【ROM焼き】docomo AQUOS PHONE ZETA SH-06E

1 ：2013/06/02 〜 最終レス ：2013/10/22

docomo AQUOS PHONE ZETA SH-06Eのroot化についての情報交換スレです
【注意】
root化してしまうとメーカーの保証を一切受けられません。
内部の書き換えを行うと最悪の場合、文鎮になりますので自己責任でお願いします。
本スレ
docomo AQUOS PHONE ZETA SH-06E Part4
http://anago.2ch.net/test/read.cgi/smartphone/1370009884/

2 ：

乙
root取って微調整できれば神機種になりそうなんだが・・・

3 ：

>>1
乙です

4 ：

取り敢えず、何から攻めるかだな。
SHARPのAndroidセキュリティー穴潰しは、気合入っているからなぁ…orz

5 ：

sh-02eも苦戦したらしいしなー

6 ：

■AQUOS Phone ZETA sh-06eまとめwiki
http://www.ketais.info/sh06e/

7 ：

アフィ厨乙

8 ：

twitterでroot化できたってツイートしてるのあったけど違うの？

9 ：

>>5
今は行けるんだよね？
どんな方法かな…調べてみよっと。
>>8
え？
マジかい？？
誰のツィースト？？？

10 ：

>>8
マジでか！

11 ：

>>9,10
ホンマか知らんけど
ttps://twitter.com/tewilove/status/340713631752802304

12 ：

rootって敷居高いな〜
上のページ見たけどやり方がわからない(泣)
コマンドなのは分かるけど(泣)

13 ：

復旧手順が確立されるまで待つかな
人柱すぎるｗ

14 ：

>>12
これ、コマンドじゃなくて、C語のソースファイルだよ！
コンパイルしてから実行かな。
>>13
まだメーカーのアップデートすらないから、FWのバックアップはしたいよねぇ。。。

15 ：

>>14
あ〜
コンパイルしてからか〜
面倒な感じだな(笑)

16 ：

>>15
コンパイルが面倒なら、CWMはどうするつもりなんだい？

17 ：

>>16
CWMか…そいつは必要だな！

18 ：

gmtwdj

19 ：

手順確立されたのかな？

20 ：

みんなrootとる気ないん？

21 ：

とる必要ないくらい良い。

22 ：

>>21
イヤ
rootは性能上げる訳じゃないから良いとかあまり関係ないかと
バックアップの為に使うのよ

23 ：

>>22
いまはHeliumあるから、バックアップは楽に出来るよ。
前機種はrootとってtita使ってた。
これもrootとって遊びたいけどね。

2chMate 0.8.5.4/SHARP/SH-06E/4.2.2

24 ：

adaway使いたい

25 ：

ほんとに全然rootスレ盛り上がらないね・・・。
自分では何も出来ないですが、、、どこかに神様がいらっしゃいましたら、
このスレ、、、というか、私のようなroot取得を待ち望んでいる人間のために、
救いの手を差し伸べてください！
おねがいしますm(_ _)m

26 ：

これほしいけどSHはroot面倒そうだね。
S4やXPERIA Aはとれるのに惜しい

27 ：

>>26
ソース見てみたらmiyabi解除すると記録されるらしい
static void record_rooted(void)

28 ：

SH-02Eの方は最新のOS4.1(Build 02.00.03)で永久rootできたみたいだな

29 ：

>>6のgoroh_kunのtxtをビルドして入れても駄目なん？

30 ：

そもそもビルドのやり方分からないし
ビルドしたら拡張子が勝手にきまるのか、自分で決めるのかも分からない俺には無料だろうなぁ

31 ：

02が取れた記念上げ

32 ：

もうこれはgoroh_kunにお願いするしか無い・・・。
goroh_kun助けてください！！！
SH-06Eに愛の手を！m(_ _)m

33 ：

>>32
わかりました
まず、SH-06Eの検体をご提供ください

34 ：

>>11
のリンク辿ればgoroh_kunがroot奪取させてて、その解除のC言語かな？の
ソースがあるんだが。それをコンパイル出来たりする人がいれば

35 ：

>>34
あれ、goroh_kun宛にツイートしてるだけで、root奪取してるのは別な人でしょ？
しかも、MIYABI解除してもsystemリマウントでエラー出てるって言ってから解決してないみたいだし。

36 ：

build 01.00.06のkernel/drivers/video/fbmem.c見てみたけど、fb_mem_exploitの修正パッチあたってないようだけど
exploitの内容がこっちで
https://www.codeaurora.org/projects/security-advisories/integer-overflow-range-check-when-mapping-framebuffer-memory-cve-2013-2596
fbmem.cのパッチがこれ
http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=fc9bbca8f650
SH-02Eのroot化スレで提供されたunlock_security_moduleが使えたりしない？
http://anago.2ch.net/test/read.cgi/smartphone/1354149482/984

37 ：

>>36
それ実行してもmmc_protectが解除されないと思うよ。
同様に11のソースも見たけどnand unlockの記述が無いね。
それじゃあddでboot.imgも抜けないはず。
明日から週末まで帰省するからPC触れないけど、その後なら
解析に協力しても良いよ。(自分、実機無いけど)
実際には
１、最新でビルドしたusmのディスプレイ表示を報告してもらう。
２、/system/build.propと/proc/config.gz、パーティションの
ls -alテキストを上げてもらう。
３、上の情報を元に修正したusmを使い、カーネルダンプを引っこ抜く。
４、ダンプからkallsymsとmmc_protectを割出す。
まで協力できる。(後は公式usmに反映してもらってｗ)
ビルドはPCが手元にあればこっちでやるよ。
どない？

