【ROM焼き】SoftBank PANTONE5 107SH root01

SoftBank PANTONE5 107SH のroot化、ROM焼きに関する話題について語りましょう。

※現在root化情報なし。

【関連スレ】
〓SoftBank PANTONE　5 107SH　2μSv/h
http://anago.2ch.net/test/read.cgi/smartphone/1347175918/l50

現状

106SHの手順…
>(7)system権限のプログラムを実行
までは何事もなく成功するけど
>(8)設定アプリを起動し、ストレージの設定、SDカードのマウント解除を選択(sh-01dと同じ)
>　ダイアログ出てすぐ強制終了がかかる。(jniライブラリが本物でないので)
で、何も起こらず

F-10Dの手順…
>(8) WifiをOnしたりOffしたりする
>$echo /data/local.org/tmp/mkdevsh > /sys/kernel/uevent_helper
を実行すると
/system/bin/sh: cannot create /sys/kernel/uevent_helper: Permission denied
となってしまう

神降臨待ち。

過疎ってるね
期待age

$ ls -l -d /data
drwxrwxrwx system system 2012-11-16 17:04 data

であるのであれば、
http://anago.2ch.net/test/read.cgi/smartphone/1350945661/101-
このあたり確認してみてください。

/sys/kernel/uevent_helperのパーミッションを書き込み可能にしないといけないので。

>>4
レスありがとうございます。
本日夜勤なので、帰ったら確認してみます！

保守

cannot create /sys/kernel/uevent_helper: Permission denied
が打破できない・・・

dumpのしかたがわからん

神は居ないのか？

いないみたいね。

PANTONE5 107SH関連じゃないが、
楽しくandroidアプリを作れる本を買ってきた。だれかこれ関連の本で
android の自作・改造に挑戦にroot化について書いてあった。

だれかroot化の知識が載ってる本御教エロください。
自分も
cannot create /sys/kernel/uevent_helper: Permission denied
から
Root_with_Restore_by_Bin4ry_v18とか試してるけど
設定していないせいか。ＢＡＴ処理とＳＨＥＬＬ処理で何をしてるか
ようやくこの本で判ってきました(笑)がしかし自分で設定弄っても
うまくいかないよー(泣)

神〜いませんかー？<(_ _)>

スレ主様お邪魔しております。$から#まで行けました！
/sbin/_su　実行したら
rootで実行できるってことは後は
LSM解除・・・？107SH用御unlock ファイル探してます。

kernel ってdev の中のどれに当たるのでしょうか･･･　
神という超能力をお持ちの方はいらっしゃいませんか？！

shell@android:/dev # ls
ls
adsp
alarm
ami_flip
ami_sensor
android_adb
apr_apps2
ashmem
binder
block
bthid
bus
console
cpu_dma_latency
cpuctl
device-mapper
diag
euryale
fdtp
felica
felica_cen
felica_int
felica_pon
felica_rfs
felica_rws
full
fuse
gemini0
genlock
graphics
headset_diag
i2c-0
i2c-1
i2c-2
i2c-3
i2c-4

i2c-7
input
int_poll
kgsl-2d0
kgsl-3d0
kmsg
log
msc_control
msc_transport
msm_a2dp_in
msm_aac
msm_aac_in
msm_acdb
msm_adc
msm_adpcm
msm_amrnb
msm_amrnb_in
msm_amrwb
msm_audio_dev_ctrl
msm_camera
msm_evrc
msm_evrc_in
msm_fm
msm_mp3
msm_mp3_lp
msm_mvs
msm_pcm_dec
msm_pcm_in
msm_pcm_lp_dec
msm_pcm_out
msm_qcelp
msm_qcelp_in
msm_rotator
msm_vidc_dec
msm_vidc_dec_sec
msm_vidc_enc
msm_vidc_reg
msm_wma
msm_wmapro
msmdma
mtp_usb
mwdlfont
mwdlfont0
mwdlfont1
mwdlfont2
mwdlfont3
mwdlfont4
network_latency
network_throughput
nmea
null
oncrpc
perflock
pmem
pmem_adsp
pmem_audio

>>12
一時root取れてるのであれば、
sh02eと同様にdiagwritevalueが使えますよ

https://docs.google.com/file/d/0B8LDObFOpzZqWXFkaEpZb3VoM0k/edit

あとは、

# ls -l /dev/block/platform/*/*/
してもらって、logがどのパーティションか確認

# dd if=/dev/block/mmcblk0p14 of=/sdcard/mmcblk0p14.bin bs=512
見たいにして、該当logパーティションを保存

をすればよいです。

ぬあっ！返信ありがとうございますm(_　_)m神が来た…
早速いたします、結果などまたこのスレに書き込みたいと思います！
ありがとうございます！

ログ　は/dev/block/mmcblk0
でしょうか・・・？全然わかってないので勉強しながらで申し訳ないです。
pastebin.com/q81Tihp2に結果報告致しました。

ご査収よろしくお願いしますm(_ _)m

パーティション名がp1,p2..何ですね。
これだとわからないので、実際にダンプしてみるしかないですね。

adb shell cat /proc/partitionsの結果で、
サイズが3MBぐらいのやつが可能性高いです。

神−？居られますか？karnelのダンプ？解析お願いできますでしょうか？
あ”あ”−・・・やってしまいました・・只今dump全部上げてますが80MBほどです･･･
3MBくらいの集中で上げた方が良いでしょうか？
度々のご助言感謝致しております、今後ともよろしくお願い致します。

>>19
私のほうで今中身見るのは無理なので、
バイナリエディタで確認してください。
頭にANDROID!と入っていれば、カーネルのイメージ
中身に<6>とかkernelのメッセージが入っていればlogパーティションです。
あと、神ー？とか呼ぶのもやめてください。馬鹿にされてる気がしますんで

goroh_kun様　すみません。<(_ _)>今後ないように致します。
只今よりバイナリで確認致します、深く感謝致しております。
今手元にあるモノや先人の知恵を拝借致しながら猛追勉強致しますので
平にご容赦下さい。

>>21
adb shell mount
コマンドの結果を見れば、マウントされているパーティション一覧が出ます。
そこで使われているパーティションはkernelイメージでもlogでもないので
除外でよいかと。

ログ発見しました。ホッ・・・18みたいです。
/home/sharp/Android/SBM107SH/SBM107SH_S0016/MSM8x55_IceCreamSandwich/LINUX/android/kernel/drivers/rtc/hctosys.c: unable to open rtc device (rtc0)
のような行が見られます。

ログ発見しました。ホッ・・・18みたいです。
/home/sharp/Android/SBM107SH/SBM107SH_S0016/MSM8x55_IceCreamSandwich/LINUX/android/kernel/drivers/rtc/hctosys.c: unable to open rtc device (rtc0)
のような行が見られます。

sh02eのスレを参考にカーネルのスタックダンプ部分を
pastebinなりしてくださいませ。
root権限取得後、diagwritevalueを実行すると再起動かかりますよね、

その後logパーティションをダンプして中身を見れば
下記のような部分が存在するはずです。

http://pastebin.com/3XBh2bGz

んー勘違いですね、私の＆2重書き込みスミマセンです。

なるほど･･･MIYABI?解除まではまだまだ先は遠いでしょうか、
というか、こんな遅くまでご助力下さいましてありがとうございます。
ｓｈ02eを参考にカーネルのスタックダンプをpastebinに挑戦致します、
まずはdiagwritevalue を実行して見ることから初めて見ます。

