【ROM焼き】docomo AQUOS PHONE ZETA SH-02E root1

需要はあるだろうか？

あると思うが早く立て過ぎだと思う…

需要はあるが供給がない悪寒

ドコモ2012冬モデル「AQUOS PHONE ZETA SH-02E」の改造スレです。

【注意】
root化してしまうとメーカーの保証を一切受けられません。
内部の書き換えを行うと最悪の場合文鎮になりますのでご注意ください。

またトラブルが発生した場合などは自力で解決する努力が必要です。
このスレに助言を求めるときは

・何をしてどうなったか？

など最低限の情報は書き込んでください。小出し・後出しでは助言を得られません。
また神々が降臨して贈り物をしてくれる事もありますが、敬意を払って使わせて頂きましょう。

噂のシャープ端末のroot取っている人に期待

先代zetaは8月のアップデートで穴埋められたとかなんとか

完全便乗だけどSH-07Dのrootもとりたいのでがんばろう・・・

他力本願になるのはどうかと思い自分も何かしたいが何をしたらいいかわからんという

テスト機を提供してやればいい

【ROM焼き】SH-01Dのスレ参考にして色々やってみるべし。
自分は明日にならんと手に入らないから、明日から頑張る。
まずは一時的にでもroot取得からだね。

お前ら気が早すぎｗ

OSは最新って訳ではないし、今までの手法を試せばいいんじゃないか？
と、まだ端末を入手出来てない俺が言ってみる

>>9
SH-01Dでroot取ってましたが、同じ手順ではリカバリー後のdataディレクトリ権限奪取のとこでだめでした…、見事に塞がれてます。

>12
乙です。
やっぱ、goroh_kunに来てもらわなきゃだめなのか？

動きがないね

あきらめろん

アプリデータ投げ捨てて環境再現しちゃったからrootあってもなくてもいいや

TitaniumBackup
ClockWorkModRecovery
SetCPU
などなど
使いてー(非常に人任せ)

autorun使いたいから、root取れるといいなぁ

xperia arcから乗り換えようと思ってるけど
BLunlockとかカスタムROMってでてくるのかな？
国内版だから心配だ

初歩的な質問で申し訳ありませんが、
adb restore sh-02e.ab
って打って、端末側で復元を許可したら、端末は現状から初期化されるのでしょうか？

既に色々入れているので、実行に躊躇しております。

>>20
その sh-02e.abはどこから持ってきたの？

adb backupでしょ。4.0以降の標準機能。

>21
言葉足らずで申し訳ない。
>22の言う通り、adb backupでsh-02e.abというファイル名で、という前提です。

/dataの権限取得の話じゃないのか？
普通にadb backupしたものなら初期化じゃなく上書きじゃね？

ってか、普通のadb restoreの話をROM焼きスレでするの？w

見当違いだったらすみません。
機種変前がT-01Cでroot化してて恩恵を受けてたので、これでも試したいのですが、今回の機種変2.2→4.0で電話帳の移行やbookmark,mail,FeliCa等々結構大変だったので、非rootで現状をフルbackupして復元出来るのかしりたかったのです。
ぐぐってみると、コムギさんのところに完璧には復元出来ないと書いてあったので、データ等他のbackup方法を探してから、sh系のroot手順を試してみます。

ご迷惑かけました。ROMります(o_ _)o

早くroot取れるようにならないかなー

無理やろ

ごろーくんがこないとなー

>29
ですよねー
なんとかこのスレを活性化させたい！
Suicaの定期使ってるから、今、トライして文鎮なると通勤に支障きたすんで、今週末、これまでのSH機の手法にトライしてみるつもりです。

皆もガンバロウ！

何したらよいのかわからなさすぎて

>>31
俺も(笑)なんか出来ることあれば、とは思うものの…
とりあえずの目標は、suを使えるようになること、でいいのかな？

最近の端末と同じ方法ではできないの？
例えば、AXとか

>>33
無理だとおもう。
XperiaのFlashtoolみたいなものがあればいいんだけどね〜

flashtoolみたいなのもないのかぁ
なんとかならないかなーxperiaからだからカスタムできないのは不便だな

一時rootも上手くいかないんだが、出来た人いる？
もし、出来てたらその手法教えて欲しいんだが…

>>36
上手くいかないって、どのようにやって上手くいかないの？

SH-02Eはandroid4.0.4でルートディレクトリみると、
/dataのパーミションがdrwxrwx--x
となっているから、これまでのシャープ系root取得方法が出来ない。であってる？
↓こうなってるんだけど
http://pastebin.com/exbdsEKK
d
etc
firmware
vender
上記いずれかのフォルダ以下を活用するしかないってことでOK?
えらい人教えて！

コレrootするにはL-01Dな感じなんか？
俺には出来んが。

まだルートとれた人いないんじゃないかな？

月末までにはルートとれんかな？でないと自分が人柱になりそう。

>>41
成功すればお前さんは
尊敬されるだろう。
失敗なくして成功なし。
ガンガレ(・∀・)

文鎮つくってなんぼ

ソースコード開示されたね。

だからと言って中身を解析出来る訳じゃないけど…　｡ﾟ(ﾟ´Д｀ﾟ)ﾟ｡

ROOT　1時でもいいからいる？

書きこめる？

root切望

一時でも、方法教えてもらえると助かります。

ZETA持ってないけどAXの方法も使えないしadb backupとか塞がれた中でどうするのか物凄く気になってる
他の端末にも応用出来ると思うしね

adb backupはつかえるはず

そうなんだAXが潰されてたからそうなのかと
とりあえず雑談スレ化するんでもうレス控えるわ

adb backup、「android.process.acoreを終了します」って出てきて、
その後 com.android.sharedstoregbackup の表示で止まっちゃうよ。

そこ、やたら時間がかかるだけでちゃんと進んでるよ。
PC側のファイルサイズがどんどん大きくなってるでしょ？

あとadb backupのバグでsdcardがまるまるバックアップされるから注意。
これは全機種共通の問題で回避不能みたい。

>>53
ほんとだ。放置しといたらファイルができてました。
サイズが5GBだったから、SDの中身は入ってないと思うけどどうなんだろ。

需要はたかいはずだけど、rootとるの難しくて全然盛り上がらないねー

rootとる必要性を感じないから需要もないだろ
ヌルサクで不満ないし

titaでお手軽フルバックアップしたい

TaskerでGPSの自動on/offとか画面ロックのOFFが出来ないのが辛い

autorunでGoogle mapの常駐をきりたいです

2.3でやってたなめこseasonsのつづきがやりたい

rootはあったらあったで便利だから欲しい

アップデートするとroot取得が不可にとかありそうで怖い

アップデート前の人ルートとれた？

本スレでroot化できたってレスあったけど釣りだろうしなぁ

本スレの49完全スルーされてるけど、4.1とかくるんかね

SBの姉妹機が4.1で出るから来ると期待してます

流れないね(´・ω・`)

最初から諦めて買うべき機種

オマエら分かってて買ってるんだから
期待するだけ無駄

そんなに難しいんだぁ
docomo他機種の4.0.4でrootとれてるのにぃー

神降臨、期待!!(人任せより)

root取っても広告消しとステータスバー弄りぐらいしかやらないな

ファイヤウォールとバックアップと再起動したいんだよなあ

Android 4.0.x特有のL2TPバグのパッチを当てたい

ていうかまずfirewall入れたい

goroh_kun (goroh_kun)

Qualcommの/dev/diagの脆弱性を利用して、libcのsetuidを破壊するサンプルを公開します。本アプリ実行後、ターミナルエミュレータを起動して＃になれば成功です。 IS03にて確認ずみ

12月29日 1時6分 webから
http://twitter.com/goroh_kun/status/284691876651626497

>75
で、SH-02Eには有効なのかな？
誰か人柱はよ！

おお、さすが！
とりあえずチタでバックアップとるか

>>75
これ使ってもnandunlockとMIYABI解除しないとroot取れない

むーん。取れるなら買うが・・・

>>75
いけたー
まじ感謝

>80
釣れますかぁー？

>>81
いや、一時rootは取れるはず。>>75のを使って#になった状態で端末エミュレータでコマンドを打って/dev/にsuを配置すれば一時的にrootを取れる。
再起動でroot取得状態は解除される。

実機持ってないから断定出来ないけど・・・

>82
端末持ってないのに…
suの状態になるかわからないのに…

ダウンロードしたフォント引っこ抜くだけなら、一時ルートで十分だな。

まず#にならなくね

HTC J 蝶、rootとれたみたいね。
goroh_kunこっちもお願いします！

だれもやらないの？

個人的には現時点でTB以外で取るメリットがなぁ…
RAMカツカツだったりバッテリーがヤバイっていう切実な問題が無いから挑戦しようという気にならない。

プリインのいらないやつ消したい
あとはステータスバーとかかな

>>89
俺もそんな感じ

逆に言えば、糞アプリのプリインスコ無くして、ステータスバーのカスタムできれば、
不満に感じる奴大分少ないと思うんだがな

あけおめ　保守
今年はrootがとれますように


とか言ってるうちに、OSアプデ来たりして

保守

ZETAに乗り換えようと思ってる者だけどroot取れるの？

>>93
とれないからこのスレが過疎ってるんですがな

goroh_kun降臨はよう・・(´・ω・`)

はやくrootとってくれないと　この機種に変更できない

パズドラをtitaで移動させたい

>>96
root化してなくても
ADBのバックアップで移動できたよ

しんてんしませんなぁー

ps3のコントローラー使いたい

android4.0.4のroot化情報をググってみると、
isw16sh.abを実行して…とか
f-10d.abを実行して…という流れのようですが、SH-02E.abというのを作る事が出来たら、root化出来るんですかね？

goroh_kun降臨はよう…

お疲れ様です

そもそも、こちらで再起動かかるんでしょうか？

http://twitter.com/goroh_kun/status/284691876651626497

まあ再起動かかるとして、再起動後のlast_kmsgが
取得可能かでやることが変わります。
具体的にいうと、

adb pull /proc/last_kmsg last_kmsg.txt

こちらにて、last_kmsg.txtが入手できるか、できないかでやることが
変わってきます。
今までの経験だとシャープの場合はlast_kmsgでなく、logパーティションを
抜かないといけなかった気がします。
どなたか確認お願いします。

test

adb経由でインストールして端末から実行しまして、
Hello worldが表示されてアプリは起動しました。
ターミナルエミュレータって、アプリで配られているやつですか？
普通に$になりますね。またadb shellで入っても同じです。
setuidは正常に動いているように思えます。

ちなみにb2関数でループでioctlするあたりがよくわからないのですが、
何をしているんでしょう？

adb経由でインストールして端末から実行しまして、
Hello worldが表示されてアプリは起動しました。
ターミナルエミュレータって、アプリで配られているやつですか？
普通に$になりますね。またadb shellで入っても同じです。
setuidは正常に動いているように思えます。

ちなみにb2関数でループでioctlするあたりがよくわからないのですが、
何をしているんでしょう？

>>104

再起動すらかからないとなると、ちゃんと動作してるか怪しい感じがします。

adb shell ls -l /dev/diag

の結果はどうなるでしょ？

>ちなみにb2関数でループでioctlするあたりがよくわからないのですが、
何をしているんでしょう？

一回呼ぶたびに書き込む数値が、1,2,3...と増えていく仕組みになってます。
ループ回数が実際に書き込みたい数値になります。
詳細は/dev/diagに相当するソースコードを読んでもらえれば。

>>105
crw-rw---- system qcom_diag 236, 0 1970-02-21 18:28 diag


という結果が返ってきます
アプリの起動前／起動後で変化なしですね

ありがとうございます、/dev/diag読んでみます。
こちらも>>106と同様の動作ですね。

>>107
状況把握。
/dev/diagがradioユーザーから開けてないんですね。
そのままだとこの脆弱性は叩けない、って感じですね。
いったん/dev/diagのパーミッションを変更するか、他の方法使うかしないと。