38 ：

どうやら、余計だったみたいですね ^^;
上の流れだけでもヒントとしては十分だと思います。
実機持ちが検証しなければどうにもなりませんが、現時点での
root化はunlock_security_moduleの作者方のおかげで、敷居が随分と下がっています。
やる気があれば今後のうｐデートが無い限り、直ぐにでもできるでしょう。
スレ汚し、失礼しました。<(_ _)>

39 ：

2013/08/13(火) 17:25:36
2013/08/14(水) 06:43:40
過疎板の、それも世間はお盆休みの時期に投稿しといて、13時間しか待てないってレス乞食よりひどいな
root化の敷居がさがったせいで、たいした技術もない糞がいきがり始めたのが見ててうざい

40 ：

>>37
むむ、見逃してた・・・。
盆休みも仕事で夜中しか出来ないけど、やってみたいので教えてください。
しかし・・・
１のusmのビルドって所からわからない・・・＾＾；
こんなことも解らない人間がroot取って何するの？は無しでｗ
>>39
そう？
俺はそうは思わないけど。
忙しいんでしょ。お盆休みだしね。
助けてもらえるなら助けてもらいたいよ。

41 ：

>>40
お仕事、お疲れ様です。
自分は全然忙しくないです。今朝はずっと移動でバタバタしてましたが
今はのんびりしています。
でも携帯とかネカフェぐらいしか通信手段がないんですよ。
なので、月曜以降なら解析にも参加できますが、大丈夫ですかね？
実際、大したこともできない糞ですがｗ
あ、usmって、unlock_security_moduleのことです。長いので勝手に略してました。
すまぬ。
>>39
君、自分の上司みたいなこと言うね。へこむわー
(でも、ちょっとリアクションがあって嬉しかったりｗ)

42 ：

あ、このタイミングで公式が対応してくれてた。
もう自分、用無しだわｗ
ほなﾉｼ

43 ：

02スレと違って、こっちは盛り上がってないねえ
あっちはルート化のパッチとかも出てたからチャレンジする人増えてそうだけど

44 ：

過疎ってます

45 ：

06Eゲットしたから、root化したいんだけど
06E持ってる技術者少ないんだろうね

46 ：

過疎

47 ：

root化できたみたいね

48 ：

02Eと比べるとやっぱりFHDのせいかバッテリー持ちが悪いな〜と思ってたけど
root化してTBでアンインストール・凍結したら、06Eのほうがバッテリー持ちよくなったわ
ほんと差が大きいな〜、バッテリーは

49 ：

やりかたおしえてくださいrootとりたい

50 ：

miyabiの記録が怖いわ
一応、adb で#とSystemのrwの再マウントは確認した
システムに書き込んでないからなんとも言えないが
unlock_security_moduleでroot化できそうだね

51 ：

なんか挙動がおかしい気がする…
他のかたが成功するまで待ちますわ

52 ：

お、もうroot取れるのか

53 ：

手順くわしく

54 ：

unlock_security_moduleのつかいかたよくわからない

55 ：

usmやって
mount -o rw,remount /system /system
やって/systemの書き込み試してみたけど
書き込めてるようで書き込めない
再起動したら何事もなかったかのように元に戻るんだけど

56 ：

>>55
nandロック解除出来てないと思われ
09Dと似たような状況だろう

57 ：

保守

58 ：

かそってるな

59 ：

保守

60 ：

お願い！神はここにはいないの？rootedしたい・・・

61 ：

>>60
いないよ

62 ：

保守

63 ：

rootマダー？

64 ：

保守

65 ：

rootツールきたな
sh06e rootでぐぐれ
中国のサイトでワンクリだな

66 ：

>>65
ぐぐったらみつかった
サンキュー

67 ：

できた？
sdkとかいれないとできない？
sdk入れようとしても　windowsで保護されております！とかいって開けないわ

68 ：

>>65 もう少しヒントを

69 ：

http://www.androidonlines.com/a/root/sharp/SH-06Eroot.html

83パーからできない。できた人いたなら、おしえて

70 ：

似たような中華root化ツールではちゃんとroot化できる代わりにアカウント情報丸ごと抜き取ってた
中華ツール使うのは勝手だが使う時は初期化して誰にも迷惑かからないようにしろよ

71 ：

windows8 sdk開けないんだがなぜ？

72 ：

公式でroot化してくれれば
中華ツール入れなくてもいいのに・・・

73 ：

だめだsdk認識しない

74 ：

>>69
WIN7でできた
Thanks

75 ：

CWMいれたひといるー？

76 ：

sdkどうしても認識しない。ちくしょう

77 ：

俺も83%で止まった。
su、busybox、superuserの次の項目から先に進まないで失敗になる。

78 ：

>>77
Sdkいれてないんだろ乞食

79 ：

SDK入ってる。
ただ別の方法で一時root取れたからデータの書き換えはそれで対応した

80 ：

sh06e root
と検索しても中華ツール見当たらないんだがどれだ？

81 ：

>>80
中華ツール日本語で検索しても出ねぇだろ

82 ：

>>81
なら中国語で検索か？
みんな中国語できるってすごいな・・・

83 ：

rootって中国語でなんていうの？

84 ：

過去レス読めないバカ(　´,_ゝ｀)プッ

85 ：

rootよりフォント抜き取りして下さいませ。

86 ：

>>83
毛根

87 ：

SH-02Erootスレに神がいるから、そっちに頼んでみたら？
SH-02Eはroot化patchで一発

88 ：

xposed使えるかもデカイよね

89 ：

>>87
まだ神にも完全なrootはできてなく一時的にらしい。
一時的なrootだとどんな制約があるの？

90 ：

>>89
ツールは用意されたけど誰も動作確認をする人がいない。
最近のROM焼きスレでroot取れていない所は、殆どが誰も
人柱しないから。
ツールを作る人が実機を持っていれば早いんだけどね。
興味ある人は協力されたし。