本日中は　カーネルのスタックダンプ部までたどり着けるだろうか･･･
diagwritevalue　のアドレスを求められていますが・・・
うーん・・・xfs.jp/XmRMb
混乱してきました(汗）
./diagwritevalue
./diagwritevalue address value

>>27
既に脆弱性ははっきりしているわけですから、
別に遠くはないですが、面倒くさいって感じですよね。
解析作業に慣れるかどうか次第ですね。
まずはdiagwritevalueを実行してlogパーティションから
スタックダンプを見つけてみてください。

>>28

とりあえず、
./diagwritevalue 0 0
でＯＫです

再起動して
_su・・・・ほっ　一瞬　_su入れないかと思ったら、/data/local/tmpで入らないと
行けないのですよね・・（汗
再度log からスタックダンプを見つけてみます。
ありがとうございます

pastebin.com/QuNTAdsc
がスタックダンプで合ってますでしょうか･･･？
らしきものですよね？

>>32

GJです

今後は第3パラメータに
0xc0a54c18
を入れてください。

./diagwritevalue address value 0xc0a54c18

こんな感じ。
あとは、何かしらaddressとvalueが必要なのですが、
それにはrecoveryイメージ側のkernelイメージをダンプして
推測できるものが必要ですね。

パーティションのダンプ内にANDROID!から始まるイメージはありましたか？

ANDROID!ですね。検索してみます！！しばしご歓談下さい。

ちなみに。先ほどのカーネルスタックダンプのうち、
有益な情報はこのあたり。
diagドライバが利用しているデータがこちらからわかります。

00000002という値が、経験上delayed_rsp_idだということが分かっています。

c084b15d 000001a4 c0442d2c c0443004
見たいな固まりかいくつか連続していますが、
これは/sysディレクトリ配下に作成されるあるファイルの名前、パーミッション、読み出し時関数、書き込み時関数と
なっています。これがどのファイルの読み出し（書き込み）関数なのかを特定する必要があります。


<4>[ 8039.425079] R1: 0xc0a54b84:
<4>[ 8039.425079] 4b84 c084b15d 000001a4 c0442d2c c0443004 c08512ab 000001a4 c0442d00 c0442fb8
<4>[ 8039.425109] 4ba4 c08512b1 000001a4 c0442ca4 c0442f20 c08512b9 000001a4 c0442c78 c0442ee0
<4>[ 8039.425109] 4bc4 c08512c2 000001a4 c04428e0 c04425f8 c08512d5 000001a4 c04428c4 c0442594
<4>[ 8039.425140] 4be4 c08512c6 000001a4 c0442c48 c0442be8 c08512e4 000001a4 c04428a8 c0442530
<4>[ 8039.425140] 4c04 00000258 00001000 0000000a 0000000f 000002ee 00000002 c08773db 00000124
<4>[ 8039.425140] 4c24 c01bdb24 00000000 00000000 00000000 00000000 c08515ec c0864096 c045bacc
<4>[ 8039.425170] 4c44 00000000 00000000 00000000 00000000 c07f769b c0a4efd8 00000000 00000000
<4>[ 8039.425170] 4c64 00000000 00000000 c03d3f1c 00000000 00000000 00000000 00000000 00000000

pastebin.com/whSGMCHU
ANDROID!の後に
console=ttyDCC0 androidboot.hardware=qcom
らの文字列が見受けられます。

sh02eレス拝見致しております、先にリカバーイメージをお送りすれば
お手数かけずにすみましたか？もしかして？向こうでは最初に引数1,2と出てますね･･･

パーティションダンプの先頭にANDROID!が入っている
ものがrecoveryイメージだと思いますので、そちらをuploadなり
メールで送るなりしてください。
それがないと、上記ダンプのファイルをを特定する作業が面倒なので。

書き込みができなくなっておりました。
HreR7で上記はリバカリと思われます。
何卒ご査収よろしくおねがい致します。

ＸＦＳ．ＪＰの短縮アドレスを使うなと2chに怒られていました
気づきませんでした･･･(汗）
上記の短縮ＵＲＬと併せてお使い下さい。HreR7

goroh_kun様、お疲れ様です。
解析のほうwktkしながらお待ちしております。
ですが、明日もあるため残念ですが本日はここで失礼致します、
！では！また構って下さい！ありがとうございました！では！

確認しました。

c04428a8 cd_iInterface_show
c0442530 cd_iInterface_store

ですね。
なので、

./diagwritevalue 0xc0a54bfc xxxxxxx 0xc0a54c18

で、その後cd_iInterfaceというファイルがsysディレクトリ以下にあるはずなので

cat /sys/devices/virtual/android_usb/android0/*/cd_iInterface

こんな感じでやるとリセットがかかるはず。

解析ありがとうございます。早速xxxxxxにいろいろな値？を入れてみようと思うのですが
やはり向こうのスレを眺めても何をやっているか判らない＾＾；

他に賢人や仲間がいればいいのに･･･・なんて他人便りはだめですよね
まずは、linuxのshについて再勉強しなければ....しばし時間がかかるかも･･･

がんばるぞー

shell@android:/data/local/tmp # ./diagwritevalue 0xc0a54bfc xxxxxxx 0xc0a54c18
4bfc xxxxxxx 0xc0a54c18 <
write_value(0xc0a54bfc, 0x0)
loop = fffe
loop = fffe
shell@android:/data/local/tmp # cat /sys/devices/virtual/android_usb/android0/*/
cd_iInterface
l/android_usb/android0/*/cd_iInterface <

再起動しました。
cat で出力する？何を？　どこに？ >aa.txtとか　するのかな？
再起動に意味があるのでしょうか?うーん・・・再起動や画面が崩れるたびに
わくわくすると言うか人柱として頑張りどころだと実感します(笑)

127|shell@android:/data/local/tmp # ./busybox od -t x1 /sys/module/diagchar/version
ys/module/diagchar/version <
0000000 31 2e 30 0a
0000004
shell@android:/data/local/tmp #

謎の文字列･･･

もしや次にやるのはスタックダンプの確認かな？
やっておいて損はないのかな・・・？
hZSDE

$から#までのやり方をご教示いただけませんでしょうか？
解析のお手伝いしたいです。

すみません、いろいろやってるうちにできました。
たぶん最近のgoroh_kun様の　ファイル弄ってたら_suが起動するようになりました。

順を追って説明できたらいいのですが、お時間ございますでしょうか?

今の状態を初期化する勇気がないので、tmp?ファイルを置いておきますが
それでいろいろ試すとできるかもです･･･あと、いくつかapkもおいておきます。

方法としてはたぶんですがsh02eの方の板か
vpnFaker?の紹介あたりをしてるぺーじが役に立つと思います。

なぜかau向けの_suを使っている辺り自分でとにかく弄り倒してたら
なったとしかいいようがないのです･･･すみません。
Yo4zF
に自分のtempファイル置いておきますね。
後wifiの関係は関係ないみたいです、きっと。あと
機内モードにするのはやっておいた方がいいかも･･･

順をたてるとまずは /data/tmp/local/を　権限乗っ取りからかな・・？

あ、申し遅れました！
是非解析のお手伝いをしていただきたいです！AE7/edWさん！
今後とも宜しくお願いします。

実感としてはBreakuidDを実行した辺りから_suが実行できるようになった気がします
それまでは何度となく、wifiやzergRushの辺り弄ってたのですが、さっぱりでした。

ただし、BreakuidDを実行したら　画面が一瞬バグって再起動起こしますので
この辺危ない？人柱的心がないとびっくりするかもです。

あと端末からは_suは穫れませんでした。
miyabiを解除してないからかもしれませんね。

最終的に解析終わったら何をしたいですか？AE7/edWさんは？

JQYTi6sbさん、レスありがとうです。
107SHのroot化を諦めて、12月くらいから調べていなかったのでBreakuidDとか全然わからないですねｗ
sh02eのスレに行けばやり方とかわかるんですかね？

>最終的に解析終わったら何をしたいですか？AE7/edWさんは？
自分は貧乏性なので、LuckyPatcherで有料アプリを無料で使いたいです。。。

ちょっとsh02eのスレで勉強してきますね!!