端末がないので、kernel読む以外の状況がわからない^^;

adb shell ls -l /dev
adb shell ls -l /

の結果ほしいです。sshなりできると早いんですけどね。

/dev
http://pastebin.com/jHfaVC5p

/
http://pastebin.com/DEtCBh1y

うまく貼れてるか？

横から。
goroh_kun氏の"f-10d.ab" "mkdevsh"を使って、
$/dev/shで shell上root になっています
mount -o bindとかはできなかった

mount -o bind /data/sysbin /system/bin
mount: Operation not permitted

なにかできることありますか？

お、一時rootが取れるのであれば
先のツールのコマンドライン版があるので、それを実行してもらって再起動するかを確認頂ければ。

>111
f-10d.abで復元すると端末は初期化されてしまうんでしょうか？

>>113
しないですよ

>>goroh_kunさま
"先のツール"のヒントいただけますでしょうか


>>113
唯一、壁紙の設定だけ初期化？されますが、問題ないです

goroh_kunさん,>111さんレスありがとうございます。
力及ばずかもしれませんが出来る事をやってみます。
過去の以下のデータを頂いているのですが、111さんへのコマンドラインうんぬんとは、これらのうちのいずれかをやると言うことでしょうか？
f-10d_mklocalprop.zip
isw16shroot.zip
F10D_root_0830.zip
F10D_root_0903.zip
isw16sh_hijack_jni.zip
shdisp_onloadhook.zip
goroh_kunさん、見当違いだったらすみません。ヒントをください。

f-10d_mklocalprop.zip内にあるf-10d.abをPCのでadb restore f-10d.abし、端末側で、データを復元するも、データを復元するボタンはグレーのまま。
その状態からPCでaフォルダをリストしようとしても、opendir failed, Permision deniedと出でしまいます。

どうすれば…

コマンドラインツールは、

http://twitter.com/goroh_kun/status/284691876651626497

こちらで公開しているzipファイル内にある、
breaksuiddiagです。

> adb push breaksuiddiag /data/local/tmp
> adb shell chmod 755 /data/local/tmp/breaksuiddiag
> adb shell
$ /dev/sh
# /data/local/tmp/breaksuiddiag

これで、再起動がかかるかどうか？
ですね。
一時ルートの取り方は、f-10d.abを使ってできるのであれば、
F-10Dと同じだと思います。

>111さん、mkdevshはどこにpushされましたか？

>>118
再起動がかかりました

# /data/local/tmp/breaksuiddiag
/data/local/tmp/breaksuiddiag
00008000 r-xp /data/local/tmp/breaksuiddiag
0000b000 rw-p /data/local/tmp/breaksuiddiag
01b8c000 rw-p [heap]
40028000 r--s /dev/__properties__ (deleted)
40034000 r-xp /system/lib/libm.so
40049000 rw-p /system/lib/libm.so
4005b000 r-xp /system/lib/liblog.so
4005e000 rw-p /system/lib/liblog.so
40066000 r-xp /system/lib/libstdc++.so
40067000 rw-p /system/lib/libstdc++.so
400f2000 r-xp /system/lib/libc.so
400feb08 : 90 00 2d e9 d5 70 a0 e3 00 00 00 ef 90 00 bd e8 ..-..p..........
/dev/diag fd=3 ptr=0000
ptr=400feb0c

>111
ありがとうございます！
再起動後に、log用のパーティションにlast_kmsg相当が
書き込まれてると思います。
機種ごとに違うのでどこかはっきりわからないのですが、

adb shell cat /proc/partitions

で見れるどれかのはず。
あと、できればrecovery用のパーティションもあると
アドレスはずれてるにしても推測がしやすくなるので
いただけると助かります。

ともあれ、一度
パーティションを確認しないとですね。

いまやろうとしていることが何かというと、
以下のシンボルのアドレスを調べることです

1. delayed_rsp_id (kernel/drivers/char/diag/diagchar_core.c)
2. mmc_protect_part (kernel/drivers/mmc/card/block.c)
3. miyabi_security_ops (kernel/security/miyabi.c)

優先度順で。
delayed_rsp_idは、脆弱性を使って任意の値を書けるようになるために必要
mmc_protect_partは、とりあえずboot.imgを抜くために必要
miyabi_security_opsは、miyabi解除のために必要。

って感じです

これでいいですか？

cat /proc/partitions
major minor #blocks name

7 0 11466 loop0
179 0 30535680 mmcblk0
179 1 2048 mmcblk0p1
179 2 61440 mmcblk0p2
179 3 1024 mmcblk0p3
179 4 1024 mmcblk0p4
179 5 4096 mmcblk0p5
179 6 256 mmcblk0p6
179 7 512 mmcblk0p7
179 8 65536 mmcblk0p8
179 9 4096 mmcblk0p9
179 10 10240 mmcblk0p10
179 11 17408 mmcblk0p11
179 12 25600 mmcblk0p12
179 13 4096 mmcblk0p13
179 14 15360 mmcblk0p14
179 15 1572864 mmcblk0p15
179 16 4096 mmcblk0p16
179 17 8192 mmcblk0p17
179 18 276480 mmcblk0p18
179 19 1024 mmcblk0p19
179 20 780 mmcblk0p20
179 21 780 mmcblk0p21
179 22 780 mmcblk0p22
179 23 8 mmcblk0p23
179 24 1 mmcblk0p24
179 25 262144 mmcblk0p25
179 26 3072 mmcblk0p26
179 27 20480 mmcblk0p27
179 28 3072 mmcblk0p28
179 29 114688 mmcblk0p29
179 30 6144000 mmcblk0p30
179 31 21609171 mmcblk0p31
259 0 225280 mmcblk0p32
259 1 51200 mmcblk0p33
259 2 8175 mmcblk0p34
179 32 15645696 mmcblk1
179 33 14529768 mmcblk1p1
179 34 1100452 mmcblk1p2
254 0 11466 dm-0

>>119
/data/local/tmp/ にpushしたと思うんですが、
実際に作業を行ったのはずいぶん前なのでよく覚えてないんです

179 2 factory
179 4 ebr
179 15 system

ぐらいしかわからない・・
こっちのコマンドの結果のほうがよいですね。

adb shell ls -l /dev/block/platform/*/*/by-name/


まったくの予想だけど、
179 14がrecoveryな気がします。
上のコマンドの結果recoveryとlogがどのパーティションか
わかると思うので、

dd if=/dev/block/mmcblk0p14 of=/sdcard/mmcblk0p14.bin bs=512
とかして抜いてもらえますか？

recoveryイメージなら、バイナリエディタで見たら
先頭にANDROID!って入ってれば正解です。
logのほうは、そのままログが入ってると思います。

# ls -l /dev/block/platform/*/*/by-name/
ls -l /dev/block/platform/*/*/by-name/
/dev/block/platform/*/*/by-name/: No such file or directory

なので、

# ls -l /dev/block/platform/*/*/
ls -l /dev/block/platform/*/*/
..(略)
lrwxrwxrwx root root 1970-02-14 22:30 log -> /dev/block/mmcblk0p26
lrwxrwxrwx root root 1970-02-14 22:30 m9kefs1 -> /dev/block/mmcblk0p20
lrwxrwxrwx root root 1970-02-14 22:30 m9kefs2 -> /dev/block/mmcblk0p21
lrwxrwxrwx root root 1970-02-14 22:30 m9kefs3 -> /dev/block/mmcblk0p22
lrwxrwxrwx root root 1970-02-14 22:30 m9kefsc -> /dev/block/mmcblk0p24
lrwxrwxrwx root root 1970-02-14 22:30 misc -> /dev/block/mmcblk0p19
lrwxrwxrwx root root 1970-02-14 22:30 mjupd -> /dev/block/mmcblk0p9
lrwxrwxrwx root root 1970-02-14 22:30 modem -> /dev/block/mmcblk0p8
lrwxrwxrwx root root 1970-02-14 22:30 persist -> /dev/block/mmcblk0p17
lrwxrwxrwx root root 1970-02-14 22:30 recovery -> /dev/block/mmcblk0p12
（略）...

recovery -> /dev/block/mmcblk0p12
log -> /dev/block/mmcblk0p26

ということで、
mmcblk0p12.bin,mmcblk0p26binを保存しました
バイナリエディタで見たところ、
recoveryの先頭に確かに"ANDROID!"と出ています

logのほうにカーネルパニックを起こしたところがあるはずなので、
そこのスタックトレース部分を貼ってもらえますか〜？

recoveryのほうは、kallsymsをダンプしてほしいのですが、
やり方分かりますかね。

http://www1.axfc.net/uploader/so/2383665

できたら、recoveryのイメージいただけると。
メールでも大丈夫です。
goroh.kun アット gmail.comです

勉強しながらになるので、
とりあえずメールでお送りします

kallsymsダンプ たぶん失敗ですよね
$ ./data/rootkit/kallsymsprint /mnt/sdcard/mmcblk0p12.bin
./data/rootkit/kallsymsprint /mnt/sdcard/mmcblk0p12.bin
[+]mmap
mem=40147000 length=01900000 offset=7fec1000
kallsyms_addresses search failed

そろそろ脱いで正座してもいい？

>>goroh_kunさま
途中で大変申し訳ありませんが、
先に休ませてください
明日仕事なのです

recoveryイメージのほうは、

c0da86ec delayed_rsp_id
c0d86e30 default_security_ops
c0d87060 miyabi_security_ops
c034a924 reset_security_ops

みたいです。
log見た感じだと、
c0da86e0 delayed_rsp_id
なので、ほとんどズレはないっぽいですね。

<4>[ 1245.513321] R1: 0xc0da8658:
<4>[ 1245.513383] 8658 c0af18f9 000001a4 c04f5ae0 c04f7994 c0af1908 00000080 00000000 c04f6bac
<4>[ 1245.513505] 8678 c0af1917 000001a4 c04f5abc c04f793c c0af192a 000001a4 c04f5aa0 c04f78a8
<4>[ 1245.513657] 8698 c0af191b 000001a4 c04f5a70 c04f7848 c0af1939 000001a4 c04f5a54 c04f77b4
<4>[ 1245.513779] 86b8 c0af1947 00000080 00000000 c04f6b88 c0a80444 00000124 c04f75d0 00000000
<4>[ 1245.513932] 86d8 00000258 00001000 0000000a 0000000f 000002ee 00000002 c0b65dfd 00000124
<4>[ 1245.514054] 86f8 c0193410 00000000 00000000 00000000 00000000 c0af1d15 c0a74931 c051657c
<4>[ 1245.514176] 8718 00000000 00000000 00000000 00000000 c0a6d192 c0d98d28 00000000 00000000
<4>[ 1245.514329] 8738 00000000 00000000 c0444504 00000000 00000000 00000000 00000000 00000000

>>130
俺はもうしてる

c0da86d0番地に書かれている c04f75d0というのが、
c04f75d0 diag_enable_showなので、
なので、そこにreset_security_opsのアドレスが書ければ良いとして。

recoveryのほうとずれがほとんどないという前提で、
c034a924 reset_security_ops
を書いてみる感じにしますか。

diagwritevalue

https://docs.google.com/file/d/0B8LDObFOpzZqWXFkaEpZb3VoM0k/edit

こちらをダウンロード後、

> adb push diagwritevalue /data/local/tmp
> adb shell chmod 755 /data/local/tmp/diagwritevalue
> adb shell
$ /dev/sh
# /data/local/tmp/diagwritevalue 0xc0da86d0 0xc034a924

として、再起動するかどうか確認お願いします〜。
再起動しなければ、diag_enable_show相当を動作させればよいので、

# cat /sys/devices/virtual/diag/diag/enable

とした時点で、再起動するかどうか？
しなければ、miyabi解除できているかどうか(strace, mount等使えるか)
再起動する場合は、mmcblk0p26をまたダンプして確認、という感じです！


よろしくお願いします〜。

>>135
# /data/rootkit/diagwritevalue 0xc0da86d0 0xc034a924
/data/rootkit/diagwritevalue 0xc0da86d0 0xc034a924
write_value(0x7fffffff, 0x7fffffff)
PS C:\Users\do\root\f05d_root_kit_v012>
再起動しました！

adb shellでのルートをとるまでを簡易報告

goroh_kunさんのf10d.abを使用した
f05d用の f05d_root_kit_v012.zip を微修正して使わせていただいてます。

後はこのスレのgoroh_kunさんの書き込みを追えるはずです

goroh_kunさん、ISW13Fのスレにもお願いいたします。詰まってます。お手数をおかけしますがご協力、いただけませんか？

>111さん
各種readme.txtをみて、/dataがdrwxrwxrwx system systemにまではなるのですがその後のmkdevshをpushできません。
/data/localのパーミッションがrwxr-x--x root rootでこれ以下のフォルダに書き込む権限がないようです。
何か手順が抜けているのでしょうか？
1.f10d.abで端末データ復元
2.file00〜99まで確認→削除
3.while・・・実行中で別のコマンドでf10d.ab、端末データ復元
4.実行中だったコマンドをCtrl+cでストップ
5.別のコマンドの方でls -l -d /data確認するとdrwxrwxrwx system systemとなっている。
今、ここまでで手詰まりです。