91 ：

>>90
俺が人柱になってやるよ！
ツールのURL頼む

92 ：

>>91
これの実行結果待ち。
詳しくはSH02Eのrootスレ
github.com/fi01/backdoor_mmap_tools/tree/sh06e_test

93 ：

2chMate 0.8.5.4/SHARP/SH-06E/4.2.2
長押しでこれ表示できるのか
やっとわかってきた

94 ：

やっと俺もroot化できたわ
アプリ削除して電池持ちかなりよくなったし、さらにサクサク動くようになったわw

95 ：

>>94
なんとかワンクリツールにならないですかね？
自分で手打ちしてやるのは失敗しそうで怖い((((；゜Д゜)))

96 ：

SH-02EのrootスレでSH-06Eのテストを担当をしていた>>408です。
一応、ワンクリックでroot取得するツールを作成してみましたのでお試しください。
adbは同梱してありませんので、コマンドプロンプトからadbが使える必要があります。
https://www.dropbox.com/s/90ji42abnzysmig/sh06e_root_kit_v01.rar
注意点としては、現状SH-06EはLSM、MMC_Protect_Partともに解除できる状態ですが、
emmcのブロックにライトプロテクトが施されているようで、/systemの書き換えができません。
これはSH-06Eのroot化をして頂いたfi01氏でも守備範囲外の問題のようです。
なので、/systemの書き換えが必要なプリインアプリの削除、Xposedモジュールの動作等は原則出来ないとお考えください。
ただ、方法が無いわけではないので、そこらへんはツールのReadMeの最後の方にまとめておきました。
一度目を通すことをおすすめします。
それとお決まりですが、使用は自己責任でお願いします。
一応何度か自分の端末でテストしましたが、全ての端末で動作するかはわかりませんので・・・

97 ：

すみません、大事なことを忘れてました。
このrootキットは10/7に公開されたシステムソフトウェアでは多分動作しないと思います。
試すのもおすすめしません。

98 ：

乙です
アプデしてしまったので出来ませんが

99 ：

アプデしてしまったorz

100 ：

>>96
お疲れ様です
無事rootの取得できました

101 ：

アプデ下跡で強行したらはじかれたでござる
乙でした
さっきしてしまったんだよおおお

102 ：

>>96
かみさまありがとう！！！！
アプデに対応できればいうことないけれど、難しいようですね

103 ：

>>96です。
多分10/7のバージョンではアドレスが登録されてないので弾かれてしまうんでしょうね。
バグそのものが潰されている可能性もありますが・・・
先ほどツールキットのReadMeを更新しました。
システムイメージの場所を変更する方法等を追記しましたので、念のため確認ください。

104 ：

こちらのキットでrootとれて、OTAにて最新へバージョンアップできたかたいませんでしょうか？

105 ：

>>104
>>96です。
SH-06Eでは現状/systemの書き換えができませんので、端末が立ち上がると同時にバグを突いてその都度root化している状態です。
つまり、電源を切っただけでroot化は解除されてしまいます。
新ファームではモジュールが使えないようですので、root化してからOTAでバージョンアップしてもroot化が維持されることはありません。
root化したけど、rootを諦めてアップデートしたい。でも文鎮化しないか？という質問でしたら、問題はないと思います。
でも一度端末を初期化してからのほうがいいと思います。VpnFakerも入ってますし、/data/local以下に色々なファイルが仕込んでありますので・・・

106 ：

神様！ワンクリックrootありがとうございます！
それとこの端末のroot方法を誰か一からやり方書いてくれた人いないですか？？

107 ：

>>106
>>96です。
root化を行ったのはfi01氏ですので、私は神様ではないですよ＾＾；
私は氏が作成されたモジュールをコンパイルし、ワンクリックで仕込めるようにしただけですから。
root方法というのは、キットが行っている処理手順が知りたいということでしょうか？
それでしたらsh06e_root_v01.batファイルに全て記述されているのでメモ帳等で開けば読めるかと思います。
元はSH-02Eのrootスレで私がテストを担当した時に受けた指南をほんのちょっと改変して仕込んでいますので、
元が知りたい場合はそちらを読むのもいいと思います。

108 ：

あぷでしちゃてたやんおわこん

109 ：

>>96
お疲れ様でした！
アプデした端末でもkernel.dumpが取れれば対応可能と思われます。
あと、これからアプデする人は/data/local/tmp/onBootを空にして
おけばVpnFakerは無害だと思います。
VpnFakerを消してしまうとsystem権限が無くなってしまうので、
root取得が難しくなるかも。

110 ：

>>109
>>96です。
ありがとうございますm(_ _)m
VpnFakerは権限持ってるので入ったままアプデすれば貴重な存在でしたね・・・
うーむ、奥が深いなぁ・・・
やはり、アプデのせいでroot化の恩恵が受けられなかったユーザーが多いみたいなので、私もアプデしてみました。
VpnFakerはonBootを空にして残しました。
前バージョンではUnlock_Security_Moduleでダンプ取得出来たのですが、このバージョンでは駄目なようです。
どうすればダンプ取得出来るでしょうか。