はーい、いってらしゃ〜い。
今日はgoroh_kun様いらっしゃらないのかな･･･
昨日は遅くまでいらしてみたいだし。。

>>44

以下お願いします

# ./diagwritevalue 0xc0a54c3c 0xc0a54b84 0xc0a54c18
# ./busybox od -t x1 /sys/module/diagchar/version

結果どうなりますか？

上のコマンドで/sys/module/diagchar/version の出力が変化してれば、
スタックダンプの確認ではなく、こちらでコマンドおこすので
それ使ってカーネルのダンプを取得してもらうことになります。

>>54
了解しました！只今

shell@android:/data/local/tmp # ./diagwritevalue 0xc0a54c3c 0xc0a54b84 0xc0a54c1
8
4c3c 0xc0a54b84 0xc0a54c18 <
write_value(0xc0a54c3c, 0xc0a54b84)
loop = 4b82
loop = c0a3
shell@android:/data/local/tmp #

shell@android:/data/local/tmp # ./busybox od -t x1 /sys/module/diagchar/version

s/module/diagchar/version <
0000000 5d b1 84 c0 a4 01 0a
0000007
shell@android:/data/local/tmp #

結果お待ちしております

変わりましたね・・・文字列に起こすと何でしょう･･･asciiでしょうか?
0000000 31 2e 30 0a
0000004

0000000 5d b1 84 c0 a4 01 0a
0000007
>
>1.0から　」......？

cat /sys/module/diagchar/version
]ｱ・､
wktk

>>56

sh02eのほうも同様にいい感じの結果になりました。
sh02eスレの193番を参照ください。
これからツールおこしますね。

そろそろ今日もお暇しなければいけない時間に･･･
goroh_kun様のソースを見られたので満足っです。
SH-02E板は今日も盛況ですね。明日はこの板にも活気が出ればいいな。
ではでは

ぬおっ、書き込んだ数秒差でしたか。気長にwktkお待ちしております。
本日はsh02e板盛況でしたねgoroh_kun 様、連日の解析お疲れ様です。
私は少々小休憩致します。goroh_kun 様もご自愛下さいませ。<(_ _)>

ちょっと別件で作業が遅れました。

diagdumpというツールを作成しました。

https://docs.google.com/file/d/0B8LDObFOpzZqNU9wSHpiSmRyOVU/edit

# ./diagdump 0xc0a54b84 0x100 0xc0a54c3c /sys/module/diagchar/version 0xc0a54c18 | ./busybox od -t x1

とやるとどうなるでしょうか？

>>35
と同じようなダンプが取得できたら成功です。

ツール作成ありがとうございます！
早速dumpと行きたいところですが、こちらもタイムアップです。
仕事が終了後報告させていただきますので、宜しくお願いたします。

>>61
goroh_kun様
firestorage.com/download/6d89ddfee1679ac1a5f15959e3db1e9f6a67c61e
カーネルを含む文字列の検索してでたファイル
firestorage.com/download/65c3fb88a06e6405e2dad5f17de4db96c74825d2
ログ（18）
firestorage.com/download/6ab61d4c403c75b8ed68505c3c9298c9debce559
リカバリー１
firestorage.com/download/093da4757ba4f7c1b51d2ca3d373206849c1c1b0
りかばりー２？

と今回のコマンドが回ってる間にとったbinです。ご査収ください。
ＰＳ．コマンドが永遠に回っていたので1時間くらい回して止めました。

再度　sh　とbat 使ってログ収集中・・・
５００ＭＢ　超えたら止めよう･･･

なんか想定と違うみたいです。。
diagdumpと同梱のdiagwritevalueで動作確認お願いします。

再起動後

# cat /sys/module/diagchar/version
の結果は
1.0

# ./diagwritevalue 0xc0a54c3c 0xc0a54b84 0xc0a54c18
して、

# cat /sys/module/diagchar/version
すると、versionの内容ってちゃんと変わってるでしょうか？

shell@android:/data/local/tmp # ./diagwritevalue 0xc0a54c3c 0xc0a54b84 0xc0a54c1
8
4c3c 0xc0a54b84 0xc0a54c18 <
write_value(0xc0a54c3c, 0xc0a54b84)
shell@android:/data/local/tmp # cat /sys/module/diagchar/version
cat /sys/module/diagchar/version
]ｱ・､

が実行結果です、後　ログのほうですが

C:\usb\dump2>adb start-server
* daemon not running. starting it now on port 5037 *
* daemon started successfully *

C:\usb\dump2>adb shell chmod 777 /data/local/tmp/test.sh

C:\usb\dump2>adb shell sh /data/local/tmp/test.sh
/data/local/tmp/test.sh[2]: /data/local/tmp/_su
: not found

/sys/module/diagchar/version open OK!

write_value(0xc0a54c3c, 0xc0a54b8a)

write_value(0xc0a54c3c, 0xc0a54b8a)

write_value(0xc0a54c3c, 0xc0a54b8a)

write_value(0xc0a54c3c, 0xc0a54b8a)

のあと
write_value(0xc0a54c3c, 0xc0a54b8a)
が続きます・・ほかの板の方みたいにアドレスが増えていきません。

あの勝手にshとbat作ってログ出力してました、でも
今も./diagdump 0xc0a54b84 0x100 0xc0a54c3c /sys/module/diagchar/version 0xc0a54c18 | ./busybox od -t x1
だけ_suから#になった後に実行しても同じようです。
以下の部分はログに勝手に載ってしまってました。ので関係ない部分ですっ
すいませんです、、。

C:\usb\dump2>adb start-server
* daemon not running. starting it now on port 5037 *
* daemon started successfully *

C:\usb\dump2>adb shell chmod 777 /data/local/tmp/test.sh

C:\usb\dump2>adb shell sh /data/local/tmp/test.sh
/data/local/tmp/test.sh[2]: /data/local/tmp/_su
: not found

>>66
> が続きます・・ほかの板の方みたいにアドレスが増えていきません。
ほーなるほど。

内容が確認したいので
# ./diagwritevalue 0xc0a54c3c 0xc0a54b8a 0xc0a54c1

としていただいて、

# cat /sys/module/diagchar/version | ./busybox od -t x1
の結果を教えてください。
もしかしたらversionの内容って、改行コード含まないのかな・。

# ./diagwritevalue 0xc0a54c3c 0xc0a54b8a 0xc0a54c18

ですね。8が抜けてました。

shell@android:/data/local/tmp # ./diagwritevalue 0xc0a54c3c 0xc0a54b8a 0xc0a54c1
8
4c3c 0xc0a54b8a 0xc0a54c18 <
write_value(0xc0a54c3c, 0xc0a54b8a)
shell@android:/data/local/tmp # cat /sys/module/diagchar/version | ./busybox od
-t x1
r/version | ./busybox od -t x1 <
0000000 0a
0000001
shell@android:/data/local/tmp #