>>139
/data/rootkit/
というフォルダを作って、
そこを作業フォルダにしてました

>>136
すみません、引数のパースがおかしかったので、修正しました。
0x7fffffffになってしまっていたので、もう一度確認お願いできますか？

write_value(0xc0da86d0, 0xc034a924)

と出ると想定どおりです！

>>138
アプデート対応は個人的にはモチベーション低いので、後ほど機会があれば。

>140 111さん仕事中なのにレスありがとうございます。
新たなフォルダを作ったんですね。
自分もやってみます。

>>goroh_kunさん
実行しました！

# /data/rootkit/diagwritevalue 0xc0da86d0 0xc034a924
/data/rootkit/diagwritevalue 0xc0da86d0 0xc034a924
write_value(0xc0da86d0, 0xc034a924)
loop = a922
loop = 170e

その後
# cat /sys/devices/virtual/diag/diag/enable
cat /sys/devices/virtual/diag/diag/enable
/sys/devices/virtual/diag/diag/enable: No such file or directory

# ls /sys/devices/virtual/diag/diag/
ls /sys/devices/virtual/diag/diag/
dev
power
subsystem
uevent

このようになっています

休憩終わって仕事戻りますm(_ _)m

>>142
お待ちしております。なにとぞよろしくお願いいたします。

111さんありがとうございます。
素人なのでようやく一時rootまで行き着きました。
更に進んでいるようなので、自分も勉強として次のステップをやってみます。

>>146
他機種のスレに来てまで要望とは、迷惑ってやつを考えられないのね。

>>111さん

/sys/devices/virtual/diag/diag/enable
がないのですね〜。HTC butterflyはこのディレクトリだったんですが。

どこかしらにあると思うのですが、見つけれないですかね。

adb shell ls -R -l /sys > ls-Rl.txt
とかやってもらって、その結果を検索すれば、diagのenableファイルが
どこにあるか分かると思います。

一応念のため、、

/proc/kallsymsってファイルあったりします？
あるとしたら、こんなにがんばってアドレス探す必要がなくなって、
reset_security_opsのアドレスが見つかるんです。

> adb shell
$ /dev/sh
# cat /proc/kallsyms > /sdcard/kallsyms.txt
# exit
$ exit
> adb pull /sdcard/kallsyms.txt

見たいにして、kallsyms.txtを作成して、中身を確認すれば良いだけなので。

>149
ls-Rl.txtの中をenableで検索するといくつかヒットするのですが
/sys/devices/virtual/android_usb/android0/f_diag/enableが
それなのでしょうか？
違うようでしたら上のアドレスにメールでls-Rl.txtをおくりますが･･･

あと、/proc/kallsymsは無いようですが。

>>151
それっぽいですね。

まず、
cat /sys/devices/virtual/android_usb/android0/f_diag/enable

してもらってまともな値(0とか1とか)が表示されるのを確認後、

diagwritevalue 0xc0da86d0 0xc034a924
した後に、もう一度

cat /sys/devices/virtual/android_usb/android0/f_diag/enable

してもらって、表示がない、または再起動がかかれば当りですね。

いったん私席はずします。
既にカーネル空間の任意のアドレスに任意の値を書くことには
成功してるみたいですね。

diagwritevalue 0xc0da86d0 0xc034a924

第1引数が書き込むアドレス、第2引数が書き込む値です。
この第2引数の16進数を適当に変えて

cat /sys/devices/virtual/android_usb/android0/f_diag/enable

をして再起動させ、mmcblk0p26の中に吐き出されたkernel panicの
スタック＆レジスタのダンプを確認、reset_security_opsや
mmc_blk_issue_rw_rqのアドレスがスタックダンプ内に現れるまで
試行錯誤＆繰り返すという単純作業です。
うまい感じに見つからなかった場合は、recovery側のkallsymsを参考に
どのぐらいずれたかを推測して、再度diagwritevalueで確認します。
基本的にシンボルの出る順番は同じなので。

https://hotfile.com/dl/188766718/6916921/sh02e_recovery_kallsyms.zip.html

手元に端末があればすぐなんですが、今のまま、やり取りしても
時間がかかりすぎなんで、私のほうはいったんこれできりにします。
がんばって探してくださいね。

>152 goroh_kunさん
shell@android:/ $ /dev/sh
/dev/sh
# cat /sys/devices/virtual/android_usb/android0/f_diag/enable
cat /sys/devices/virtual/android_usb/android0/f_diag/enable
/sys/devices/virtual/android_usb/android0/f_diag/enable: invalid length
# /data/rootkit/diagwritevalue 0xc0da86d0 0xc034a924
/data/rootkit/diagwritevalue 0xc0da86d0 0xc034a924
write_value(0xc0da86d0, 0xc034a924)
loop = e8ee
loop = c035
# cat /sys/devices/virtual/android_usb/android0/f_diag/enable
cat /sys/devices/virtual/android_usb/android0/f_diag/enable

で再起動しました。

mmcblk0p26内ですが、テキストエディタなりで確認してもらうと、
以下のようなログが存在するはずです。

http://pastebin.com/3XBh2bGz

<4>[ 174.457500] [<c051550c>] (diagchar_ioctl+0x228/0x938) from [<c02262ac>] (do_vfs_ioctl+0x500/0x57c)
<4>[ 174.457591] [<c02262ac>] (do_vfs_ioctl+0x500/0x57c) from [<c0226374>] (sys_ioctl+0x4c/0x6c)
<4>[ 174.457683] [<c0226374>] (sys_ioctl+0x4c/0x6c) from [<c0106400>] (ret_fast_syscall+0x0/0x30)

こんな感じで、diagchar_ioctlのアドレスが
0xc051550c - 0x228であることが分かります。

先の第二引数を変えると、
diagchar_ioctlが変化していきますので、それで探す、という感じです。
遠隔だと面倒なことが分かりますよね^^;

>>154
はい、想定どおりですね。
その際のmmcblk0p26のダンプを一度いただけますか？
それを解説して、後はお願いする、という形になると思います。

>>156

> その際のmmcblk0p26のダンプ

再起動後に、何かコマンドでkernel.dumpみたいなファイルを抜くと言うことでしょうか？
恥ずかしながら、どのツールでどういうコマンドをどのタイミングで実行するのかわかりません。
再起動後、一連の一時root手順を再度実行して、sh01ddump等を実行するという感じですか？

>>157

> adb shell
$ /dev/sh
# dd if=/dev/block/mmcblk0p26 of=/sdcard/mmcblk0p26.bin bs=512
# exit
$ exit
> adb pull /sdcard//mmcblk0p26.bin

>>157
mmcblk0p26はlogというパーティション名で、
カーネルパニック等問題が起きた際のログが記録されるパーティションです。
なので、カーネルパニック発生後、いつでもよいので（再起動後すぐなら確実)
上記コマンドを実行してもらえれば、ログが残っているはずです。

>>158
横から失礼します。

> adb pull /sdcard//mmcblk0p26.binは
> adb pull /sdcard/mmcblk0p26.binでしょうか？

>>160
typoですね。ですです

goroh_kunさん、mmcblk0p26.binを渡すべく昨日の続きをやっているところなのですが、一時rootがうまくいかない状況です。
/dataのパーミション777にならないorz

もうしばらくお待ちください。

こちらも横から失礼します。

＞adb pull /sdcard/mmcblk0p26.bin
出来ました
どっかにうｐればいいのですかね？

あ、なんか勘違いしてたかもしれんです
もう一回やり直してみます

これでいいのかな？
ttp://kie.nu/I4P

>>165
お疲れ様です。

<4>[ 5400.290950] PC is at 0xfffffffe
<4>[ 5400.290950] LR is at dev_attr_show+0x20/0x48

おやおや、と思って確認したら

<4>[ 5400.291957] R1: 0xc0da8648:
<4>[ 5400.291987] 8648 c0b541f6 000001a4 c04f5afc c04f81c0 c0af18f9 000001a4 c04f5ae0 c04f7994
<4>[ 5400.292018] 8668 c0af1908 00000080 00000000 c04f6bac c0af1917 000001a4 c04f5abc c04f793c
<4>[ 5400.292048] 8688 c0af192a 000001a4 c04f5aa0 c04f78a8 c0af191b 000001a4 c04f5a70 c04f7848
<4>[ 5400.292079] 86a8 c0af1939 000001a4 c04f5a54 c04f77b4 c0af1947 00000080 00000000 c04f6b88
<4>[ 5400.292140] 86c8 c0a80444 00000124 ffffffff 00000000 00000258 00001000 00000002 0000000f
<4>[ 5400.292170] 86e8 000002ee 0000ffff c0b65dfd 00000124 c0193410 00000000 00000000 00000000
<4>[ 5400.292201] 8708 00000000 c0af1d15 c0a74931 c051657c 00000000 00000000 00000000 00000000
<4>[ 5400.292231] 8728 c0a6d192 c0d98d28 00000000 00000000 00000000 00000000 c0444504 00000000

0xc0da86d0の値が0xffffffffになってますね。
さらに確認すると、0xc0da86e0 の値が、0x00000002になってる。
うん。

c0da86e0 delayed_rsp_id
と言ってましたが、
c0da86ec delayed_rsp_id
の間違いですね(-_-
すみません。

お手数ですが、プログラム修正しましたので、再度確認お願いします。

https://docs.google.com/file/d/0B8LDObFOpzZqWXFkaEpZb3VoM0k/edit

# cat /sys/devices/virtual/android_usb/android0/f_diag/enable
cat /sys/devices/virtual/android_usb/android0/f_diag/enable
0
# /data/rootkit/diagwritevalue 0xc0da86d0 0xc034a924
/data/rootkit/diagwritevalue 0xc0da86d0 0xc034a924
write_value(0xc0da86d0, 0xc034a924)
loop = a922
loop = c032
# cat /sys/devices/virtual/android_usb/android0/f_diag/enable
cat /sys/devices/virtual/android_usb/android0/f_diag/enable
/sys/devices/virtual/android_usb/android0/f_diag/enable: invalid length
#

こんな感じです

>>166
ありがとうございます

>> 167
再起動がかからない場合は、
微妙にアドレスをずらして、再起動がかかるところを探さないといけないです。

diagwritevalue 0xc0da86d0 0xc034a924

ではなくて、

diagwritevalue 0xc0da86d0 0xc034a920
cat /sys/devices/virtual/android_usb/android0/f_diag/enable
とか
diagwritevalue 0xc0da86d0 0xc034a91c
cat /sys/devices/virtual/android_usb/android0/f_diag/enable

とかしてみてもらって、再起動がかかった段階で、
mmcblk0p26(logパーティション)のダンプをお願いします。
今やっていることは、シンボル探しなのであちこちアドレス書いてみて、
知りたいシンボルのアドレスを探すという気長な作業ですので..。

>>169
わかりました。やってみます

参戦すべく、明日SH-02Eを買いに行きます。

ところで、しかるべきオフセットをシェル
のfor文でループさせて総当たりのがはやいかな？

logcatしながらだともう少し効率あがりますかね？

すいません、外出してました
酔っぱらいなので今日はこれで失礼します…

>>169の、0xc034a920 0xc034a91c はどちらもダメでした

>>171

取得したいlogがkernelのログなのでlogcatに出てくるか怪しいですね。
さらに取得したいkernelのスタックダンプはkernelパニック＆再起動時に
logパーティションに記録されるので、一回ごとに再起動がかかるんですよね。

>>172
あの、あくまでも
0xc034a920 0xc034a91c

はてきとーなので、いくらでも再起動かかるまで色々試してみてください。

>>174
ありがとうございます、了解です。

「0xc034」の部分は変えなくていいんでしょうか

recoveryイメージのkallsymsがありますので
大体狙うあたりのアドレス付近でよいはず。

https://hotfile.com/dl/188766718/6916921/sh02e_recovery_kallsyms.zip.html

なんかそもそもちゃんと狙った値が書けてるのか不安になりますね。

念のためですが

diagwritevalue 0xc0da86d0 0x12345678
とかやってもらって、
diagwritevalue 0 0
で再起動がかかると思いますので、
その際のスタックダンプを確認させてください^^