111 ：

>>110
unlock_security_moduleでダンプ出来なくなりましたか。
先ずはどうやって一時rootを取るかですね。
01.00.06のbootパーティションのダンプが欲しいです。
後は/proc/config.gzと/systemのコピー、これは01.00.06と
01.00.07の両方が欲しいです。
bootパーティションがダンプ出来ない以上、何とか01.00.07で
logパーティションがダンプ出来るようにならないとアドレスが
探せないです。

112 ：

>>111
SH-02Eスレの方拝見しました。
脆弱性が無いとなると01.00.07は厳しい感じですね・・・
とりあえず、1.00.07の/proc/config.gzと/systemのコピーを用意しました。
https://www.dropbox.com/s/cs5wc58qgh7a7aj/config.gz
https://www.dropbox.com/s/58oxvv9zvb9nlt0/system.rar
1.00.06の方は、root取れた方に協力してもらうしか無いですね。

113 ：

>>112
ダンプなどの取得ありがとうございました。
01.00.06の物が無くてもこれで十分かも知れません。
backdoor_mmap_toolsにsh06e_testを作りました。
msm_acdbの脆弱性が残っているかの確認をお願いします。
install_backdoorの実行でカーネルがクラッシュして再起動がかかれば
脆弱性が残っているので、あとはアドレスを探すのみとなります。
onBootのスクリプトに
chmod 666 /dev/msm_acdb
を書いておけばadbからでもmsm_acdbが叩ける様になります。

114 ：

>>113
テストしてみました。
無事、再起動掛かったようです。

115 ：

>>114
それは良い情報です！
カーネルの脆弱性は見つかったのでアドレスを探さなくては。
先ずはカーネルのクラッシュログのダンプが欲しいので、
後で使えそうな手順を纏めますね。
SH-04Eではsystem権限からの一時rootでログダンプが出来たので
多分SH-06Eでも行けると思います。

116 ：

01.00.07で恒久rootを取るまでの流れはこんな感じでしょうか？
1.カーネルの脆弱性を見つける。(済み)
2.ログパーティションのダンプ取得。
3.ログから脆弱性を利用する為のパラメーターを見つける。
4.ログからptmx_fopsのアドレスを見つける。
5.カーネルのメモリをダンプする。
後は今まで通りにやる感じで。

117 ：

>>107
>>106です。
それでも感謝です。
rootの手順をrootの知識がない初心者にもわかりやくす載ってるサイトが有ればと思いまして＾＾；
詳しく教えてもらえたらなと思いました。

118 ：

>>117
中途半端に手を出すのはやめておいたほうがいい
ICS以降ならrootのリスクに対してメリットは少なすぎる
本当に何かrootしないとできないことをしたいのならともかく

119 ：

>>116
なるほど。
現状はとりあえず第一段階突破という感じですね。
>>117
手順・・・ですか。
それはどこからどこまで知りたいかによりますね。
例えばモジュールの転送、パーミッション変更、実行などはそれほど難しくありません。
が、モジュールのビルドから行う手順となればNDKのインストールから始まりますし・・・
それとも、もう少し根本的なことでしょうか？
これこれこういう事が知りたいともう少し具体的でしたら多少はお力になれるのですが・・・

120 ：

>>114
ログ取得の手順を纏めました。
先程の再起動時のログが取得出来るか確認をお願いします。
gist.github.com/fi01/6935522

121 ：

backdoor_mmap_toolsのsh06e_testブランチにacdb_testコマンドを追加しました。
これを実行するとクラッシュするはずです。
カーネルのクラッシュログにはレジスタの値の前後のメモリの内容が表示されます。
そこでacdb_write_value_at_address()の引数を変化させながら、下記の値がある
アドレスを見つけます。
A) e5895000 e8bd87f0
B) e28dd024 e8bd8ff0
A)はアドレスc0294494、B)はアドレスc022706cの近辺にあると思います。

122 ：

>>118
スクリーンショットの音を消したいんだ・・・
あれほんとにうるさすぎる・・・

123 ：

>>122
次善の策だけど、「書」メモアプリ使えば無音でスクショとれるよ！

124 ：

>>120
ありがとうございます。
無事、取得できたようです。
https://www.dropbox.com/s/ynzxsz52461hmyw/log.img.gz
>>121のacdb_testも無事、再起動入りました。
カーネルのクラッシュログはどうやって閲覧すればよろしいでしょうか。

125 ：

>>124
root権限でのゴマンド実行が出来て良かったです。
しかしlogの内容が変です。
今までは巨大なテキストファイルだったのですが。
この機種からログにスクランブルがかかっているか、別の場所に
保存されている可能性があります。
クラッシュでない、通常の再起動の前後でログの内容に変化なし、
クラッシュの場合は変化あり、という状況ですとスクランブルが
かかっている可能性が高いです。
一度確認をして頂けませんか？

126 ：

明日この機種にMNPします。
wifiだけでパケット定額付けず、使用の受信専用に持つ予定ですが、
パケットのデータ送信のon off設定画面は
どんな感じですか？？
間違ってデータ送信onにしてしまうような設定画面ですか？？

127 ：

>>126
root取らなくてもデータ通信OFFで完全にパケ漏れ防げるよ
au機種だと漏れるらしいけどdocomo機種は聞いた事ないわ
それでも不安ならSPモード解約したらいいんじゃない

128 ：

>>125
確認してみました。
通常再起動の前後ではログ内容に変化なしで、acdb_testでクラッシュさせたらログに変化が出ました。
一応ファイルを貼っておきます。
https://www.dropbox.com/s/1lgv4aj2qsbae37/logs.rar