すみません、寝落ちしておりました。このようになりました

shell@android:/data/local/tmp # ./diagwritevalue 0xc0a54c3c 0xc0a54b8a 0xc0a54c1
8
4c3c 0xc0a54b8a 0xc0a54c18 <
write_value(0xc0a54c3c, 0xc0a54b8a)
shell@android:/data/local/tmp # cat /sys/module/diagchar/version | ./busybox od
-t x1
r/version | ./busybox od -t x1 <
0000000 0a
0000001
shell@android:/data/local/tmp #

すみません、寝落ちしておりました。このようになりました

何かございましたら、明朝試したいと思います、
本日は寝落ちしてしまってすみませんでした。
何か、打開策がでることをお待ちしております。（＾−＾）

>>71
ありがとうございます。
なるほど。しょっぱなnull文字だと改行だけになる時の処理が
入ってなかったのかな。
確認して修正しますね。

修正してみました。
お手数ですが、再度確認いただけますか？

https://docs.google.com/file/d/0B8LDObFOpzZqNU9wSHpiSmRyOVU/edit

# ./diagdump 0xc0a54b84 0x100 0xc0a54c3c /sys/module/diagchar/version 0xc0a54c18 | ./busybox od -t x1

>74
goroh_kun 様
pastebin.com/z4BKyV2K
に結果報告致しました。何やら文字列が出てきました。
ご査収願います。

>>75
いい感じの結果です。想定どおりです。

>>35
と同じ内容のダンプが取得できてますよね。

あとは、これ使ってカーネルのダンプ取ればアドレスがはっきり分かるはず。


c0300000 〜 c0d00000までのダンプとって見ましょうか。

# ./diagdump 0xc0300000 0xa00000 0xc0a54c3c /sys/module/diagchar/version 0xc0a54c18 > /sdcard/kerneldump.bin

> adb pull /sdcard/kerneldump.bin

想定通りでよかったです！

さて、ダンプを取ったところ
カーネルのダンプ中に　再起動がかかりまして
その後/sdcardからカーネル.binを取り出しましたら中身が空でした。
とほほな結果になってすみません…
　
再起動がかからないようにしなくてはならないのでしょうか？

>>77

ちょっと修正してみたのですが、再度ダウンロード後
動作確認お願いできますか？

再ＤＬの後も　また再起動かかりますね・・・
shとbatでどこで止まるかログとった方がいいのでしょうか？

>>79
再起動がかかる際に、
write_value(0xc0a54c3c, 0xYYYYYYYY)

がどの値まで行くか、ですね。
後はその値で
# ./diagwritevalue 0xc0a54c3c 0xYYYYYYYY
# cat /sys/module/diagchar/version

してみて、再起動がかかるかどうか。

なるほどー　ログとってみますね。

goroh_kun様、ログ取り致しました。
write_value(0xc0a54c3c, 0xc0301004)
http://pastebin.com/Djg9MrQE

カーネル方はやはり穫れていないので
0xc0300000から
0xc0301004まで止まってるので
次は
0xc0311004
なんか規則性？なのかな？10004１で止まってますね
次は...
0xc0341003
これ繰り返すとところで何か値が出てくるのでしょうか？
って・・・その後のコマンドがあった。。。間違えました。

#cat /sys/module/diagchar/version
でもバージョン変わらず1.0です･･･　これを続けて行けば良いのでしょうか？

# ./diagwritevalue 0xc0a54c3c 0xYYYYYYYY
勘違いしてこの行抜かしてました。すみません。

write_value(0xc0a54c3c, 0xc0341003)
shell@android:/data/local/tmp # cat /sys/module/diagchar/version
cat /sys/module/diagchar/version

で再起動しました。

shell@android:/ # /data/local/tmp/diagwritevalue 0xc0a54c3c 0xc0311004
/data/local/tmp/diagwritevalue 0xc0a54c3c 0xc0311004
write_value(0xc0a54c3c, 0xc0311004)
shell@android:/ # cat /sys/module/diagchar/version
cat /sys/module/diagchar/version
ｼ2�ﾜ0溷@-

このアドレスではこんなログがでました。

shell@android:/ # /data/local/tmp/diagwritevalue 0xc0a54c3c 0xc0310004
/data/local/tmp/diagwritevalue 0xc0a54c3c 0xc0310004
write_value(0xc0a54c3c, 0xc0310004)
shell@android:/ # cat /sys/module/diagchar/version
cat /sys/module/diagchar/version

でも再起動ですね。これログとっていくのに自動のbatがあればな〜
良いのですけども・・・

そうそう、以前いらっしゃた方でrootの質問してた方は
今何をしていらっしゃるのか。。。

>>86

この再起動時のlogパーティションのダンプっていただけますか？

はい！只今！

お待たせ致しました！

前の方にあるdump
http://pastebin.com/abcVfmSV
下の方にあるdump
http://pastebin.com/cPNfHnwa

です！宜しくお願いします。

・・・・パーてぃション　全部ですか？
http://ＸＦＳ．ＪＰ/XeQ2h
こちらになります。宜しくお願い致します。

本日は夜も深いのでそろそろ就寝させていただきます。
今日もおつきあい下さりありがとうございました！（＾−＾）

>>90
確認してみますね。
kernel panic のログに、
cd_iInterfaceをcatして落ちているログがいくつか見られます。
なにか作業しましたっけ？

返信ありがとうございます！朝時間がなかったので
只今終業致しまして、そのまま書いておりますｗ。

cd_i;Interface？で落ちたかどうか判らないのですが、
間違えて自分で書いたshか何かを実行したら
パソコンがビープ音ならしてファイヤーウォールが作動した
事ならありますが、それでしょうか･･･それ以外で怪しいことはしてませんが。。。

まずい状態でしょうか？この先行き不安感はなんだろう・・・？
(´д｀;;)返信お待ちしております。

つぶやくか･･･そういえば。。chmod って権限が4桁なのですよねー
でも、なんか4桁って曰く感があるｗ

user,group,other,all.._?
何でall必要なの？ugoでいいじゃん。。。
3桁でなんか解決しているのだけどwiki見てたらこんなことが書いてありました。

特殊モード
chmod コマンドは、ファイルやディレクトリの追加パーミッション
（あるいは特殊モード）も変更可能である。
”シンボリックモード”では
s が setuid と setgid モードを表し、
t が sticky モードを表す。

それぞれ、特定のクラスでのみ有効である。
詳しくはファイルパーミッションを参照されたい。

多くのオペレーティングシステムでは絶対モードでの
特殊モード指定が可能だが、一部では不可能なOSもあり、
その場合はシンボリックモードでしか指定できない

なんかchmod 4755 file ? 4 は setuid を意味するが意味をなしているような・・・
やばい！3桁って覚えてたのは時代遅れ？！(笑)

そーえいばgoroh_kun様もbreaksuiddiagを作られていたのだった・・・
中身見たら判るだろうか見てみよー

ISW16SH でmmapって単語が出てきてるが何のことなのだろうか･･･
そんなsh入ってたかな？何か重要なものみたいだけど、持ってないYO!(笑)

split_bootimg.pl。。。perl?
kallsymsが作れるのか・・・便利だ・・・
mmc_protect_partやsecurity_ops、
miyabi_security_ops 、default_security_ops
ふむふむ･･･今この段階の一歩前？だから
メモリをダンプしてそれに対してkallsymsprint
する段階なのかな？
cat /proc/iomem
00300000-00b38daf : Kernel text
00c00000-0120f357 : Kernel data

ぬっお仕事が入ったのでいったん席たちます。。。

戻っりったー
何だかこれが判ったらあとメモリの範囲はダンプできればいいのかな？
でも再起動かかるから、それをどうにかこうにかしないといけない。
つまり直面している問題は何？！(。・ω・。)？再起動がかからないよーにするのか
それとも Kernel data　をダンプしたらいいかな？とりあえず、できることはやるお
＼(^o^)/
（バックシュラッシュが打てない(謎)）