0xc0da86d0 にちゃんと0x12345678が書かれてるか確認したいです

ん、今気がついたけど、recoveryイメージとスタックダンプで示される
シンボルのアドレスがデータ領域に限っていうと一致してるな。

少なくても、c0c00000〜c0da86f0の範囲のシンボルはアドレスが
一緒と言えるのか。この領域の値を変更してカーネルのダンプが取れそうな
シンボルを見つけるのが効率的かも

>>173
なるほど。ネットワークダンプかコンソールに流せればいいけど開発機でもないかぎり、だめそうですもんねえ。ご指導ありがとうございます。

kernelダンプする方法を思いついてみたので、試してみてくださいな。

<4>[ 1786.552113] R1: 0xc0da8658:
<4>[ 1786.552143] 8658 c0af18f9 000001a4 c04f5ae0 c04f7994 c0af1908 00000080 00000000 c04f6bac
<4>[ 1786.552265] 8678 c0af1917 000001a4 c04f5abc c04f793c c0af192a 000001a4 c04f5aa0 c04f78a8
<4>[ 1786.552418] 8698 c0af191b 000001a4 c04f5a70 c04f7848 c0af1939 000001a4 c04f5a54 c04f77b4
<4>[ 1786.552540] 86b8 c0af1947 00000080 00000000 c04f6b88 c0a80444 00000124 c04f75d0 00000000
<4>[ 1786.552662] 86d8 00000258 00001000 00000002 0000000f 000002ee 00000004 c0b65dfd 00000124
<4>[ 1786.552815] 86f8 c0193410 00000000 00000000 00000000 00000000 c0af1d15 c0a74931 c051657c
<4>[ 1786.552937] 8718 00000000 00000000 00000000 00000000 c0a6d192 c0d98d28 00000000 00000000
<4>[ 1786.553059] 8738 00000000 00000000 c0444504 00000000 00000000 00000000 00000000 00000000
ここの、
<4>[ 1786.552937] 8718 00000000 00000000 00000000 00000000 c0a6d192*c0d98d28*00000000 00000000

こいつが、version情報の文字列なので
0xc0da872c c0d98d28 "1.0"

# diagwritevalue 0xc0da872c 0xc0da8658
と、実行した後に

$ cat /sys/module/diagchar/version

とやると、指定したアドレスが文字列として表示されるはず。
busyboxが入ってれば、

$ busybox od -t x1 /sys/module/diagchar/version

で、指定したアドレスの内容が見れると思います。
検証できる人いますか〜？

ま〜た間違えてた。^^;

0xc0da8710 c0a74931 "1.0"

<4>[ 1786.552815] 86f8 c0193410 00000000 00000000 00000000 00000000 c0af1d15*c0a74931 c051657c

こっちですね。

# diagwritevalue 0xc0da8710 0xc0da8658

で、
$ cat /sys/module/diagchar/version

ですね

参戦しますので、しばしお待ちを。
ttp://iup.2ch-library.com/i/i0828910-1358235938.jpg
終わったらISW13F。

こう？

# diagwritevalue 0xc0da872c 0xc0da8658
diagwritevalue 0xc0da872c 0xc0da8658
/dev/sh: diagwritevalue: not found
# cat /sys/module/diagchar/version
cat /sys/module/diagchar/version
1.0
# diagwritevalue 0xc0da8710 0xc0da8658
diagwritevalue 0xc0da8710 0xc0da8658
/dev/sh: diagwritevalue: not found
# cat /sys/module/diagchar/version
cat /sys/module/diagchar/version
1.0
#

一時rootF-10d goroh_kunさんの手順について
/dataのパーミション777。
/data/rootkit/mkdevshをつくって、パーミションは777で既に存在。
$ln -s /sys/kernel/uevent_helper /data/rootkitとすると
link failed File existsとエラー（リンク失敗、ファイルが現存？）
となり、手順を進めても#になりません。
何度もやっているので、余計なものが生成されてしまっているのでしょうか？
打開策をご教授ください。

>>goroh_kun さん
興味本位ですみませんが、diagwritevalue のソースを見せて頂けないでしょうか。

breaksuiddiag のソースを何度見直しても、アドレス指定はわかるものの、
値をどこで指定しているのやらさっぱりでして、任意の値を入れ替え可能ならば、
ON/OFF が可能だろうなーと思っているのですが。

誰かサンプルと思って探してたら、このスレにたどり着きました(^^;;

>>183

あの、diagwritevalueが実行できてないと思うのですが。
ファイルが見つからないって、エラーが出てますよね。

>>185

こちらです

http://pastebin.com/a7r4rW79

ON/OFFって何の話ですか？

失礼しました…
こうかな？

# /data/rootkit/diagwritevalue 0xc0da872c 0xc0da8658
/data/rootkit/diagwritevalue 0xc0da872c 0xc0da8658
write_value(0xc0da872c, 0xc0da8658)
loop = 8656
loop = c0d8
# cat /sys/module/diagchar/version
cat /sys/module/diagchar/version
1.0
# /data/rootkit/diagwritevalue 0xc0da8710 0xc0da8658
/data/rootkit/diagwritevalue 0xc0da8710 0xc0da8658
write_value(0xc0da8710, 0xc0da8658)
loop = 8656
loop = c0d8
# cat /sys/module/diagchar/version
cat /sys/module/diagchar/version
ｯﾀ､
#

>>184
ln -s /sys/kernel/uevent_helper /data/local/tmp
と、相対パスじゃなくて、絶対パスでやったかな？
# pwd
/data/local
# ls -al
lrwxrwxrwx shell shell 2013-01-15 22:31 tmp -> /sys/kernel/uevent_helper
#
になってますか？

*実行中の端末のfingerprint
[ro.build.fingerprint]: [DOCOMO/SH02E/SH02E:4.0.4/SC110/01.00.04:user/release-keys]

* mkdevshで/dev/shが導入されるまで（/dataを777にするところ、uevent_helperを771 shell:shellにするのは省略）
# ls -al /sys/kernel/uevent_helper
-rwxrwx--x shell shell 4096 2013-01-15 22:37 uevent_helper
#

shell@android:/data/tools $ pwd
/data/tools
shell@android:/data/tools $ ls -al
-rwxrwxrwx shell shell 648486 2012-09-01 03:47 mkdevsh
ls/mkdevsh" > /sys/kernel/uevent_helper <
/sys/kernel/uevent_helper <
/data/tools/mkdevsh
shell@android:/data/tools $ ls -al /dev/sh
-rwsr-sr-x root root 151964 2013-01-15 22:37 sh
shell@android:/data/tools $ id -a
uid=2000(shell) gid=2000(shell) groups=1003(graphics),1004(input),1007(log),1009(mount),1011(adb),1015(sdcard_rw),3001(net_bt_admin),3002(net_bt),3003(inet),3006(net_bw_stats)
shell@android:/data/tools $ /dev/sh
# id -a
uid=2000(shell) gid=2000(shell) groups=1003(graphics),1004(input),1007(log),1009(mount),1011(adb),1015(sdcard_rw),3001(net_bt_admin),3002(net_bt),3003(inet),3006(net_bw_stats)
#

* breaksuiddiagの準備（adb pushして/data/toolsに送るのは省略）
# pwd
/data/tools
# ls -al
-rwxr-xr-x shell shell 10708 2012-12-29 21:53 breaksuiddiag
-rwxrwxrwx shell shell 648486 2012-09-01 03:47 mkdevsh
#

* logとり
$ while ; : adb wait-for-device logical ; done >> 02e.out
しながら、別ターミナルで、
$ tail -f 02e.out

* breaksuiddiagの実行（リブートしたよ）
# /data/tools/breaksuiddiag
00008000 r-xp /data/tools/breaksuiddiag
0000b000 rw-p /data/tools/breaksuiddiag
019bc000 rw-p [heap]
40070000 r-xp /system/lib/liblog.so
40073000 rw-p /system/lib/liblog.so
40074000 r-xp /system/lib/libc.so
40080b08 : 90 00 2d e9 d5 70 a0 e3 00 00 00 ef 90 00 bd e8 ..-..p..........

* log/recoveryのこのfingerprint verでの位置
# pwd
/dev/block/platform
# ls -al msm_sdcc.1/by-name
…の結果を一部抜粋：

> egrep "recovery|log" aa
lrwxrwxrwx root root 1970-01-01 19:17 calllog -> /dev/block/mmcblk0p28
lrwxrwxrwx root root 1970-01-01 19:17 log -> /dev/block/mmcblk0p26
lrwxrwxrwx root root 1970-01-01 19:17 recovery -> /dev/block/mmcblk0p12

* diagwritevalueの準備（adb pushは省略）
# pwd
/data/tools
# ls -al diagwritevalue
-rwxr-xr-x shell shell 9780 2013-01-15 23:04 diagwritevalue
#

# cat /sys/devices/virtual/android_usb/android0/f_diag/enable
0
#

* diagwritevalueで、最初の（まちがったー、とおっしゃってた）値と、正しい値を書いてみる。
/data/tools/diagwritevalue 0xc0da872c 0xc0da8658
write_value(0xc0da872c, 0xc0da8658)
loop = 8656
loop = c0d8
# /data/tools/busybox od -t x1 /sys/module/diagchar/version
0000000 f9 18 af c0 a4 01 0a
0000007
# cat /sys/module/diagchar/version

# /data/tools/diagwritevalue 0xc0da8710 0xc0da8658
write_value(0xc0da8710, 0xc0da8658)
loop = 8656
loop = c0d8
# /data/tools/busybox od -t x1 /sys/module/diagchar/version
0000000 f9 18 af c0 a4 01 0a
0000007
# cat /sys/module/diagchar/version

#

で、皆さんに追いつきましたか。？

typoってますね、訂正：
* logとり
$ while ; : adb wait-for-device logcat ; done >> 02e.out
しながら、別ターミナルで、
$ tail -f 02e.out

これだと、リブートした時の次のログが繋がってしまうので、
ファイルハンドル適当にリダイレクトして、ループの中で
adb wiat-for-deviceが停止したら、echoで適当に書くように
しておけば、ログ取りはよさげ。

>>191

いい感じにversionの内容が指定したアドレスの内容になってます。
文字列扱いになるので、ヌル文字終端扱いなのですが、

diagwritevalue 0xc0da8710 0xc0da8658
とすると、
0xc0da8658 番地の内容がダンプできてますね。

>>180
のスタックダンプの内容と一致していることが分かります。
<4>[ 1786.552143] 8658 c0af18f9 000001a4 c04f5ae0 c04f7994 c0af1908 00000080 00000000 c04f6bac

0000000 f9 18 af c0 a4 01 0a

なので、あとはシェルスクリプトなり、プログラムなりで

diagwritevalue 0xc0da8710 0xc0da8658
ここのアドレスをずらしながらversionの内容を確認すれば
カーネルのダンプ相当が取得できる、という感じです。

根本がみえてないんですが、
　diagwritevalue 0xc0da86d0 ARGc2
で、ARGc2の値を適宜変更しつつ
c05c83dc mmc_blk_issue_rw_rq　や
c034a924 reset_security_ops　なアドレスが
odで変換した/sys/module/diagchar/version
のなかにみえればいいんでしたけ。

ななめよみですみません。既にご協力頂いているかた、
OK/NGのアドバイスお願い致します。

goroh_kunさん、遅い時間？にありがとうございます。
while true;
do
・16進アドレスをインクリメント
・diagwritevalue で書いてあげる
・/sys/module/diagchar/versionして
・それなりの文字列がでてきたら、break
done
なやつをbusybox経由で流して、一晩放置しとく
という感じですかね。

ありがとうございます。試してみます。

>>195
はい、それでもいけると思いますが、
とりあえずプログラムで指定したアドレス範囲のダンプを取得できるツールを
書いてみますね。

ちょっと別件で作業が遅れました。

diagdumpというツールを作成しました。

(p)https://docs.google.com/file/d/0B8LDObFOpzZqNU9wSHpiSmRyOVU/edit

# ./diagdump 0xc0da8658 0x100 0xc0da8710 /sys/module/diagchar/version | ./busybox od -t x1

とやるとどうなるでしょうか？

>>180
と同じようなダンプ結果が入手できたら成功です

※マルチポストではないです。内容が微妙に違います

>>187
ありがとうございます。
ON/OFF は、bracksuiddiag で変更された内容を元に戻せれば、
とりあえず root 化して、テストしながら、他のアプリなどは通常利用できるかなと。
勘違いしているかもしれませんが。