129 ：

>>117です。
>>119
ありがとうございます。
知りたいことは根本的な一番はじめの手順からですね。
たとえばパソコン側で必要なものはなにか、�@パソコンとスマホを接続し、スマホ側ではデバックモードにしておく。
そのあとワンクリックツールをクリックしたらこのような画面がでるのでこうする。
などの手順を教えてもらえると助かります。

130 ：

>>129
もう少し深いところだと思ってました＾＾；
ワンクリツールを動かすにはPCにadbが入っている必要があるので、Android SDKをインストールします。
スマホをデバッグモードにしてPCに繋ぎます。
ツールを実行すれば、後は手順が表示されるので指示に従うだけです。

131 ：

俺も正直詳しい方ではなく、エロい人の恩恵を受けるだけだけれど
ネット上探せばある程度rootに関しての情報は出てくると思うんだが
それができんかったら、root権限取得やその後にトラブルあっても困るだけだから、いろいろ勉強してからのほうがいいと思うよ

132 ：

>>128
やはりクラッシュダンプはlogパーティションの様ですね。
ここから情報が取れないとなると、どうやってアドレスを探すか、
考える必要がありますねぇ。
困りました。
参考になるかも知れないので、recoveryパーティションのダンプも
お願いできませんか？
最近はたまたまカーネルに大穴があってやりたい放題出来ましたが、
元々シャープはしっかり対策がされているのでroot取得は最も難しい
部類だったんですよね。
自分もSH-04Eで一番最初にrootを取るのには苦労しました。

133 ：

>>132
おはようございます。
recoveryパーティションのダンプです。
https://www.dropbox.com/s/lntv26nskc02frh/recovery.img.gz
そうなんですか。
SH-06Eも本気で対策し始めたんですかね・・・
私のようなユーザーとしてはもう少し自由度が欲しいもんですが＾＾；

134 ：

わたしにはみなさまの努力を応援することしかできません。

135 ：

>>133
recoveryのダンプありがとうございました。
01.00.06と比較して関数vm_iomap_memory()が追加された事が分かりました。
これを元にアドレスを求めてみます。

136 ：

>>133
backdoor_mmap_toolsのsh06e_testブランチを更新しました。
これでinstall_backdoorとkallsymsprintが使えるか試して頂けませんか？
上手く行くと良いのですが。。。

137 ：

>>136
ありがとうございます。
今出先なので、帰ったら直ぐにテストしてみます。

138 ：

>>136
テストしてみました。
install_backdoorを実行すると再起動してしまいます。

139 ：

>>138
確認して頂いた所すみませんが、ミスが見つかりました。
libmsm_acdb_exploitのacdb.c
DEVICE_SH06E_01_00_07の行の
{ 0xbc, 0xc02944f4 }, { 0xbc, 0xc000ddac }
これを
{ 0x8c, 0xc02944f4 }, { 0xac, 0xc000ddac }
に直して頂けませんか？
よろしくお願いします。

140 ：

>>139
修正してテストしてみました。
今度は無事、動作したようです。
kallsymsprintも動作しました。
www.dropbox.com/s/je24yak06cpraef/kallsymsprint.txt

141 ：

連休をつぶしてのroot権取得方法の解析お疲れ様です。
コーラとピザぐらいおごってあげたい。

142 ：

>>140
おお！動きましたか！
確認ありがとうございました！
今は出先なので、帰ったらアンロックを書きますね。
>>141
コーラもピザも大好きですよ。

143 ：

>>140
backdoor_mmap_toolsのsh06e_testブランチを更新しました。
これでunlock_lsm_miyabiとunlock_mmc_protectも対応させましたので、
動作確認をお願いします。

144 ：

>>143
テストしてみました。
無事、LSMおよびmmc_protectを解除できたようです。
こんなに早く07に対応してしまうとは・・・
追加関数からのアドレス算出等、神業をお目に掛かれて光栄でした。
今度は私の番ですね。今出先なので、帰宅したらrootkitにモジュールを反映したいと思います。
ところで今更で申し訳ないのですが、rootkitにモジュールを入れる許可を頂けますか？
一応今のところ無許可での配布のような形になっているもので・・・
>>141
私もコーラとピザは好物です。
解析者ではないけども＾＾；

145 ：

>>142
>>143
>>144
お疲れ様です
まったく関係ないですが、私もピザとコーラは大好きです(^_^)

146 ：

>>144
無事に動作して良かったです。
今回は144さんのご協力と、あと少し運が良かった事が勝因です。
ご協力ありがとうございました。
01.00.06でVpnFakerを入れてあったのでacdbが使えた訳ですが、
最初から01.00.07の場合はVpnFakerをどうやって入れるか、という課題がありますね。

147 ：

>>146
そうなんですよね。
私も今書き込もうと思っていたんですが今回のexploitは権限がないと作動しないんですよね・・・

148 ：

mmcのライトプロテクトと01.00.07で直接rootが取れないのが
気になっていた所、安かったのでつい買ってしまいましたwww
早速、初期ROMの01.00.01にも対応させました。
root取るまでアプデしない、というセオリーを守っていた人は
これでVpnFaker入れれば01.00.07でもroot維持出来ます。
人の端末では危険過ぎて試せなかったmmcのライトプロテクトを
何とかしたい。
出来ればCWMまで。。。

149 ：

>>148
おおお！
氏と同じ端末を所有する事になるとは。

150 ：

>>148
頑張ってください。応援してます！

151 ：

応援してます。

152 ：

>>148
まったく同じ（笑）
アプデしちゃったけど

153 ：

>>97
のツールキットのReadMeの最後に書いてる処理って、シェルスクリプトにして端末本体から実行しても良さげ？
もしそうなら頑張れば自動化できそうな気がする