./diagdump 0xc0c00000 0xa00000 0xc0a54c3c /sys/module/diagchar/version 0xc0a54c18
ところで引数４つめの /sys/module/diagchar/versionって何してるのでしょうか？
&&とか　| でつないでるわけではなにので。引数なのでしょうか？
それにしても5つもパラメータあったらなんか怖い。。。どんなプログラムなの
といってソースを開いてみる

address = strtoll(argv[1], &endptr, 0);
size = strtoll(argv[2], &endptr, 0);
var_addr = strtoll(argv[3], &endptr, 0);
var_path = argv[4];
if(argc > 5){
p_delayed_rsp_id = strtoll(argv[5], &endptr, 0);
開始アドレスはadress?
ストロークサイズはsize?
var_add = 0xc0a54c3c　だから
var_path　= /sys/module/diagchar/version　これがそもそも何だか判ってない
p_delayed_rsp_id = 0xc0a54c18　これはGJもらったから変えないでおこう･･･


うーんversionが書き換えられるだよね。。後。。。

>>98
お疲れ様です
kernelを全部ダンプする必要はなくて、狙ったシンボルのアドレスが
わかればよいだけなので、落ちないように気をつけながら適当なアドレスの範囲を
ダンプしていければよいです。
recovery.imgのほうのkallsyms.txtを添付します。

https://hotfile.com/dl/189573769/2d8c595/kallsyms.txt.html

diagdumpのパラメータは、
1番目 ダンプ開始位置
2番目 ダンプする範囲バイト単位
3番目 ダンプに利用するファイルの内容アドレス(0xc0a54c3c)
4番目 ダンプに利用するファイルのパス(/sys/module/diagchar/version)
5番目 delayed_rsp_idのアドレス(0xc0a54c18)

って感じです。
1番目と2番目のパラメータを適当に変えて、適当な範囲のカーネルメモリを
ダンプして、シンボル探しをする必要があります。
recovery.imgがわのシンボルのアドレスとそんなには変わらないという
想定で探せばよいと思います。

お疲れ様です！
就寝しようかと思いつつ独りぼやいてましたｗ
本日も御来訪ありがとうございます！

kernelのシンボルアドレスを探すんですねー･･さいしょに仰ってましたね。覚えてますよー
でも、まだ理解できておりません。
シンボルが見つかると何か表示されますか？みたいな感じです。
･･･もしかして落ちさえしなければkernelのダンプが穫れますか？
だったら昨日のアドレスを引っ張り出してきて範囲を決めてあげれば良いのでは・・・？

追伸、何故か今日はperlいんすとーるしましたｗでもboot.imgが判らなくて悩んでます。

>>100
シンボル探すのは、あくまでコードを見てそのコードが
何者なのかを解析する作業ですね。特に文字列が出るとかいう訳ではないです。
もちろんkernelの全範囲が取れれば、kallsyms相当が抜き出せるのでそれでもよいですが、
再起動する原因がはっきりしていないのでなんともいえないですね。

落ちさえしなければ、指定した範囲のダンプは取れる、はずです。

やってるんですが、アドレスの増え方？が+1づつではないんですねー・・・
あ、logとれました！只今pastebinへ。。

あ、ストレージに上げます、。binだからイメージなのですよね？
asciiコードであげてもだめですよね＾＾；

kerneldump-0xc0301004-0xc0310ffe　ＸＦＳ.jp/JYNLv←半角に変換して下さい

http://firestorage.jp/download/cac76dddfa92f7f109d4edc715f77463830e0d97
↑kerneldump_0xc0300004-0xc0310002.bin

>>104
ちゃんとしたダンプのようです。

+1づつではないですよ。versionを表示した際に取得できたデータ分は
再度見る必要ないので飛ばしてます。
とりあえず一番ほしいのはreset_security_opsあたりなので、

c0310000 〜 c0320000

あたりのダンプですね。

少々お待ち下さい。　一回は再起動するのでたぶん・・・なんで再起動するようになったのか・・謎。

あ、再起動する理由わかったかも。

c0310000 +0ffffまでc0320004で再起動かかるのでちまちまですが･･･できてきてます。
http://ＸＦＳ.jp/BGvcI
↑半角に変換でお願いします

えー・・・なんと。＜再起動

いや、教えて下さいませ−＜理由

>>108
とりあえず、先ほどのc0300000〜のダンプはrecovery側とまったく同じですね。
理由は0x0000〜0x0002の間の数字がまともに書き換えられていない可能性が高い、って言うところです。
脆弱性の性質上の問題です。再起動回避する方法もあるはず

脆弱性故、ですか。もっと大きい脆弱な部分を探してゆくということでしょうか？
追伸、只今 while 文　の勉強しながらlogの自動回収を探ってます。。

while read line
do
echo "$line"
done <test.txt

使うってexcelで作ったテキスト流し込みます(非効率でも無しより良いかも)

>>112
ちょっと説明が伝わってないかもしれないですが。別の脆弱性を探すのではなくて、
今回使っている脆弱性の特徴的に0〜2の値を書くのは難しいかもね、
ということです。
とりあえず、回避できるかどうかプログラムを修正してみましたので
確認お願いできますか？

https://docs.google.com/file/d/0B8LDObFOpzZqNU9wSHpiSmRyOVU/edit

了解しました！

再起動かかりました〜かなりいいところまでダンプできました！

http://firestorage.jp/download/1ef601a320a2fa865ad908ab8a7a963808be86d7
に置きましたご査収願います<(_ _)>
a00000 は穫れませんでした。38ffffまでです。

>>116
あれ、まだ再起動かかりますか・・。
write(...,...)のログもできたら見せてください^^;

write....ログですね少々お待ち下さいー
http://firestorage.jp/download/f6a0880866eb77e79a5b5e1cb06adfc992a30633
ついでになのですが、今できました次分お納め下さい。

>>117
GJです。ばっちり取れてました

c03109e0 reset_security_ops

です。

なので
# ./diagwritevalue 0xc0a54bfc 0xc03109e0 0xc0a54c18
# cat /sys/devices/virtual/android_usb/android0/*/cd_iInterface

でmiyabiは解除ですね。あとはnand lock解除か。

shell@android:/data/local/tmp # /data/local/tmp/diagwritevalue 0xc0a54c3c 0xc031
1004
tevalue 0xc0a54c3c 0xc0311004 <
write_value(0xc0a54c3c, 0xc0311004)
shell@android:/data/local/tmp # cat /sys/module/diagchar/version
cat /sys/module/diagchar/version

でやはり再起動かかりました、。。
次はどのようにログを採ればよろしいでしょう?

おお〜〜☆　きたー!(^o^)!MIYABI解除ですね！

shell@android:/ # /data/local/tmp/diagwritevalue 0xc0a54bfc 0xc03109e0 0xc0a54c1
8
0xc0a54bfc 0xc03109e0 0xc0a54c18 <
write_value(0xc0a54bfc, 0xc03109e0)
shell@android:/ # cat /sys/devices/virtual/android_usb/android0/*/cd_iInterface
id_usb/android0/*/cd_iInterface <
/sys/devices/virtual/android_usb/android0/f_mass_storage_cd/cd_iInterface: inval
id length
1|shell@android:/ #
↑１ですね。何故?