>>187
ソース読ませていただきました。やはりループの回数が書き込む値となのですね。
breaksuid の直値とは違い少し調整が入っているようですが。

実際、アドレスサーチして diagwriteavlue で書き込みで動作確認後、再度
元の値を指定しましたが、状態は前に戻らないようでした。
もっとも、正しく書き込めたか確認してませんので、帰宅後、再度試してみます。
とりあえずタイムアップ、仕事してきます。

>>189
> >>184
> ln -s /sys/kernel/uevent_helper /data/local/tmp
> と、相対パスじゃなくて、絶対パスでやったかな？
> # pwd
> /data/local
> # ls -al
> lrwxrwxrwx shell shell 2013-01-15 22:31 tmp -> /sys/kernel/uevent_helper
> #
> になってますか？
絶対パスでやってますが、権限がないと言われます。
/data/local/tmpの状態は
-rwxrwx--x shell shell サイズ 日付 tmpで
/localがdrwxrwx--x shell shell サイズ 日付 localです。orz

>>197

横からすみません、
自分の環境でdiagdumpを実行してみたところ、以下のような出力になりました。

pastebin.com/nv0JB1Wy

>>201
想定と違うみたいです。
すみませんが、diagdumpと同梱のdiagwritevalueを使って、ちゃんと
valueの内容が変化するか確認できますでしょうか？

再起動後
# cat /sys/module/diagchar/version
⇒これの結果は
1.0

# ./diagwritevalue 0xc0da8710 0xc0da8658
実行後

# cat /sys/module/diagchar/version
⇒これの結果は崩れた文字列。

>189さんありがとうございました。
一時rootについて、いろいろやっているうちに/data内にへんな
ディレクトリやファイルをつくっていたことに気づき整理した
ことでやっと一時rootできました。
PCと端末エミュレータ両方でいじっていたので、
/data/local/tmpはshell shellではなくて、
app_227 app_227となってます。

お騒がせしました。
diagdumpやってみます。201さんが既にやってますが...

>>202
ご確認いただきありがとうございます。
diagdumpと同梱のdiagwritevalueを使って試してみましたが、自分の環境ではvalueの結果は変わりませんでした。

/data/local/tmp にpush出来なかったため、
適当に
/data/local/test を作業ディレクトリにしていたのですが、
そのあたりも関係しているのでしょうか…。

pastebin.com/8UZD6hAV

>>188 さんのように崩れた文字列にならないですね。。

>>204
どうもアドレスが間違っているか、/dev/diagにちゃんとアクセスできてないか
のどちらかな気がしますね。

一度、

# ./diagwritevalue 0 0

とかやってもらって、再起動後のlogパーティションのスタックダンプ部分を
確認いただけますか？
下記のような部分があると思いますのでpastebinしてもらえたら。

http://pastebin.com/3XBh2bGz

>>205
goroh_kunさん、これでよろしいでしょうか？

http://pastebin.com/UxKYJC8G

>>206

ログ上は動く環境のようなんですが。ちょっと書き込む
アドレスを変えてみたらどうでしょう？

versionのアドレスも間違いないですし、
diagdumpと同梱のdiagwritevalueにて


再起動後
# cat /sys/module/diagchar/version
⇒これの結果は
1.0

# ./diagwritevalue 0xc0da8710 0xc0da8650
実行後

# cat /sys/module/diagchar/version
⇒これの結果は崩れた文字列。

>>207
206です。201さんではないのですが、私の場合
# cat /sys/module/diagchar/version
⇒これの結果は何も表示されない。
# ./diagwritevalue 0xc0da8710 0xc0da8650
実行後
# cat /sys/module/diagchar/version
⇒これの結果は崩れた文字列になります。が、
# ./diagdump 0xc0da8658 0x100 0xc0da8710 /sys/module/diagchar/version | ./busybox od -t x1
をすると
write_value(0xc0da8710, 0xc0da865e)が延々と続きます。(下3桁が増えていかない)
何が原因でしょうか？

>>208
アドレスが増えていかない件に関して修正してみましたので、
再度最新版で確認お願いできますか？

https://docs.google.com/file/d/0B8LDObFOpzZqNU9wSHpiSmRyOVU/edit

宜しくお願いいたします。

>>209
アドレス増えていきました。
以下、結果ですが始めの方で
/dev/sh: ./busybox: not executable: magic 7F45
実行可能なbusyboxが無い？と出ているのが気になるのですが...

http://pastebin.com/zF75U60Y

>>209
busyboxが壊れているみたいですね。再度busyboxを入れなおしてはどうでしょ？

うまくダンプはできてるみたいですが。

早速入れ直してみます。

投稿先間違えました””すみません

>211
亀レスすみません。
busyboxは他のものと入れ替えてみます。　
でアドレスですがc0da8650を16進数でいくつずつぐらい増やして？いって、
「何に」「どんな」結果が出ればいいのでしょうか？
ド素人で申し訳ありませんが、土曜日いろいろやってみたいので、ご教授ください。
goroh_kunさん、よろしくお願いします。

>>214
スタックダンプを確認する方法は気が長すぎるのでいったん保留にしましょう。
ちゃんと動作するのであれば、

# ./diagdump 0xc0da8658 0x100 0xc0da8710 /sys/module/diagchar/version | ./busybox od -t x1

この結果が、
>>180
のスタックダンプ一致するはずです。
これに成功すれば、あとはrecoveryのkallsyms.txtを参考に
https://hotfile.com/dl/188766718/6916921/sh02e_recovery_kallsyms.zip.html


# ./diagdump 0xc0300000 0xa0000 0xc0da8710 /sys/module/diagchar/version > kernel_c0300000-c03a0000.bin

こんな感じで狙う範囲のダンプを取ればよいです。

まずはカーネルのメモリのダンプが取れるかどうか確認お願いします。

107shのほうは、miyabi解除、NANDロック解除まで行けたっぽいです。
同じことをしてもらえれば調べてみます。

>>215
busybox入れ替えたらエラーなくなりました。
215を実行したところ
write_value(0x0da8710, 0xc0320b9c)
write_value(0x0da8710,
で再起動がかかりました。
一応、kernel_c0300000-c03a0000.bin(サイズ:128kb)がとれましたが必要でしょうか？

>>217
ちょっと修正してみましたので、
再度diagdumpを入れてダンプがどこまでできるか確認おねがいできますか？

https://docs.google.com/file/d/0B8LDObFOpzZqNU9wSHpiSmRyOVU/edit

# ./diagdump 0xc0300000 0xa0000 0xc0da8710 /sys/module/diagchar/version > kernel_c0300000-c03a0000.bin

>>218
diagdump入れ替えて実行してみました。
さっきより長めで再起動かかりました。
write_value(0xc0da8710, 0xc034fcca)
write_value(0x
ここで再起動です。
kernel_c0300000-c03a0000.binのサイズは292KBです。

>>218
107shスレをみるとkernel.binのサイズは577KBなので、それと同等ぐらいのファイルが取れないといけないってことですかね。
goroh_kunさん、引き続き支援願います。

goroh_kunさん
292kBですが一応以下に貼り付けておきます。
お手すき時に確認願います。
http://firestorage.jp/download/2581a12ca2a60fa08abe2d7041eaeddd9d601afc

goroh_kunさん
kerneldumpあげ直しましたのでこちらをご確認願います。

http://firestorage.jp/download/74968ffd9bd268500c764068f5fc9d3304859fe3

バイナリーうまくいってなかったのかなぁ？
それにしても107SHスレみてて、自分もPCでバイナリーエディタでdumpした中身みてるけど、どうして目当てのアドレスがわかるのか不思議だ。
あのスキルを身につけたいもんだ。

自分も流れについていきたいけど、いろいろ難儀してる。
とりあえず入口としてどなたかkallsymsprintの使い方を
教えてくれたら、とてもうれしいな。
やった事↓
リカバリ.binからsplit_bootimg.plで分離させたmmcblk0p13.bin-kernel(当方sht21のため)
に対してkallsymsprintを実行したんだけど129さんのように
-------------------------------------------
./kallsymsprint ./mmcblk0p13.bin-kernel
[+]mmap
mem=4019f000 length=0068c0d8 offset=7fe69000
kallsyms_addresses search failed
-------------------------------------------
となって、上手くkallsymsが取得できない。

107shスレのkerneldump.binで試してみても同様に
kallsyms_addresses search failedとなり失敗するので
操作方法が間違っているのは明らかなんだけど、それが何か分からず。
/dev/shで#になった状態ですべてファイルは
/data(777)に突っ込んでkallsymsprintの権限は755です。

ggってもkallsymsprint ImageでOKなはずなんだけど・・・

222にあげているのが正しいのかまだgoroh_kunに判定してもらっていないけど次なるmiyabi解除に向け以下を実行してみた。
./diagdump 0xc0d00000 0xa0000 0xc0da8710 /sys/module/diagchar/version > kernel_c0d00000-c0da0000.bin
やっていることがあってるかわからないけど...
以下は、その結果です。
http://firestorage.jp/download/90afad945116b0aad01fa71f8cd334d224b826ba

>>222
ありがとうございます。

reset_security_ops 0xc034a914

ですね。
なので、

# ./diagwritevalue 0xc0da86f8 0xc034a914
# cat /sys/module/diagchar/version

これでmiyabi解除だと思います。

すみませんが、uevent_helperのバッファが知りたいので

c0190000 〜のダンプをお願いします。

# ./diagdump 0xc0190000 0x60000 0xc0da8710 /sys/module/diagchar/version > kernel_c0190000-c01f0000.bin

※ 上のコマンドでmiyabi解除していた場合、再起動後に実行する必要があります。

goroh_kunさん確認ありがとうございます。
# ./diagwritevalue 0xc0da86f8 0xc034a914
./diagwritevalue 0xc0da86f8 0xc034a914
write_value(0xc0da86f8, 0xc034a914)
# cat /sys/module/diagchar/version
cat /sys/module/diagchar/version
/sys/module/diagchar/version: invalid length
# mount -o rw,remount /system /system
mount -o rw,remount /system /system
#
となって、rootexplorerで/system開くと r/wとなっています。
miyabi解除成功と言って良いでしょうか？

あと、225は誤)miyabi解除→正)NAND解除の誤り＆やってることも間違いorz

引き続き、c0190000からのダンプやります！
goroh_kunさんもう少々お付き合いください。

>>227
./diagdump 0xc0190000 0x60000 0xc0da8710 /sys/module/diagchar/version > kernel_c0190000-c01f0000.bin
10 /sys/module/diagchar/version > kernel_c0190000-c01f0000.bin <
/sys/module/diagchar/version open OK!
write_value(0xc0da8710, 0xc0190000)
write value 0,1,2,3 is not support.. write 4
[1] + Stopped (signal) ./diagdump 0xc0190000 0x60000 0xc0da8710 sys/m
#
となってしまいますが...