154 ：

>>153
ワンクリの作者です。
もちろん私もそれを考えてスクリプト組んで動かしてみたのですが、ブートアニメーションで止まってしまうんですよ・・・

155 ：

ttp://bbs.blueshow.net/thread-1922978-1-1.html
これって本当に使えるの？

156 ：

>>154
うーん。何がいけないんでしょうか…。
一応端末エミュレータからrootで次のスクリプトを叩いてみるとうまく行ってる(ような)気がします。何か確認する手段があれば確かめられるのですが…
#!/system/bin/sh
stop zygote
/data/local/tmp/busybox mount -o loop -t ext4 /data/local/system.img /system
start zygote

157 ：

>>155
使えたよ
てか、02Eスレと同じものだから、アプデ未対応だが

158 ：

>>130
ありがとうございます。
Android SDKというのは前に富士通のスマホをroot化した時にインストールしたと思うのですが、
それでも認識しますか？

159 ：

>>156
Xposedが動作するかしないかで確認できると思います。
先ほどまた試してみましたが、やはりXposedは動作しませんね・・・
私はあまりLinuxシステムに詳しい方ではないので、私の方ではこれ以上の原因追求は難しいです・・・
それと、現在のrootkitですがこれまたsystem.imgのマウントに問題があり、
adb shellからマウントの状況を確認するとsystem.imgがマウントされていない状態になっています。
このため、例えばイメージ上の/systemにbusyboxをインストールしてもadbのshellからだとemmc側の/systemが表示されてしまいます。
一応shellから>>156のスクリプトを実行すればshellからもイメージの/systemが見えるのですが、これも原因が不明です・・・
あと、Heliumがrootを認識しない場合があるようです。
これは多分修正できたので、今晩辺り01と07対応バイナリに差し替え、とadb同梱化してアップします。
07対応についてはVpnFakerがインストール出来ないので、06もしくは01でVpnFakerが入っている方のみです。

160 ：

>>159
自分も昨日onBootからのrun_autoexecで/system/binをmount -o bindで
差し替えようとしたのですが、マウントされませんでした。
勿論adb shellからやればマウント出来ます。
不思議です。
他の端末でも同じ事をやっているので、この端末特有の問題っぽいです。

161 ：

>>160
私も一応ちょっぴりLinux系を使っているのでmount系はよくやるのですが、こんな症状は初めてなので焦りました・・・
ところで、07対応のrootkitについてですが、07については使っている脆弱性が違うので前処理が必要でした。
処理を追加するので今晩のリリースは厳しそうです・・・
申し訳ない・・・
01には対応しました。01で頑張っていた方、どうぞ。
https://www.dropbox.com/s/ob07thjhttcdwgq/sh06e_root_kit_v021.rar

162 ：

わしのはビルトナンバー01.00.01というものなのだが、これはこのツールでできるのであろうか？

163 ：

できるよー！

164 ：

usbケーブルでこれとつないで実行すればよいだけ？

165 ：

root取得後にスクリーンショットの無音など弄ろうと思ってます。
今後のアップデートをしようとした際にsystem領域弄るとアップデートできないと思いますが、非rootに戻すこと可能でしょうか？

166 ：

USBと繋いだら実行したらroot取れると思うけど
以前F05Dで実行したらwifiオフにしてなかったから無限ループに陥って大変なことになってしまったｗ

167 ：

01.00.07対応モジュールを組み込んだワンクリックrootkitが完成しました。
01.00.01もしくは01.00.06でVpnFakerをインストールし、その状態で01.00.07にアップデートしたユーザーが対象です。
https://www.dropbox.com/s/e5598ilxjr10p16/sh06e_root_kit_v022.rar

168 ：

>>167
お疲れ様です
01.00.06からonbootを空にしてアプデ後、rootの取得できました

169 ：

>>167
お疲れ様でした。
>>168
backdoor_mmap_toolsが01.00.07に対応済みの物になっていればonBootを
空にしなくてもそのままでroot維持出来ているはずです。

170 ：

>>167
お疲れ様です。
質問なんですが、Xposedを使いたい場合は
コマンドプロントの画面で"adb shell"と入力してエンターキーを押して
"stop zygote"を入力してエンターキーを押して、
"/data/local/tmp/busybox mount -o loop -t ext4 /data/local/system.img /system"
と入力してエンターキー、"start zygote"と入力してエンターで宜しいでしょうか？

171 ：

>>167
神様最高です!!!!
ありがとうございます!!!!

172 ：

>>168
上手く行ったようで何よりです。
報告ありがとうございました。
>>169
ありがとうございます。
>>170
stop zygoteを実行するにはroot権限が必要です。
SH-06Eには機種特有の問題があり、shellからではイメージファイル内のsuが認識されません。
なので、/data/local/tmp/run_root_shellを実行しroot権限を取ってからstop zygote以下のコマンドを実行して下さい。
ちなみに、この作業を行えばshellからもsuが使えるようになります。
それとReadMe内でも書いていますが、/sysytem以下をまるごとイメージファイルに差し替えて起動しますので、ファイルの整合性等の問題が出る可能性があります。
そこら辺は注意して実行して下さい。

173 ：

>>172
170です。回答ありがとうございます。

174 ：

>>167はカードリーダーモードでやるんですよね？

175 ：

>>174
処理は全てadbで行うので、デバッグモードさえ使えればモードはなんでもOKです。

176 ：

>>175
解答ありがとうございます
しかし、なぜか以下のようにエラーが出てしまい「crw-rw-rw----」で権原取得できませんでした
デバックモードでUSBの接続はされていて、転送まではできているようなのですが・・・