>>122
つづいて、nandlock解除のためのアドレスを探したいので

0xc04d0000 〜 0xc0500000あたりのダンプをお願いします

# ./diagdump 0xc04d0000 0xa00000 0xc0a54c3c /sys/module/diagchar/version 0xc0a54c18 > /sdcard/kerneldump.bin

>>123
catでinvalid lengthが出るのは想定された動作です。

これ、実行した後、miyabiが解除できているはずなのですが
# mount -o rw,remount /system /system

とか
# mkdir /data/xbin
# mount -o bind /system/xbin /data/xbin

とかできたりしませんか？

http://firestorage.jp/download/31a6bf1659dff95c70cf1ac035a0129afa8024a1

こちらになります、。やはり途中で再起動かかりましたが、513KB採れました。
ご査収お願いします。

shell@android:/ # /data/local/tmp/diagwritevalue 0xc0a54bfc 0xc03109e0 0xc0a54c1
8
0xc0a54bfc 0xc03109e0 0xc0a54c18 <
write_value(0xc0a54bfc, 0xc03109e0)
shell@android:/ # cat /sys/devices/virtual/android_usb/android0/*/cd_iInterface
id_usb/android0/*/cd_iInterface <
/sys/devices/virtual/android_usb/android0/f_mass_storage_cd/cd_iInterface: inval
id length
1|shell@android:/ # cd /data/xbin
cd /data/xbin
sh: cd: /data/xbin - No such file or directory
1|shell@android:/ # mkdir /data/xbin
mkdir /data/xbin
shell@android:/ # mount -o bind /system/xbin /data/xbin
mount -o bind /system/xbin /data/xbin
shell@android:/ # cd /data/xbin
cd /data/xbin
shell@android:/data/xbin # ls
ls
dexdump
shell@android:/data/xbin # ls -al
ls -al
-rwxr-xr-x root shell 59392 2012-07-09 06:57 dexdump
shell@android:/data/xbin #

マウント成功しました、ありがとうございます〜っっ＠＠
mount できるって事はいろいろできるようになったと云うことは
何となく判ります、、、。でも再起動しては
miyabi解除の手順を踏んで行かないといけないんですよね？たぶん。。。？

>>127
NANDロックのデータのアドレスも分かりました。

0xc073ce9c mmc_protect_part
ですね。

struct mmc_protect_inf {
u32 partition;
u32 protect;
};
static const struct mmc_protect_inf mmc_protect_part[] = {
{0,MMC_PROTECT_WRITE},
{1,MMC_PROTECT_READ | MMC_PROTECT_WRITE},
{2,MMC_PROTECT_READ | MMC_PROTECT_WRITE},
{3,MMC_PROTECT_READ | MMC_PROTECT_WRITE},
{4,MMC_PROTECT_WRITE},
{6,MMC_PROTECT_READ | MMC_PROTECT_WRITE},
{7,MMC_PROTECT_READ | MMC_PROTECT_WRITE},
{8,MMC_PROTECT_WRITE},
{9,MMC_PROTECT_WRITE},
{10,MMC_PROTECT_READ | MMC_PROTECT_WRITE},
{11,MMC_PROTECT_WRITE}};

よって以下のコマンド入れていけばOKなはずです

# ./diagwritevalue 0xc073cea0 4 0xc0a54c18
# ./diagwritevalue 0xc073cea8 4 0xc0a54c18
# ./diagwritevalue 0xc073ceb0 4 0xc0a54c18
# ./diagwritevalue 0xc073ceb8 4 0xc0a54c18
# ./diagwritevalue 0xc073cec0 4 0xc0a54c18
# ./diagwritevalue 0xc073cec8 4 0xc0a54c18
# ./diagwritevalue 0xc073ced0 4 0xc0a54c18
# ./diagwritevalue 0xc073ced8 4 0xc0a54c18
# ./diagwritevalue 0xc073cee0 4 0xc0a54c18
# ./diagwritevalue 0xc073cee8 4 0xc0a54c18
# ./diagwritevalue 0xc073cef0 4 0xc0a54c18

これでNANDロック解除
あとは、systemリマウントして、やりたければ
su突っ込むなりすればよいですが、あまりオススメはしません。

これで、必要なことは以上かな？

おーシステムのっとたど"^−(笑)
権限換え放題？ですか？

いや。やりたいことは後はなんだっけ？とにかくMIYABIとNAND解除したら
いろいろ人柱冥利です☆　本当にありがとうございます☆！

>>129

>>miyabi解除、128のコマンド実行後、
# mount -o rw,remount /system /system
# echo test > /system/test.txt

とかやって、/system/test.txtが作成できればsystemパーティションは
自由に書き換えできることになりますね。
あとは、他のシャープのノウハウと同じになるので他のスレを参考にどうぞ。

あれ？再起動してしまいました･･･？もう一度　一づつ流し込んでみよう・・・

nand解除手順としては
rootとって

MIYABI解除のためのコマンド
　
# ./diagwritevalue 0xc0a54bfc 0xc03109e0 0xc0a54c18
# cat /sys/devices/virtual/android_usb/android0/*/cd_iInterface

ところまで、
先の
./diagwritevalue 0xc073cea0 4 0xc0a54c18

入力使用とすると　再起動かかります
手順はsystemもroot にするのも含まれますでしょうか。。？

>>133
質問の意味がいまいち分からないですが、

# ./diagwritevalue 0xc073cea0 4 0xc0a54c18

を先にやっても問題ないと思うのですが、それでも再起動かかりますか？
再起動かかるとしたら、もしかしたら、kernelのtext領域の書き換えで
もNGなのかな。

>>131
goroh_kun様
すみません、今日はタイムアップ気味です＠＠
何が足りないか明日他の板を参照にしてやってみます。

何から何まで本当にありがとうございましたm(_ _)m
しばらくボーッとして寝なければ・・・

ダメなようです･･･再起動かかります。。。

そうそう、goroh_kun 様はSH-02E 板の方も進めてらっしゃるんですよね。。。
こちらは優先度低めでｐ時間が空いた時にお願できませんでしょうか？
それまでにいろいろ勉強致しますので、宜しくお願いします。m(_ _)m

申し訳ありませんが、そろそろ睡魔に負けそうなので一旦中断させて下さいませ。
日中も予定がありますして、夕方〜夜に復活しますので、、、
とにかく本日もお骨折りいただき誠にありがとうございました。m(_ _)m

お先に失礼致します、おやすみなさいませ<(_ _)>

おはようございます！goroh_kun様！
少し早めに起きれたので朝のご挨拶に参りました！

昨晩は途中で落ちてしまい、すみませんでした。
そしてお付き合いくださりありがとうございます<(_ _)>
こんな私ですがもしよろしければ只今から1時間弱時間がございますので、
wktkしながらご来訪お待ちしております！
お時間に余裕がございましたら宜しくお願います！

insmod, rmmod, lsmod...に。。。
直接suを実行する場合、/dev/suを実行することでrootになれる。
/data/local/tmp/shによるrootスイッチはフル権源が与えられていないような挙動をします。
か。。。　tmpで　_su してた…　いろいろ一日経って判ることあるなあ…
でもなんで devにsu なかったけど。おっともう時間ですよ。。

さて、仕事してきますーではでは

nandのプロテクト領域がkernelのテキスト領域にあって、
書き換えると再起動しちゃうってことなので、後できる方法は
kernel/drivers/mmc/card/blockのドライバのNANDプロテクトかかってない版
を作って、insmodして別ディスクとして認識させることですかね。
miyabiを解除すれば、insmodもできると思います。
ここから先は実記を持っている人にinsmod可能なモジュールをビルド
できるようにしてもらってからの対応ですかね。
あとはやる気で、すでにやるだけだと思いますよ。
すでに脆弱性とかいう話ではないので。
mount -o bind ...　が使えるわけですから、起動時に自動的に
miyabi解除して、mount -o bindするプログラムもかけますよね。