>>229
再起動後に確認しましたか？

>>230
大変失礼いたしました。
再起動後、以下を取得しましたのでご確認ください。
http://firestorage.jp/download/47fe85de78715aacc64386bb26f568d6e64fa0d1

>>228

おそらくmiyabi解除は成功してると思います。
あとはNAND解除についてはカーネルモジュールをおこすしか無い
ような気がします。NANDのプロテクトエリアが書き換えできないので

>>232
107shスレの141にgoroh_kunさんが記載している
>NANDプロテクトかかってない版を作って
というのが非常に敷居が高いように思うのですが、何か参考になる機種のスレや何方かのブログ等はありますでしょうか？

>>233
こことかどうかな？
http://www45.atwiki.jp/aquosphonesh12c/pages/29.html?pc_mode=1

>>233
お試しでカーネルモジュール作ってみました。

https://hotfile.com/dl/189751967/be16772/memdev.ko.html

こちらinsmod可能か確認お願いします。
miyabi解除後ですよ〜

>>235
やってることあってるかな？
>adb push memdev.ko /data/rootkit
* daemon not running. starting it now on port 5037 *
* daemon started successfully *
936 KB/s (89879 bytes in 0.093s)

>adb shell
shell@android:/ $ echo /data/rootkit/mkdevsh > /sys/kernel/uevent_helper
echo /data/rootkit/mkdevsh > /sys/kernel/uevent_helper
shell@android:/ $ /dev/sh
/dev/sh
# cd /data/rootkit
cd /data/rootkit
# ./diagwritevalue 0xc0da86f8 0xc034a914
./diagwritevalue 0xc0da86f8 0xc034a914
write_value(0xc0da86f8, 0xc034a914)
# cat /sys/module/diagchar/version
cat /sys/module/diagchar/version
/sys/module/diagchar/version: invalid length
# ./memdev.ko
./memdev.ko
dev/sh: ./memdev.ko: not executable: magic 7F45
# memdev.ko
memdev.ko
dev/sh: memdev.ko: not found
#

追記：memdev.koはchmodで777にした。

>>214

# insmod ./memdev.ko

ですね。

>>237
寝落ちしてましたすみません。m(_　_)m
実行結果、以下のとおりです。
# insmod ./memdev.ko
insmod ./memdev.ko
insmod: init_module './memdev.ko' failed (Exec format error)
#

>>238
エラー発生時にdmesgコマンドを実行してログを確認させて下さい

>>239
昨夜は寝てしまい申し訳ありませんでした。
以下のようなやり方でよかったでしょうか？
>adb shell
shell@android:/ $ /dev/sh
/dev/sh
# cd /data/rootkit
cd /data/rootkit
# ./diagwritevalue 0xc0da86f8 0xc034a914
./diagwritevalue 0xc0da86f8 0xc034a914
write_value(0xc0da86f8, 0xc034a914)
# cat /sys/module/diagchar/version
cat /sys/module/diagchar/version
/sys/module/diagchar/version: invalid length
# insmod ./memdev.ko
insmod ./memdev.ko
insmod: init_module './memdev.ko' failed (Exec format error)
# dmesg > /mnt/sdcard/memdev_error.txt
dmesg > /mnt/sdcard/memdev_error.txt
#

↓以下にtxtをzipしたものをあげました。よろしくお願いします。
http://firestorage.jp/download/353cb0d33b0c79d39d084b8438bc2203d8d8b413

goroh_kunさん見ていただいてるだろうか？
中身見ると数箇所errorが書かれてるなぁ
mmcblk0とmmcblk0p15が出てくるからここら辺に何かあるのかな？
810 <3>[ 9538.398289] EXT4-fs (mmcblk0p15): previous I/O error to superblock detected
811 <4>[ 9538.401830] mmcblk0:1: protect status(2) -30 sector 458752, nr 8, blocks 8
812 <3>[ 9538.401830] end_request: I/O error, dev mmcblk0, sector 458752
813 <3>[ 9538.401860] Buffer I/O error on device mmcblk0p15, logical block 0
814 <4>[ 9538.401860] lost page write due to I/O error on mmcblk0p15
815 <4>[ 9538.401891] mmc_check_protect_blk_end_request (2)
816 <2>[ 9538.402348] EXT4-fs error (device mmcblk0p15): ext4_remount:4322: Abort forced by user

952 <3>[ 9718.347473] EXT4-fs (mmcblk0p15): previous I/O error to superblock detected
953 <4>[ 9718.347595] mmcblk0:1: protect status(2) -30 sector 458752, nr 8, blocks 8
954 <3>[ 9718.347595] end_request: I/O error, dev mmcblk0, sector 458752
955 <3>[ 9718.347595] Buffer I/O error on device mmcblk0p15, logical block 0
956 <4>[ 9718.347625] lost page write due to I/O error on mmcblk0p15
957 <4>[ 9718.347656] mmc_check_protect_blk_end_request (2)
958 <2>[ 9718.348175] EXT4-fs error (device mmcblk0p15): ext4_remount:4322: Abort forced by user

1035<4>[ 9808.296748] error occurred

1095<4>[ 9879.487592] error occurred

1133<3>[ 9919.222004] EXT4-fs (mmcblk0p15): previous I/O error to superblock detected
1134<4>[ 9919.226154] mmcblk0:1: protect status(2) -30 sector 458752, nr 8, blocks 8
1135<3>[ 9919.226154] end_request: I/O error, dev mmcblk0, sector 458752
1136<3>[ 9919.226154] Buffer I/O error on device mmcblk0p15, logical block 0
1137<4>[ 9919.226154] lost page write due to I/O error on mmcblk0p15
1138<4>[ 9919.226215] mmc_check_protect_blk_end_request (2)
1139<2>[ 9919.228871] EXT4-fs error (device mmcblk0p15): ext4_remount:4322: Abort forced by user

1174<6>[ 9957.276757] CFG80211-ERROR) wl_escan_handler : Ignoring IBSS result
1175<6>[ 9957.292384] CFG80211-ERROR) wl_escan_handler : Ignoring IBSS result
1176<6>[ 9957.322629] CFG80211-ERROR) wl_escan_handler : Ignoring IBSS result
1177<6>[ 9957.326231] CFG80211-ERROR) wl_escan_handler : Ignoring IBSS result
1178<6>[ 9957.425666] CFG80211-ERROR) wl_escan_handler : Ignoring IBSS result

1688<4>[10625.299617] error occurred

>>240
ほしいログが入ってないですね。
insmodに失敗した理由が知りたいのですが。

>242
行った手順は上記の内容なのですが、dmesgのタイミングが悪いのでしょうか？
NANDロック解除前ですので、suファイルはまだどこにも仕込んでいませんが、何か関係しますか？

>>243
今やっている作業は、NANDロックとはまったく関係ないです。
純粋にsh02e向けにビルドしたつもりのカーネモジュールがmiyabi解除
した状態でinsmodできるかの確認です。

insmodで失敗する理由が知りたい場合は、insmodして失敗した直後に
dmesgにでてくるログを確認すればよいです。
何かしらメッセージが出ると思いますので。

>>244
もう一度取り直しました。insmod実行結果が出てすぐにdmesg実行したけっかです。
覗いてみましたが、書き出し部分も前回のと違っていたので、役立てば幸いです。
↓以下、確認ください。
http://firestorage.jp/download/651d0ae2b3be0bba3643b26fb4ccd190f29f0c97

ゴロー君がつぶやいてるぞ
ルートキット制作マシンとかなんとか
粗方出きったから後は努力

とりあえず、今まで何をやってきたのか、そしてこれから何をするのかわかる人居る？

>>247

★やったこと
miyabi解除方法まで解析完了。NANDロックのためには別途カーネルモジュールを作成する必要あり

★これからやること
カーネルソースコード入手
カーネルモジュール作成環境整備
何でも良いのでカーネルモジュールをビルド
insmodでカーネルモジュールが入ることを確認
物理メモリをmmapするカーネルモジュールをビルド
参考ソースコード
　http://pastebin.com/wugkzT3U

です。

ところで、NANDロックってそんなに必要なの？
ループバックで上書いて戻してあげるのはだめなの？
いろいろスレにヒントあるけどさ。

>>249
個人的にはそれでようが足りるんで十分だったりしますね。

>>250
コメントありがとうございます。

いまの、この状況なら、NANDロック解除しなくても
bindマウントで十分事足りるので、特にその先
実運用では困らないんですが、NANDロック解除する
コストかけてまで要求する仕様ってなんでしょうね。

なんだろう、希望してる人なにしたいか書いてほしいな。

root必須アプリ（Titanium backup、droidwall、SPモードメール通知、adaway、setcpuとか）を使いたい
ステータスバーのバッテリアイコン、通知アイコンとかを変更したい
いらないプリインアプリを消したい
フォント変えたい（英数字の方も）

です。

カメラのシャッター音を消したいかな。

強いて言えば、CWM-Recoveryが使いたいなぁ
チタとラッキーとロムマネは使えるようになったから…

先週手に入れて今更ながらADB環境整えたが、何か手伝えることはあるのだろうか

>>252
この必須アプリ+シャッター音消せれば充分

ほとんど、特権ユーザ権限のこの状態で可能なものだが、
さらにプラスアルファが必要なものの区別は付きますか？

ここまで出た中ではcwmでロム焼きだけだな

>>258
だよね。ところで、焼くROMってあるの？
そこまで作り込んでるならkernel module
突っ込めて、ごにょれそうだけどな。

フレームワーク系は、やり方次第だけと
思いつかないと厳しいかもね。

ほかは全部LSM解除したいまの状態で
いけるやろ。手間かかるものもあるけど
起動時に一回だけやん？

焼くROMはない。
とりあえず自分のバックアップROMが第一弾ってことなんでは？

root取れてないのに何でroot取った後話してるの?

だいぶ前に一時ルートはとれていた
今回システムに書き込みできるようになった
これはルートとれてると言っていいなじゃないかと
つられて（ｒｙ

一時rootで満足したって事？

一時root化は出来た、
REではdataやsystemがr/wになってはいるけど、root化されてませんと出るし
suやbusyboxインストールは出来ないしチタも使えない
・・・のは俺のやり方が間違っている？

>>264
間違ってはいない。
やることが足りないだけ。
コマンドはいろいろある。
頑張れ！

>>265
ありがとう
「足りない」か

間違っていないと言われてよかった。すごく迷っていたから。
頑張ってみるよありがとう

難しい事をしてたので見守ってたけど
もうrootは取れてるのね、やってみます
できたら次にきた迷える子羊のために手順かくね

>>267
o(^o^)o

>>228の
# ./diagwritevalue 0xc0da86f8 0xc034a914
# cat /sys/module/diagchar/version
# mount -o rw,remount /system /system
をやった後一瞬system書き換えできるんだが、再起動もしてないのにすぐにreadonlyに戻されちゃう
しかも同じ手順やってもmountし直せない
こんな人いる？

su配置したいんだがそれのせいで先に進めない・・・

ルートファイル下さい

>>269
自分は
# ./diagwritevalue 0xc0da86f8 0xc034a914
やった時点で再起動するようになってしまった(ToT)
前は
# cat /sys/module/diagchar/version
までやって、ｺﾞﾆｮｺﾞﾆｮしてsuぶっこみ、superuser,busybox等々インスコ出来たのに…

REに「r/oでマウント」ボタン出たりbusyboxインストーラでrootedと出るけど
suバイナリアップデートも出来なきゃroot必須アプリで「rootとれてないよ」と出る
出来た人、ヒントください〜

特権ユーザーになれることと、LSM解除できることは違うやろ？…

スレ違いの話なんだけど、sht21のメモリダンプを取るとこまでは
goroh_kun氏の過去レスを参考に
./diagdump 0xc03*0000 0xa00000 0xc0e9b814 /sys/module/diagchar/version 0xc0e9b7f0 > /data/kerneldump.bin
で行けた。でも、やっぱりkallsymsprintの使い方が分からないので
kallsyms.txtが取得できなくてreset_security_opsの位置が判らずmiyabi解除不可。
logからret_fast_syscallの位置が0x00000200ほどずれてそうなので、総当りでいつかは
ヒットしそうだけど、ちょっと暇人すぎるので諦めたｗ

>>269
miyabi LSM解除とNANDロック解除は違うよ。mount -o bindで別に/system/binをリンク
するか、kmemでsystemの文字列を変えてNANDロック無効にするか、カーネルダンプ
からkallsyms.txt取得してロック箇所の当たりをつけて逆アセなりで正確な位置を
見つけてロック解除だろうね。

>>271
要はreset_security_opsをonすればいいんだから、それがversionを利用しようが、cd_iInterfaceを利用
しようが、他のなにか(uevent_helperとか)を利用しようがOKだと思う。なので
./diagwritevalue 0xc0da86d0 0xc034a914 0xc0da86ec
cat /sys/devices/virtual/android_usb/android0/*/cd_iInterface
とかで試してみたら？ もし無理なら、reset_security_opsが以前とずれているかもなので、改めて
カーネルダンプからkallsymsprint→kallsyms.txtでreset_security_opsの位置を割り出せばいい。
まぁ自分は、そのkallsymsprintが使え無いんだけどｗ

kmemで全メモリに一括変換かましたら、特定の文字列にhitして位置が割り出せないかな。
いや、その前のmiyabi解除・・・トライ＆エラーって正しいことをしないと
試しても失敗するって意味だよね。正道はkallsymsだろうって判ってるんだけどなぁorz