VpnFakerを起動します。
続行するには何かキーを押してください . . .
Starting: Intent { cmp=com.android.vpndialogs/.AutoexecRun }
Error type 3
Error: Activity class {com.android.vpndialogs/com.android.vpndialogs.AutoexecRun
} does not exist.
7秒ほどお待ちください。

177 ：

>>176
VpnFakerはインストールされていますか？

178 ：

>>177
すみません、マニュアルでインストールはしてませんでした
apkファイルをダウンロードしてインストールすればいいのでしょうか？
初心者で申し訳ございません

179 ：

>>177
batファイルを実行すると以下のようになってます
転送されていないのでしょうか・・・
07用の前処理をします。
VpnFakerでmsm_acdbの権限を取得するファイルを転送します。
続行するには何かキーを押してください . . .
4241 KB/s (1867568 bytes in 0.430s)
12 KB/s (65 bytes in 0.005s)
続行するには何かキーを押してください . . .

180 ：

すみません。
01.00.01もしくは01.00.06でVpnFakerをインストールし、その状態で01.00.07にアップデートしたユーザーが対象です
これを見過ごしていました（泣）
VpnFakerのインストールしてなかったまま、01.00.07にアップデートしてしまった場合は無理だったんですね
スレ汚してすみませんでした

181 ：

神様……
今日夜中に勝手に自動更新されてしまい01.00.06から
01.00.07になってしまいました…
01.00.07はもう絶対root化できないでしょうか…

182 ：

01.00.05の場合はどうしたらいいんでしょう

183 ：

>>181
01.00.06の時にroot化してVpnFakerを入れてました？
それでしたらキットで取得し直せますが、VpnFakerが入っていないようでしたら現状は無理ですね。
ただ、モジュールを開発しているfi01氏がこの端末を解析しているようですので
もしかしたら近いうちにまた取得できるようになるかもしれません。
なので自動アップデートをオフにして待機するのがいいかと思います。
>>182
そのバージョンではUnlock_Security_Moduleでkernelのダンプが取れると思うのでまずはそれをアップするといいと思います。

184 ：

>>183
まだroot化してない状態です・・・
ワンクリックrootツールを開発してくれた方のソフトを近いうちに使おうと思っていたのに思わぬ落とし穴でした。
そうですね・・・
神さまが頑張っておられるので待ってみます。

185 ：

>>183
アップしてみました
www1.axfc.net/u/3061043

186 ：

"Unlock_Security_Moduleでkernelのダンプが取れると思うのでまずはそれをアップする"
この部分が分からないのですが、どのようなコマンド？orツールで行えばよいのでしょうか。
可能でしたら、ご教授お願いします。ビルド01.00.05です。

187 ：

>>186
やめとけ

188 ：

わしの01.00.01なんだけど、途中でエラーがでるのですが…
/systemのイメージを/data/local/に作成します。
この処理には3分ほど掛かります。気長にお待ちください。
続行するには何かキーを押してください...
Couldn't find prepare_kernel_cred address
SH-06E (01.00.01) is not supported.
Failed to get preapare_kernel_cred and comit_creds addresses.
続行するには何かキーを押してください...

189 ：

ビルドバージョン５だったらどうなるんですか

190 ：

ソフトキーをオンにするほうほうつてないすかねー？い

191 ：

>>188
使っているキットのバージョンが古いような気がします。
最新版では
以前作成したイメージが有る場合は削除されます。
作成が不要な方は1を、続行する場合は0を入力してください。
というメッセージが出るはずです。

192 ：

>191
@echo off
echo SH-06E rootキット Ver.0.2.1
というbatのを>>161からダウンロードして使ったのですが…

193 ：

>>192
最新は>>167のv022だけど
v022でも同じエラーです
01.00.01はサポート外でsystemイメージ
作成でこけます

194 ：

>>192
>>193
それは困りました・・・
取りあえず01はVpnFakerのインストールのみを行うように処理を変更しますね。
ご迷惑をおかけして申し訳ない・・・

195 ：

>>185
お疲れ様です。
01.00.05のアドレスを登録しておきました。
>>113 辺りを参考に動作確認をお願いします。
msm_acdbの動作確認を行う前にonBootにinstall_backdoorを
登録して自動実行させた場合、再起動ループになる事が
ありますので、ご注意ください。

196 ：

>>192
>>193
すいません、VpnFakerをインストールするモジュールが古いままでしたorz
今夜から明日にかけて修正掛けておきます。

197 ：

>>196
すんません、VpnFakerをインストールするモジュール”とシステムイメージを作成するモジュール”が、ですorz

198 ：

改めて01.00.01に対応したモジュールを組み込んだrootkitです。
01.00.01でroot化できた方は報告頂けると助かります。
https://www.dropbox.com/s/xid8mbzjra0kwkv/sh06e_root_kit_v023.rar

199 ：

さっき物が届いてビルドみたら05だったんですが
05はカーネルダンプファイルのみをうｐなんですか？
185がもう落とせかったんで、分からないのですが

200 ：

>>199
185は関係ないファイルだったから気にしなくておｋ
07でも神がなんとかしてくれそうだから
気長に待ちましょう

201 ：

パソコンがウイルス感染してたのでロダから消しました
もし落とされた方がいたら念のため削除して下さい
申し訳ないです…ということでROM専に戻ります

202 ：

>>200
なるほど。でも07だと結構時間掛かりそうな予感が
これからちと保護フィルムとか買いに行くんで、帰ってきたら05のダンプうｐしたいと思います

203 ：

>>202
ダンプは既に>>185で上げられているので改めて上げる必要はないですよ。
>>185を元に>>195でfi01氏が対応させていますが、テスト結果待ちの状態です。
私もfi01氏も01.00.05の端末は持っていないので、01.00.05を持っている方がテストをして頂く必要があります。
動作の確認が取れればrootkitにも反映させたいと思います。

