lsm_sh02e, unlock_mmc_sh02e
・VpnFakerV2関連ファイル（fi01氏作 http://www1.axfc.net/uploader/so/2977175 〜8/3まで）:
　busybox, VpnFakerV2.tar.gz
4)開発者オプション→「スリープモードにしない」と「USBデバック」を有効にする。
5)USB接続をMTP以外（カードリーダーモードなど）にする。
　※SHARP機はMTP接続だとAndroid起動失敗時にadb接続出来なくなり文鎮化するそうです。
■一時root取得（unlock_security_module）
1)adb pushで必要ファイルを/data/local/tmpに転送。
>adb push unlock_security_module /data/local/tmp
>adb push su /data/local/tmp
>adb push Superuser.apk /data/local/tmp
>adb push busybox /data/local/tmp
2)unlock_security_moduleの実行（一時root取得）
C:\***>adb shell
shell@android:/ $ cd /data/local/tmp
shell@android:/data/local/tmp $ chmod 777 unlock_security_module
shell@android:/data/local/tmp $ ./unlock_security_module 1
（unlock_security_moduleが動いてMIYABIとNANDロック解除）
　（色々表示されるので↓が出る間で待つ）
　Unlocked LSM.
　Do setresuid...
　OK.
　shell@android:/data/local/tmp #
　（#になれば一時root取得完了）
3)system領域にsu，Superuser.apk，busyboxを設置
shell@android:/data/local/tmp # mount -o rw,remount /system /system
shell@android:/data/local/tmp # cat /data/local/tmp/su > /system/xbin/su
shell@android:/data/local/tmp # cat /data/local/tmp/busybox > /system/xbin/busybox
shell@android:/data/local/tmp # cat /data/local/tmp/Superuser.apk > /system/app/Superuser.apk
shell@android:/data/local/tmp # chmod 644 /system/app/Superuser.apk
shell@android:/data/local/tmp # cd /system/xbin
shell@android:/system/xbin # chown root.root su
shell@android:/system/xbin # chown root.root busybox
shell@android:/system/xbin # chmod 6755 su
shell@android:/system/xbin # chmod 755 busybox
shell@android:/system/xbin # mount -o ro,remount /system /system
4)アプリ一覧にSuperSUが追加されているのを確認。
これで一時rootは完了。
不要プリインアプリの凍結までが目的ならここまでで十分。

78 ：

■永続root取得（backdoor_mmap_tools, VpnFakerV2）
1)backdoor_mmap_toolsの必要ファイルを/data/local/tmpに転送。
>adb push install_backdoor /data/local/tmp
>adb push unlock_lsm_sh02e /data/local/tmp
>adb push unlock_mmc_sh02e /data/local/tmp
>adb shell chmod 755 /data/local/tmp/install_backdoor
>adb shell chmod 755 /data/local/tmp/unlock_lsm_sh02e
>adb shell chmod 755 /data/local/tmp/unlock_mmc_sh02e
2)VpnFakerを展開して準備する。
>adb push files\busybox /data/local/tmp
>adb shell chmod 755 /data/local/tmp/busybox
>adb push files\VpnFakerV2.tar.gz /data/local/tmp
>adb shell /data/local/tmp/busybox tar zxf /data/local/tmp/VpnFakerV2.tar.gz -C /data/local/tmp
3)ロック解除の自動化の設定。
>adb shell "echo '#!/system/bin/sh' > /data/local/tmp/autoexec.sh"
>adb shell "echo '#!/system/bin/sh' > /data/local/tmp/onBoot"
>adb shell "echo '/data/local/tmp/install_backdoor' >> /data/local/tmp/onBoot"
>adb shell "echo '/data/local/tmp/unlock_lsm_sh02e' >> /data/local/tmp/onBoot"
>adb shell "echo '/data/local/tmp/unlock_mmc_sh02e' >> /data/local/tmp/onBoot"
>adb shell chmod 755 /data/local/tmp/onBoot
4)VpnFakerのインストール
>adb shell
# su
# stop zygote
　※再起動してロゴで止まるので焦らず下記を実行する。
# cd /data/system
# mv packages.xml packages.xml-
# /data/local/tmp/busybox sed -f /data/local/tmp/packages.xml.sed packages.xml- > packages.xml
# /data/local/tmp/busybox cp -p /data/local/tmp/VpnFaker.apk /data/app
# start zygote
　※ここで正常に起動する。アプリ一覧にVpnDialogがあることを確認する。
# reboot
お疲れ様でした。

79 ：

>>74
GPL

80 ：

>>79
バイナリを配布してないのでソース公開は必要ないと思う

81 ：

>>77
SDKについてるGoogleのDriveじゃダメなの？
今これでadbバックアップとかしてるけど

82 ：

一時rootなら/systemを直接イジるよりbindしたほうがよくね？

83 ：

>>82
一時といわず永続rootすればいいじゃん
一時rootで変なことしてrootとれなくなったら復旧が面倒だけど永続なら問題無いし

84 ：

build番号02.00.03で永続root取ったんですけど、この機種ってテザリング時のAPN強制変更を停止できますか？
ぐぐってもXperiaやGALAXYの情報しか出てこず、SHARPの情報すら出てきません。
spモード(アクセス制限付き)＋moperaなのでmoperaでテザリングできると助かります。