ごろーくんたすけて

./diagwritevalueを実行すると再起動するようになってしまった。(ToT)
先週までmiyabi解除出来てたのにー

miyabi解除して
# mount -o rw,remount /system /system
してもエラー出て(NAND解除出来てないからしょうがない)ルートエクスプローラで/はroだけど、
# mount -o rw,remount -t rootfs rootfs /
ってすると、ルートエクスプローラで/がrwになる。
これが特権rootってやつかいな？

>>275
意味不明、やること真上にかいてあるじゃん。

>>277
違います。

tetheredなrootを回避するにはsystem権限を持つ何かを
入れておいてそれ経由でuevent_helperからshを作る
作業が必要になるけど、それ以外はbindマウントで
うまくいきますよね。無理にNANDロック解除する
強い理由が私の場合にはないかな。

方策を考えてくれたgoroh_kunに感謝しつつ
system権限で動く何かを探します。

>>277
特権rootって意味が重箱になってる気がするけど、たぶん
suでroot権限をもつシェルが使えるって意味だと思うよ。

で、今回の場合だとNANDロックは普通 /systemを固めてるだけなので
/そのものはrwでリマウントできる。
だから /sbinとかにsuを送り込めば、だいたいのrootアプリは使えるはず。
--------------------------------
mount -o rw,remount -t rootfs rootfs /
の後
chmod 777 /sbin
cat /data/su > /sbin/su
chown root.root /sbin/su
chmod 6755 /sbin/su
--------------------------------
こんな感じでOK。
再起動すれば元に戻るけど、ﾁﾀでバックアップとかは＋Superuser.apkで
いけるんじゃないかな？ 自分はZETA持ってないから検証できないけど。

ああ、mount -o bind使えるんだった。/sbin/suはいらん小細工だったね。

mount -o bind使って
xbinをマウントしてみたけどインストールできんかった…

間違えてsh-12cの所に書いちゃった…
他機種で使えるか試してみたいんだけど
クリップディスプレイ設定のAPKって誰か抽出UP出来ないかねぇ

アストロで抽出できたよ。まだ他機種にいれたことないけど。

まだっすか！

なんか2つクリップディスプレイ届いた

アストロは一時ROOTでかな
自分はネットの知り合いから物をもらっただけで、SH-02E自体を持ってる人が
近場に居ないのです

281は出来る。チタも使える。
282は出来ない。
あと、274も書いてるけど、kallsymsprintも出来ない。

んーー　週末だけの勉強じゃ追っ付かないなー

mmcblk0p11がboot
mmcblk0p12がrecovery
mmcblk0p26がlog
ここら辺をダンプ？して.binの中身を解析？(バイナリエディタでみてもチンプンカンプン)すれば……
いや、kernelをダンプと書いてたな。

そもそも,ダンプしてもバイナリのままじゃ中身わかんないから、JAVA？に変換して(どーやって変換？デコンパイル？)みれんのかな？

んー　やっぱ勉強、勉強！

build.propの書き換えってNAND解除が必要？local.propは読み込んでくれないみたいだし・・・

# mount -o bind,suid /data/local/xbin /system/xbin
については問題なく出来たのですが、
シャッター音の方が、適当な空のディレクトリ作って、
# mkdir /data/local/hoge
# mount -o bind /data/local/hoge /system/media/audio/ui
とかやってみてもシャッター音が無音にならないなぁ…

shell@android:/data/local # ls -l /system/media/audio/ui/
shell@android:/data/local # mount | test/busybox grep media
/dev/block/platform/msm_sdcc.1/by-name/userdata /system/media/audio/ui ext4 rw,nosuid,nodev,relatime,user_xattr,barrier=1,journal_async_commit,data=ordered,noauto_da_alloc,discard 0 0

標準カメラのapk内にシャッター音が埋め込まれてるのかな？と思って、
別のカメラアプリをインストールして試してみてもやっぱり普通にシャッター音がしちゃいました。
ここはbind mountだとダメなんでしょうかねー

あーーーーー/dev/shもできなくなった！寝る！！！！

つ　ドットつき名前

>>291
つ　ドットつき名前をさがせ！

いずれもLOFSで書戻してあげても
そのまま、本物書き換えてもおけ。
ただし、どちらも再起動で元に戻るよ。
ならば、安全なbindのほうがいいかな。

>>294
ありがとうございます、
隠しディレクトリになってたんですね…

無事たどり着きました、感謝です！

今のところでは、一時rootで、systemマウント出来る？

情報お願いします。

スレ読めば。

>>296
嫁。

向こうには書いたけどsystem権限の何かとは
あれなので、いれておけば端末のみでbindマウント
可能なところまでたどり着けるはず。

こんなところでまとめはいいですか？皆の衆。

>>289
kallmemは週末また参戦するから、今しばし
お待ちを。皆でproofしながらじゃないと
なかなか進まないよね。

チタもdroidwallも使えるようになりました
adawayは再起動するから今は無理か
スレのみなさまありがとう。

>>299
向こう？？どこかにまとめていただいたのですか？

>>302
つ　ISW13F

>>295
ほいさ、よかったね。

こちらはSH初めてだったのでなかなか探しきれなくて
あせっただよ。

大体のことは現状でクリアされてるから、あとは
皆で協力しながらだねー。

mount -o rw,remount rootfs rootfs /して
/sbinにsuを入れて、マーケットからSuperuser3.1.3インストールすると、RootExplorerが不安定になって、再起動することが多いんだけど、みんなはmiyabi解除までやって、その後何やってる？

手順をまとめる事出来る？
まとめを作ろうかと思ってるんだけど

>>306
なぜ人にまとめさせる？自分でやりなさいな。

>>306
任せた！

>>306
よろしく。

まとめたところで知識ないとできないからいらないだろ

root化なんてしなくても普通に使える機種なんだから安易なroot化まとめとか不要だろ。
黒板消し量産するぞ。

需要あるからスレがあるんだろ
あほは引っ込め

うん

まとめたところで、文鎮しました連発じゃ
情けないからいらないでしょ？

できる人はもう終わってるからこのスレも
静か。まとめ作って敷居下げてまでやることじゃ
ないよな。

まとめたいけど誰か書いて、という
こと自体がコミットせずに他力本願。

これ希望してる人は、まさか、
バッチ一発欲しいから、じゃないよな。

>>314
方法確立されたと思ってるの？あんたが上手く行ってるとしてもたまたまだよ。持ってすらいなさそうだがな？
単純にまだまとめるレベルじゃないんだよ。

このスレ読めばできるんだから
まとめとかいらんと思うがな

スレ読んでわからんなら手出しすべきじゃない段階だろ

何でもそんなに非協力的なの？
纏めれば皆同じ段階になるんだから情報を共有出来るってメリットは大きいと思うけど。
文鎮についてはこのスレ見てる時点でリスクは理解してるだろ

×何でも
○何で

だよな
自分だって人の手を借りなきゃ出来なかった癖にな

批判するやつは持ってすらいないだろw

なんでそんなに協力を求めるの？
まとめ作りたかったら勝手に作ればいいじゃん

ここに書いてあることが全てだからまとめなんて魚拓してテンプレにアドレス貼っときゃ十分だろう。

>>315
富士通機のスレにわざわざコピペしに来てた
かまってな人？もしや、ワンクリック待ちだった？
そりゃすまん。

274な人が書いてくれてることを粛々とやるだけだよ。

ところで、なにをまとめて欲しいのかな？
協力するので、なにをまとめて欲しいか
書いてください。

>>323
煽るなよ

>>324
纏めて欲しいのか、、しなくていいのか
はっきりしなさい、、ということですよ。
あなた。

>>325
俺に聞かないでよwwwwwwwwww

>>317
いま求められてるのは、右も左もわからない奴を
100人作ることではなく、わかってとがってる人を
何人か作ること。そして、そういう人たちは
スレをみれば何をする必要があって、次に何を
求められているかわかってるので、まとめはいらない。

皆一律横並びがいいのは、ゆとり学校の中だけだよ。

248に書いてある。

> miyabi解除方法まで解析完了。NANDロックのためには別途カーネルモジュールを作成する必要あり

> ★これからやること
> カーネルソースコード入手
→シャープの公開しているオープンソースじゃダメなの？

> カーネルモジュール作成環境整備
> 何でも良いのでカーネルモジュールをビルド
> insmodでカーネルモジュールが入ることを確認
> 物理メモリをmmapするカーネルモジュールをビルド
→自分はまだスキルが無いので勉強中。

> 参考ソースコード
> 　http://pastebin.com/wugkzT3U
→フムフム。

という事で、まとめよりもその後のnandlock解除に向けて、情報交換しましょうよ。

ちなみに自分はオープンソースを解凍して、膨大なファイルからnandで検索してヒットしたファイルを覗いているけど、アホだからよくわからん orz
引き続き勉強中。

>>382
最終的にはそこなのかもしれないけど、
/systemいじるだけなら、もっと泥臭いやり方でいける気がするよ。

goroh_kun氏は、たぶん意図的に107shスレとここのスレを一緒にしているんだろうけど
そもそも「nandのプロテクト領域がkernelのテキスト領域にある」ってのが
検証され切ってない(報告1名のみ、せっかくのmmc_protect_part情報をみんな流してる)。

まぁ実機持ってなくて物理的なことはスレ民が検証しろよ、って相手してたら
思いのほか非協力的だったのか、みんな本当に流れを分かってなかったのか
（ここの122、132の意味が分かってないとつらいかも）効率が悪くて、彼の駆け足に
スレ民が置いてけぼりを食らった感じだったけどね。
で、彼は必要なカーネルシンボルとそれをスイッチする方法を示してくれた訳だけど
このZETAスレに限っていえば、まだ情報がたりなくて(mmc_protect_partの位置等
NANDロックのデータのアドレスの事)、皆ただ積まれたダンプの山に頭抱えてるわけだよ。

みんな本当にスタックダンプからシンボルを得る方法が分からないんだなぁと思う。
(129はんが、もっと127はんに粘れば良かったんやｗ)
それで、現状で充分だよ派と、現状に追いつきたいけどチンプンカンプンだから
分かってる奴は義務として教えろよ派と最後までイきたいけど地図が読めないよ派
がいる（もしかしたら、地図は読めるけどタコに絡まれたくない派もいる）。

希望通りまとめたぞ(ﾄﾞﾔ
でも自分も実機はsht21のみなので「持ってすらいない」部類だｗ

>>305
/sbinにsuを入れたら、ちゃんと
-----------------------
chmod 755 /sbin
mount -o ro,remount -t rootfs rootfs /
-----------------------
としなよ、rwのままじゃ気持ちわるいでしょ。

>>329
> せっかくのmmc_protect_part情報をみんな流してる)。
> みんな本当にスタックダンプからシンボルを得る方法が分からないんだなぁと思う。

自分はこの部類。
バイナリエディタで覗いてもどーやって探せばいいかわかってない。
329、ヒントもらえないだろうか。
何か変換とかして探せるのか？
それとも……

>>329
安価ぐらいちゃんと付けようよ

>>331
これ以上のまとめはもうないだろ！最上だよ。
プリンシパルな人の言葉プラス何が残ってるか
書いてある。

もしかして、ワンクリック待ち？
だったら)ry

>>332ワンクリック好きだよね

root取って注意も聞き入れずにframework-res.apkとSystemUI.apk弄ってアプデでロゴループさせるやつが出そう。
ロゴループから復旧できる方法が確立するまではまとめもワンクリックもしない方が無駄な犠牲を出さずに済むと思う。

flashtoolみたいなのは作れんもんかね

ワンクリックで行けたわー

良かったねー

miyabi解除後
suはisw16shroot.zip内の約17kBのものを採用

# mount -o rw,remount -t rootfs rootfs /
# chmod 777 /dev
# chmod 777 /sbin
# exit
$ exit
> adb push su /dev
> adb push su /sbin
> adb push busybox /dev
> adb push busybox /sbin
> adb shell
$ /dev/sh
# chown 0.0 /dev/su
# chown 0.0 /sbin/su
# chown 0.0 /dev/busybox
# chown 0.0 /sbin/busybox
# chmod 6755 /dev/su
# chmod 6755 /sbin/su
# chmod 755 /dev/busybox
# chmod 755 /sbin/busybox
# chmod 755 /dev
# chmod 755 /sbin
# mount -o ro,remount -t rootfs rootfs /
# exit
$ su
#
Superuser,BusyBoxPro,TitaniumBackup OK
RomManager NG
う〜ん