204 ：

backdoorをビルド環境がないので、どなたかビルドしてもらえませんか？

205 ：

>>204
一応>>198のrootkitに入っているモジュールはfi01が01.00.05に対応させた後にビルドしたので、動作確認には使えると思います。
ただし、バッチファイルは対応させてないので、root化は行わないでくださいね。

206 ：

>>205
すんません、fi01"氏"が抜けてましたorz

207 ：

帰宅して
backdoorをtmpに入れて実行しましたが、普通にインストール完了して終わってしまいました
onbootもtmpに入れておかないとダメでしたでしょうか？

208 ：

>>207
すみません、ログを貼って頂かないとどういう状況なのか判断が出来ません・・・
onBootはVpnFakerが読み込むものなので関係ありませんよ。

209 ：

>>207
もう一度やった結果
shell@android:/data/local/tmp $ ./install_backdoor
./install_backdoor
Attempt acdb exploit...
failed to open /dev/msm_acdb due to Permission denied.
Attempt fb_mem exploit...
install_mmap: success
Segmentation fault

210 ：

>>209
ログありがとうございます。
install_baxkdoorは成功しているようですね。
その状態でunlock_lsm_miyabiを実行し
その後run_root_shellを実行して
シェルが$から#になるか確認して頂けないでしょうか。

211 ：

>>210
#で一時ルート取得しました
一応ログを張っておきます
shell@android:/data/local/tmp $ ./unlock_lsm_miyabi
./unlock_lsm_miyabi
12 functions are fixed.
shell@android:/data/local/tmp $ ./run_root_shell
./run_root_shell
shell@android:/data/local/tmp #

212 ：

>>211
ありがとうございます。
一時rootの状態でinstall_backdoor -u
を実行し、
もう一度install_backdoorを実行したときのログを頂けませんか？
これで>>209のパーミッションエラーが出なければVpnFakerが動作します。

213 ：

>>212
エラーは出ませんでした。ログです
shell@android:/data/local/tmp # ./install_backdoor -u
./install_backdoor -u
shell@android:/data/local/tmp # ./install_backdoor
./install_backdoor
Attempt acdb exploit...
install_mmap: success
shell@android:/data/local/tmp #

214 ：

>>213
どうやら大丈夫そうですね。
動作確認が出来たので、rootkitに組み込みたいと思います。
ただ、今晩から明日は午後4時付近まで忙しいのでrootkitの更新は遅くなると思います。
申し訳ない・・・

215 ：

>>214
いえいえ。楽しみに待っております

216 ：

>>213
>>214
お疲れ様でした。
動作確認ありがとうございました。

217 ：

01.00.05に対応しました。
https://www.dropbox.com/s/tke5d6kgx4ydoos/sh06e_root_kit_v024.rar
01.00.01の時もそうですが、01.00.05の端末が手元にあるわけではないのでバッチファイルの動作は未確認です。
これに限った話ではありませんが、問題が起きて端末を初期化しても大丈夫なようにバックアップをしっかり取った上で実行して下さい。
よろしくお願いします。

218 ：

>>217
05でルート化成功しました

219 ：

皆様お疲れ様です
自分の環境（01.00.05）でも>>217で成功しました

220 ：

>>217
乙です
07対応まで待ち続けます

221 ：

root化凄すぎです。できるものですね。
あとはtethering APN固定できるといいけど・・・難しいんですよね・・・。

222 ：

乙です

223 ：

adaway使いたくて、stop zygote打ってやってみたんですが
その後、再起動になり、雲の画面で止まったままで
/data/local/tmp/busybox mount -o loop(以下略)を打ったんですが
mount: can't read '/etc/fstab': No such file or directoryと出てしまいました
これでも平気だったのでしょうか？広告は消えてないので失敗だと思いますが

224 ：

Xposeも以下の文章でダメでした
mount: mounting /dev/loop2 on /system failed: No such device

225 ：

恥ずかしながら自己解決致しました

226 ：

（01.00.01）でも>>217で成功しました
自分の勘違いでイメージは作成しないでも
いいのかと思って少しハマッてしまいましたが
root化成功しました。

227 ：

あとは最新版のみか

228 ：

root化したくてアップデートせず、ずっと我慢していたのですが、自分のバージョンは01.00.04・・・
ReadMe.txtを拝見する限り、無理なんですよね？orz

229 ：

>>228
バグが塞がれたのが01.00.07からなのでアドレスさえわかればroot取れます。
とりあえずUnlock_Security_Module等を使ってKernelのダンプを取ってアップするといいと思います。

230 ：

https://gist.github.com/fi01/7055457
ライトプロテクト解除できたの？もしかして

231 ：

>>230
解除出来たけど、元に戻せないからアプデ適応できない可能性大らしいです。

232 ：

>>231
んなんかー
リスクあるけど解除してみたいー（笑）

233 ：

あんまり詳しくないんですけど、これshellで実行すればいーんですか？

234 ：

なんという悲劇！
01.00.05だったのに、一週間前にツールが対応しないと見て07にアップデートしました。。。
後悔するわ。

235 ：2013/10/22

>>233
あんまり詳しくないならやらない方がいいと思いますよ