85 ：

>>84
Xiパケホーダイじゃないのか　まあ、高いしな……
SH-01D使ってた時に強制APN変更をどうにかしようとしたけど、dbやsettings.apk、xmlなどを解析してもAPN記述（dcmtrg.ne.jp）を発見出来なかった
多分コードのどこかにベタ打ちされてる

86 ：

>>84
SH-12Cの時はシャープの独自カスタムのせいで無理だったような。
>>85と同じくframework-res.apkの中探し回ったりdb書き換えたりしたけどダメだった。
802.1xの件といい無線回線まわりの制御には拘りがあるんだろうか…

87 ：

ルートとるとlineつかえない？

88 ：

root化端末でLINEなんてやったら、乗っ取られるかも知れない。
そういうふうに思いませぬか。

89 ：

Line自体は使えてる。POPとかはダメっぽいけど。

90 ：

line popとかパズドラはtemp unroot（スーパーユーザー無効化）すれば起動するはず

91 ：

ルート導入難しそうだし、デメリットあるんか？
ルート化したかったけど、とりあえず様子みるか

92 ：

>>91
大きなデメリットは、保証効かなくなるのと万が一文鎮化した場合復旧方法がないっていう2点かな
自信ないならroot取らないに越したことはない

93 ：

>>91
root化して何がしたいか？
その目的が無いならroot化する必要はないです。

94 ：

ですよね
ちなみにルート化のメリットをいくつか教えてほしいんですがいいですか？
もちろん個人によって違うと思うので色々意見があれば参考になります

95 ：

メリット？
全てのファイルへのアクセス
完全バックアップ
広告ブロック
ファイアウォール導入
無効化不能アプリの無効化
CPUなどシステムのパフォーマンス調整
他にもあるけど主要な物だとこんなもんかなあ

96 ：

>>94
root化とはOSの全権限を操作できるようになることで、WindowsでいえばAdministrator権限に相当します。
例えばCPUをオーバークロックやメモリの割り当てをはじめ、ROMを入れ替えたりすることが可能です。
カスタムROMでは、root権限が必要な領域まで動作をさせることも可能す。
具体的にはAndroid標準の3つの操作キー（戻る・ホーム・メニュー）がありますが、これに検索キーなどのボタンなど、自由に追加、配置できるようになったり、音声を入れ替えることも可能になります。
このようなカスタムROMや部品は、個人で作成している人よりも、配布されているものを利用している方のほうが多いです。

97 ：

永久root化は、失敗を考慮しまだやってないが、>15の無音化はRootExplorerで名前の変更をしたら、再起動しなくても無音になったよ。
だから、今も一時Rooted中！

98 ：

>>97
無音化は無音の音声ファイルを作って、同じファイル名で上書きしてしまえばアンルートでも無音じゃないの。

99 ：

そしてsystemファイル戻すの忘れてアップデートして文鎮化

100read 1read

1read 100read
TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▲

【悲報】NECスマホ撤退へ【MEDIAS】 (101)
docomo Xperia Z SO-02E アクセサリースレ Part12 (187)
HTC flyer (205)
【ROM焼き】au REGZA Phone IS04 by TOSHIBA root6 (526)
■6.4インチ「Xperia Z Ultra」の鮮明な画像が流出 (480)
ELUGA XとXperia ZとHTCJ butterflyって (352)
--log9.info------------------
[PSVita]Reality Fighters リアリティファイターズ (110)
【DSiウェア】ゼルダの伝説 4つの剣【リンク3人目】 (403)
スペースインベーダーエクストリーム総合 part5 (243)
【PSVita】アサシンクリードIII レディリバティ Pt6 (260)
【DS】くまたんち 16日目 (290)
【PSVITA】塊魂ノ・ビ〜タ　アメ2個目 (826)
【3DS】萌え萌え大戦争☆げんだいばーん 3D (152)
【VITA】拡散性ミリオンアーサー 招待ID専用スレ22 (434)
【PSP】ダンジョントラベラーズ2 〜第52層〜 (761)
【3DS】真・女神転生IV　Part152 (727)
【PSP】Fate/EXTRA総合　167 (518)
【DS】幻想水滸伝ティアクライス part30 (686)
【3DS】新・世界樹の迷宮 ミレニアムの少女 Part116 (1001)
【DS】真・女神転生 STRANGE JOURNEY　調査147日目 (255)
【PSP】シャイニング・アーク第11ジャスティス (161)
【3DS】妖怪ウォッチ【レベルファイブ】　5怪目 (557)
--log55.com------------------
★2ch.scは何故失敗したのか
★クロール批判要望スレ
★削ジェンヌに文句ある人集合
★迷惑行為報告担当 - 小さな親切募集中 2
★2ch.scへの要望スレ Part3
★かっこう観測所
★スレ立て人キャップ
★2ch.scニュース系板観測所