あとは、起動時にできるだけ簡単にrootをとる、という意味では
uevent_helperのバッファのアドレスを調べておいたほうが良いと思います。

C01C0000番地〜のダンプが取得できればアドレスは分かります。

C01C0000 dump採って参りますね。
只今からフリータイムなのです(謎)

http://firestorage.jp/download/82a15ba08457965c19200db5e7791e4ce3667347
ログ　kerneldump 0xc01c0000 0x20004 です、ご査収お願い致します。

>>142
突然すみません。SH-02EROMスレで現在kerneldumpしているのですが、途中で再起動がかかります。
今以下を実行で、
# ./diagdump 0xc0300000 0xa0000 0xc0da8710 /sys/module/diagchar/version > kernel_c0300000-c03a0000.bin

write_value(0xc0da8710, 0xc034fcca)
write_value(0x
で再起動かかる(kernel_c0300000-c03a0000.binは取れてます)のですが、この続きをdumpするには
# ./diagdump 0xc034fcca 0xa0000 0xc0da8710 /sys/module/diagchar/version > kernel_c034fcca-c03a0000.bin
とやるだけではダメみたいで.binが出来てないのです。
以下、2行目先頭に10って出ているので何かエラーのようなのですが、原因わかりますでしょうか？
# ./diagdump 0xc034fcca 0xa0000 0xc0da8710 /sys/module/diagchar/version > kernel_c034fcca-c03a0000.bin
10 /sys/module/diagchar/version > kernel_c034fcca-c03a0000.bin <
/sys/module/diagchar/version open OK!
write_value(0xc0da8710, 0xc034fcca)
・
・
write_value(0xc0da8710, 0xc0350021)
再起動

おりょ？再起動かかる前のアドレスでdump終わるように第2尾パラメータセットするしかないかも・・・もしくは
こちらでgoroh_kun様　が　UPDATEされたkerneldump　はかなり強者ですが
再機動はしますよー

http://firestorage.jp/download/25cd72823819368f4228381f5ad08c9c67e84bd1
採掘してきました、なぜかうまく最後までいきました
diagdump 0xc01e0005 0xa0000

レスありがとうございます。
# ./diagdump 0xc0300000 0x4fcca 0xc0da8710 /sys/module/diagchar/version > kernel_c0300000-c03a0000.bin
ということでしょうか？ちょっとやってみます。

http://firestorage.jp/download/f49556bf8747539f9fb6161556a5c3e4463a83a9
diagdump　0xc0280002 0x5000a
んーこれ以上採ると0300000まで行くかな？

A58A46　-1？でも大丈夫だとおもけど？
4FCCA の値でも採れるはずですよー
でもなんか途中からだと値がばらけていやですよねー

goroh_kun様が来る前に勉強しなきゃ・・・

↑私がです。

357いやいや。。。ですね少ないところで再起動かかる時もありますよー
がんばってー

>>151
アドバイスありがとうございます。
あれから、再起動しない範囲だと
357
335
32F
と段々減っていき0.8KBレベルのdumpしかとれなくて、チョッとつかれました(ToT)
goroh_kunさんがSH-02Eスレに戻ってくるのを勉強しながら待ちます。

お疲れ様ですっ、。goroh_kun様が戻ってくるタイミングが判ればなー。。

・・・エスパーか。ｗ

お疲れ様です

>>146
OKです。

uevent_helperのバッファのアドレスは

0xc0a4628c

ですね。

お試しでカーネルモジュール作ってみました。

https://hotfile.com/dl/189753507/70a59b2/memdev.ko.html

miyabi解除後、insmod可能か動作確認お願いします。

goroh_kun様　昨日はありがとうございます！
早速miyabi解除後に試したいと思います！

MIYABI解除後の動作がよくわからなかったのですが
こちらの方でよろしかったでしょうか、以下御拝聴願います。

shell@android:/ # /data/local/tmp/diagwritevalue 0xc0a54bfc 0xc03109e0 0xc0a54c1
8
0xc0a54bfc 0xc03109e0 0xc0a54c18 <
write_value(0xc0a54bfc, 0xc03109e0)
shell@android:/ # cat /sys/devices/virtual/android_usb/android0/*/cd_iInterface
id_usb/android0/*/cd_iInterface <
/sys/devices/virtual/android_usb/android0/f_mass_storage_cd/cd_iInterface: inval
id length
1|shell@android:/ # cd /data/local/tmp/
cd /data/local/tmp/
shell@android:/data/local/tmp # # mount -o rw,remount /system /system
# mount -o rw,remount /system /system
shell@android:/data/local/tmp # # mount -o bind /system/xbin /data/xbin
# mount -o bind /system/xbin /data/xbin
shell@android:/data/local/tmp # # insmod ./memdev.ko
# insmod ./memdev.ko
shell@android:/data/local/tmp #

そして次は何をすればいいのでしょうか？いろいろ板読みはしているのですが
なかなか次の判断にかけているのでまた、勉強してきます！
次の指示のわかる方居られますでしょうか。。。

www.neko.ne.jp/~freewing/android/docomo_f08d_root/
2chログも参考になるけどnekoさん的にいろいろ試されているブログを見ると
参考になりますっ！

今はinsmodして別ディスクとして認識させることについてとuevent_helperについて
調べることとlinuxのコマンド調べですね〜楽しいな〜
さあて、次はどこみようかなー　kallsymsprint.exe 辺り探るのもおもしろそう。。。

>>157

lsmod して、memdevが見えれば成功です。あとは/dev/memdevが作成されるか確認お願いします

おはようございます！goroh_kunさま
只今試してみます！

memdev.koは物理メモリを
mmapするドライバです。
物理メモリを書き換えてしまうのが
早い事に気がついてそうしてます
まずはmemdevのインストール確認お願いします

shell@android:/dev # cd /dev/memdev
cd /dev/memdev
sh: cd: /dev/memdev - No such file or directory

でぃっれくとり無いですとでました。。。

あ、lsmod してませんでした＾＾；

今、両親のパソコンが壊れてそちらの方に作業を移さなければ為りません。。。
少ししたら戻ってきます！

shell@android:/data/local/tmp # insmod memdev.ko
insmod memdev.ko
insmod: init_module 'memdev.ko' failed (Function not implemented)
255|shell@android:/data/local/tmp #

あれ？？二度目に書き込もうとしたら怒られましたがこれは想定内ですしょうか。。？

shell@android:/ # lsmod
lsmod
/proc/modules: No such file or directory
1|shell@android:/ #
と怒られました・・・うーん。。

127|shell@android:/ # ls /*/memdev
ls /*/memdev
/*/memdev: No such file or directory
1|shell@android:/ # ls /memdev
ls /memdev
/memdev: No such file or directory
1|shell@android:/ # ls /*/*memdev
ls /*/*memdev
/*/*memdev: No such file or directory
1|shell@android:/ # ls /*/*/memdev
ls /*/*/memdev
/*/*/memdev: No such file or directory
1|shell@android:/ # ls /*/*/*/memdev
ls /*/*/*/memdev
/*/*/*/memdev: No such file or directory

暴走気味ですが・・・
機能は実装されていないって　再度insmod すると怒られるのですが・・・なぜでしょう・・

あれ？すみません他のコマンドラインで実行したら怒られませんでした。。？なぜ？

>>164
insmodが成功しないとファイルは作成されませんよ
どうも成功してないみたいですね。
function not...
と出た時のdmesgの結果下さい
あと、insmodとかはくぐれば普通に出てくる情報だと思いますので、確認お願いします

少し席を外します。。頭冷やしてきます。

http://firestorage.jp/download/80d63630f3037e5858de76a97becc378d24229d6
dmesg置きました　、ご査収願います。
少し席を外しますね。

>>170
んー。insmodに失敗した理由を示すログが見当たらないですね。

一時rootが取れないのですが、どなたかお知恵を貸していただけませんか？

お疲れ様です。
一時rootがとれない方は sh02 板をご覧になって獲ってみて下さい。
私はとれているのですが、過去ログの通りいつの間にかとれていたのです
詳しくは過去ログをご覧下さい。
また、どこで行き詰まっているか書いていただくと何か助言し安喜です。

goh_kunっっさま　おられましかー？

>>173

レスありがとうございます。
sh02板を見たのですが、
>goroh_kun氏の"f-10d.ab" "mkdevsh"を使って、
が、できません。
具体的には、/dataのパーミッションを777にした後
>adb push mkdevsh /data/local/tmp/
に失敗してしまいます。

107SHでroot取れた人は173さんだけですかね？

ん、gokuh氏のBreakuidDを実行したら　画面が一瞬バグって再起動起こしますので
この辺危ない？人柱的心がないとびっくりするかもです。
あと端末からは_suは穫れませんでした。この辺かな・・・
あとはfakenpとか入ってますね、自分の端末。

そろそろお暇しましねー

>>176
BreakuidDを実行しましたが、再起動はするのですが
何の変化もありません・・・
すいません、fakenpとは何でしょうか？？

http://firestorage.jp/download/cae95bc7b651a97fd4511046edb8c2db950e90e3
に一式置いておきますねー　中身はファイルの検索してみてください。

>>179

>中身はファイルの検索してみてください。
すいません、もう少し詳しく教えていただけませんか？

詳しくですか？どこが判らないですか?

>>181
このファイルに何か隠れているんですか？

どのzipをどう使うかは･･･責任持てません。
ですが、どう使っていくかはググれば見つかると思いますが･･･
あと他のスレ
http://anago.2ch.net/test/read.cgi/smartphone/1354149482/
http://anago.2ch.net/test/read.cgi/smartphone/1352821213/
辺りや
とにかくgoroh_kun のツイッターもチェックしてみて下さい。

いえ、このファイル一式自分がroot化に使った
と思われるモノが入ってますので、お役に立てれば幸いかと、
思ったわけですよ。

順を追って話しましょう＜root化

48 自分：SIM無しさん[sage] 投稿日：2013/01/15(火) 20:39:08.32 ID:JQYTi6sb [5/13]
今の状態を初期化する勇気がないので、tmp?ファイルを置いておきますが
それでいろいろ試すとできるかもです･･･あと、いくつかapkもおいておきます。

方法としてはたぶんですがsh02eの方の板か
vpnFaker?の紹介あたりをしてるぺーじが役に立つと思います。

なぜかau向けの_suを使っている辺り自分でとにかく弄り倒してたら
なったとしかいいようがないのです･･･すみません。

に自分のtempファイル置いておきますね。
後wifiの関係は関係ないみたいです、きっと。あと
機内モードにするのはやっておいた方がいいかも･･･

順をたてるとまずは /data/tmp/local/を　権限乗っ取りからかな・・？


あ、申し遅れました！
是非解析のお手伝いをしていただきたいです！vZwtIvvAさん！
今後とも宜しくお願いします。

実感としてはBreakuidDを実行した辺りから_suが実行できるようになった気がします
それまでは何度となく、wifiやzergRushの辺り弄ってたのですが、さっぱりでした。

ただし、BreakuidDを実行したら　画面が一瞬バグって再起動起こしますので
この辺危ない？人柱的心がないとびっくりするかもです。

あと端末からは_suは穫れませんでした。
miyabiを解除してないからかもしれませんね。

最終的に解析終わったら何をしたいですか？vZwtIvvAさんは？

以上私のテンプレートｗ

179のURLには「EssentialPIM Pro 今日の予定.txt」しかないです

すみません上げ間違えました。少し待ってて下さい。
＜今日の予定

/data/tmp/local/の権限は乗っ取れました!!
その後はどうすればいいでしょうか？

いやー何を間違えたか、サーバに変なモノをＵＰってしまいました、消して下さいませ
＜今日の予定−

そうですねー次は　_suを獲るため　いろいろやっていくのですが
その間の作業でまず他の板のログを見て私が上げたファイルがなんなのか
私も思い出していくので、宜しくお願いします。

ちょっと、今ＵＰしているモノが１8ＭＢあるので･･･しばし勉強でもしましょう。。。

まず wifi 辺りの穴は防がれてると思うので
１．次なる手VpnFaker-V21.zipが　動くか見てみましょう・・
２．isw16shでのsystem権限取得がうまくいくか・・・どうか・・・行かなかった気がする。。
３。そろそろSuperuser-3.1.3-arm-signed.zi解凍して/data/local/tmp/の下関係の権限
　　がいじれるようになってませんか?　"chmod 777　+ " とかで適当に。。
４．su が実行できれば　root成功ー　･･･それまでにいろいろ２ｃｈのログ読んで試して下さい。

http://firestorage.jp/download/ad8318e8d855c64c4ab59602ea83b446f10f8602
今度は何とかなるはずです。。＜root大全　私が作ったモノではなく
2chのリンクとかとにかくさがしていろいろ集めた　それぞれの板のrootキッドです。
コード書かれた方に感謝しながらＤＬしましょう・・・・

すいません、丁寧にありがとうございます!!
今は会社なので、帰ったら試してみます!!
帰りは0時過ぎになりそうですが…

それまでに2chのログ読んで勉強してます!!

ログ読みお疲れ様です〜。

過疎ったね。
既にスキルがあるやつはNANDunlockまでできてるよ。
G氏はroot化マシンじゃないと宣言してるから、自力で頑張る気力があるやつだけroot化頑張るしかないよ。

>194
３月になって107sh買いました。adb shellから/sbin/_suでの
一時ROOTまでは行ったのですが、このスレとご紹介いただいた
スレ読んでも、行き詰りました。厚かましいですが、
もう一度、>194のファイルをあげていただけないでしょうか？

198ですが、勉強したら自分のつまずきがわかりました

adb shellからのルートがとれればこのスレ通りにやればmiyabi解除はすぐできるんで、あとは正しいSUとsuperuser.apkを正しい場所に入れて、正しい権限与えるだけでよかったんですね
suなどの配置がよくわかってませんでした

これでtbやＡｖａｓｔのファイアウォールが起動できました！
まだやりたいhostsファイルの変更がnandroid解除できてないのでできてませんが、また勉強したいと思います

先人のみなさま、gorou_kunさま、楽しい107sh生活が送れそうなのも皆様のおかげです
感謝申し上げます

そもそもこの機種のカーネルってモジュール無効になってない？
Nandロック解除できたっていってる人はどうやったの？

>>200
私も知りたいです

再起動するたびadb shellから毎回miyabi解除して、su入れて、hostsかえて使うために/system/etcをmount -o bindしてるので不自由と言えば不自由

batファイルクリックするだけなのですぐ終わるけど、端末だけでできたほうが便利

でもdocomoのシャープ端末はまめにバージョンアップしててそのたびに穴ふさがれてるみたいなのでsoftbankはサボってくれてるのはありがたい