まずてきとうに数値を変えてみればいいんじゃないかな

>>338みたいな# mount -o rw,remount -t rootfs rootfs /
# chmod 777 /dev
# chmod 777 /sbin
# exit
$ exit
> adb push su /dev
> adb push su /sbin
> adb push busybox /dev
> adb push busybox /sbin
> adb shell
$ /dev/sh
# chown 0.0 /dev/su
# chown 0.0 /sbin/su
# chown 0.0 /dev/busybox
# chown 0.0 /sbin/busybox
# chmod 6755 /dev/su
# chmod 6755 /sbin/su
# chmod 755 /dev/busybox
# chmod 755 /sbin/busybox
# chmod 755 /dev
# chmod 755 /sbin
# mount -o ro,remount -t rootfs rootfs /
# exit
$ su
#
ってどうやってるの？

adb androidで検索してみな

他機種にクリップディスプレイ使えるかどうかの検証は無理ぽいか…
というかシステムに組み込まれてたら使えるわけ無いか

環境は整えたからまずはMiyabi解除をやればいいかな？

誰かはよルートかよろしくだよ
広告消せないんだが
シャープユーザー頑張って

>>344
つ FilterProxy, AppNetBlocer

アプリとして通信権限必須ならたいていプロキシ対応してる

>>344
だから、できてるってば。
ワンクリ）ryまちなひと？

>>344
だからできてるってば。
もしや、ワンク）ry待ちな人？

出たよまたワンクリ大好きちゃん

お前の事だよID:VhyWPZGF

？

神よ！

神は死んだ
この世界には神は居ない

ワンクリじゃないと出来ないから
ワンクリ化作って下さい お願いします(´∀｀*)ﾉｼ

待っててー
もうちょいで出来そーだから。
今、検証中！

>>353
マジで作ってんの？
やるなー

あーあ

ワンクリで文鎮量産か…

メシウマだな

かみよはやくー！

44万台文鎮化計画

ワンクリ頼みます・・・

早く検証してー

作ってない（作れない）から安心しろよ

>>362
作ってないかもしれんが
作れる人だぞごろーくん
あほですか？

>>353が作るとか言ってるけど
ほんとは作ってないし作れないだろって意味じゃね

ごろーくんに対して「作れないだろ」と言ったわけではない
と思うのだが。

みんなイラついてきたな

>>365
お前のIDすごいな

こーゆーのって、製造元からのリークではないの？
rootが簡単に取れるようになれば、
更にこの端末の売れ行きが良くなる気がするし

>>367
それより、馬鹿がサポートに持ち込む手間の方がデメリットだろう

root取って弄らないとまともに使えすらしない機種では無いからなぁ…

ごろーくんはもう協力してくれないんじゃなかった？

>>370
協力しないんではなくて、他の方の情報待ちみたいな感じです〜。
system書き換えに関しては、できる人はもうやってるみたいですね。

>>371
ゴローさんはcm10.1とかparanoidをドコモの端末に移植させたりしないんですか？

ごろーさんに情報流してくだされ

goroh kunにnexus4とかの海外端末の中身弄ってプラスエリア対応してもらうようにして欲しいです。そういうのは興味ないのかな？

>>373
流したいけど何を流せば良いのかわからない(T_T)

覚えてる限りではinsmodした後のログ
dmesgだとタイミングはずしてたみたいなので
別コンソールで
cat /proc/kmsg
でログとりながら実行した方がいいかも

そういうのは直接おねがいします
http://techon.nikkeibp.co.jp/article/SEMINAR/20121221/257815/

>>374
そういうのは直接おねがいします
http://techon.nikkeibp.co.jp/article/SEMINAR/20121221/257815/

消灯時間10分にしてるんだけど、勝手に2分になってることがある…
一時rootしたのが関係してるとは思えないのだが。同じ現象の人いる？
アプリのどれかが原因かな

>>379
無関係だと思うならスレチだろks
情弱がrootいじっちゃダメなことがわかったんなら初期化しろ

root取得が原因だとは思えないけど
もしかしたら同じ現象の人いるかも？と聞きたかっただけだよ
なんでそんなにカッカしてるの？

糞みたいな質問してるからだろ

はやくしてよ
広告ぅざい

>>383
なにを？

>>383
お前がうざい

>>383
自分で何もできないくせに
何言ってんだこいつ？
消えろや このカスが

この人たち、ISW13Fのスレにいちいち来てた人たち？
もうカメラも無音だし、広告も消せてるし、必要なら
/systemにも書けるし、これ以上何しろと(･ω･)

>>387
ISW13Fでってこと？

>>386
はいはいブーメラン、ブーメラン

>>387
上見てないの？
ごろーくんに情報流してね

ここは自分独りじゃ何も出来ないくせに偉そうに言う人が多いスレですね

同じ奴が何度も偉そうにしてるだけかも知れないけど

f05d_root_kit_v012で/dev/sh作れるし>>226でmiyabi解除できるから止まっちゃったんじゃないかなぁ

ゴローくん助けて

>>391
/dev/shが意味わからなくて前に進めなかったんだ(´・ω・`)
ありがとう

>>392
どの部分を助ければいい？書いてください。

現状は一時rootとmiyabi解除は完了
NANDロックはまだ

とりあえずあとやるべきことは
＞nandのプロテクト領域がkernelのテキスト領域にあって、
これが本当なのかどうか確かめるためにmmc_protect_partのアドレスを解析する

本当なら
＞kernel/drivers/mmc/card/blockのドライバのNANDプロテクトかかってない版
を作成するってことかな

カーネルモジュールのビルドの方法がよくわからん

端末側でmkdevshができるなら起動時にbind出来るのかな？

出来ませぬ。

このスレの内容についていけるように、ｌｉｎｕｘを勉強したいんですが、
おすすめの書籍等あったら御教授ください。m(__)m

スレチどころかイタチ

今は再起動の度にUSB接続してmkdevshしないといけないの？

今のところshellユーザにしかmkdevsh実行できないから常用rootは不可かな

そもそもモジュールのロードが出来ない・・
誰かinsmod成功した人は居られるだろうか

ホントにスレ止まったなｗ
まあroot化するメリットあんまりないから仕方ないといえば仕方ないかもしれないが

paranoidandroid移植してみるか

成功したら有料会員制にするわ

簡単なツールができればroot取りたいがコマンド打ってまでは… という人がほとんどだからだろう

/dev/sh作成まではツールがある
その他もこのスレ内にあるコマンドコピペするだけだからそんなに大変じゃないけどなぁ
/data/local/tmpの権限使ってやるからUSB接続必須だけど・・・

#!/system/bin/sh

/data/tools/diagwritevalue 0xc0da86f8 0xc034a914
cat /sys/module/diagchar/version
mount | /data/tools/busybox grep system
mount -o remount,rw /system /system
mount | /data/tools/busybox grep system

これだけでしょうに。

>>407
diagwritevalueは#じゃないとダメじゃね？

コマンドを打てる状態にするまでがめんどうなんじゃない？

>407
GJ サンキュー！
/systemのマウントがずっと出来なかったんだが、あんたのおかげで出来たよ！
早速、/system/binにbusyboxとsuぶっ込んだ。

framework.apk関係とsystemUI関係抜き取れたんで、バッテリー100%表示とかいろいろ弄ってみる！
http://i.imgur.com/FXX86kq.png
http://i.imgur.com/mxkzhHA.png

f-10d.ab使うやつで/data/data/com.android.settings/aが存在しない言われたり、>>118ので再起動かからないしで進まねぇ
なんでやろ。

>>410
adb環境があれば/systemのマウントってできるのでしょうか...?

>>411
開発者向けオプションのPCバックアップパスワードを設定してないとか
あとはdiagwritevalueをpushしたりbusyboxをpushしたりして>>226でmiyabi解除してsu配置
ただしNANDロックはまだ解除されてないので再起動の度にUSB接続しないといけないけども

>>413
バックアップパスワードの存在を忘れてた。
設定してたの入力したら成功したわ。マジサンクス！

/dev/shの作成はできたのですが
diagwritevalueをpushするときにCドライブ直下にdiagwritevalueを配置して
adb push C:\diagwritevalue /data/local/tmp
とやっても
failed to copy 'C:\diagwritevalue' to '/data/local/tmp' : No such file or directory
となるのですが、どなたか原因わかる方いますか・・？

すみません自己解決しました。
お騒がせしてすみません。

迷える子羊（自分もだけど）のためのまとめ
まずf05d_root_kit_v012を使って/dev/shを作る

次に>>135を参考に
https://docs.google.com/file/d/0B8LDObFOpzZqWXFkaEpZb3VoM0k/edit
こちらをダウンロード後、
> adb push diagwritevalue /data/local/tmp
> adb shell chmod 755 /data/local/tmp/diagwritevalue
> adb shell
$ /dev/sh
# /data/local/tmp/diagwritevalue 0xc0da86d0 0xc034a924
自分は/data/local/tmpに入れることができなかったので/data/rootkitに差し替えしました。

次に>>226,>>228を参考に
# ./diagwritevalue 0xc0da86f8 0xc034a914
# cat /sys/module/diagchar/version
# mount -o rw,remount /system /system
これでmiyabi解除

あとは>>338を参考に！
たぶん無駄なこともしてるかもしれないけど、こんなところです。

build.propを書き換えてro.camera.sound.forced=0にしてもカメラ音が無音にならない..
/system/media/.sharp_audio/uiの音声データを無音データに差し替えようとしてもダメだった

やってることがそもそも間違っているのだろうか

>>417
カメラのapkを弄ってみるとか？

apk の再構築練習に　P-01Dカメラ無音化 apktools を使用
http://blogs.yahoo.co.jp/quena_jp/23881092.html

めんどくさいなぁ、もう。ほらよ。

#!/system/bin/sh

mount -o bind,suid /data/xbin /system/xbin
mount | /data/tools/busybox grep xbin
mount -o bind,suid /data/media /system/media/.sharp_audio/ui
mount | /data/tools/busybox grep sharp_audio

どこで何しなきゃいけないかは自分でかんがえれ。

そういえば、たすけてーとか叫んでた奴は
他人にcontributeしてくれよ。

suコマンドも使えてるしカメラの音も消えてるし、
これ以上何しろと。

まじめに書くと、特権ユーザーになれた人は
領域ダンプして、上の人のようにがんがれ。

>>417
mkdir /data/rootkit/nosounds
mount -o bind /data/rootkit/nosounds /system/media/.sharp_audio/ui
でカメラのシャッター含めてその他無音になる

リロってなかったわ・・・
>>419
もう領域ダンプじゃなくてカーネルモジュール作成の段階じゃない？
ビルド方法がよくわからないのか現状で満足してるのか報告止まってるけども

皆優しすぎわろた・・(´；ω；｀)
おかげさまで無音になりました！
ありがとう！

カメラを無音にしたい人たちの為のまとめ
まずsu、busybox,diagwritevalueは全てCドライブ直下に配置する
そのあと上記のツールで/dev/shを作成してから

> adb push C:\diagwritevalue /data/rootkit
> adb shell chmod 755 /data/rootkit/diagwritevalue
> adb shell
$ /dev/sh
# cd /data/rootkit
# /data/rootkit/diagwritevalue 0xc0da86d0 0xc034a924

�@
# ./diagwritevalue 0xc0da86f8 0xc034a914
# cat /sys/module/diagchar/version
もしくは
�A
# ./diagwritevalue 0xc0da86d0 0xc034a914 0xc0da86ec
# cat /sys/devices/virtual/android_usb/android0/*/cd_iInterface
�@をやると自分の端末だとusb抜いた時に再起動しちゃうので�Aにしました

# mount -o rw,remount /system /system

# mount -o rw,remount -t rootfs rootfs /
# chmod 777 /dev
# chmod 777 /sbin
# exit
$ exit
> adb push C:\su /dev
> adb push C:\su /sbin
> adb push C:\busybox /dev
> adb push C:\busybox /sbin
> adb shell
$ /dev/sh
# chown 0.0 /dev/su
# chown 0.0 /sbin/su
# chown 0.0 /dev/busybox
# chown 0.0 /sbin/busybox
# chmod 6755 /dev/su
# chmod 6755 /sbin/su
# chmod 755 /dev/busybox
# chmod 755 /sbin/busybox
# chmod 755 /dev
# chmod 755 /sbin
# mount -o ro,remount -t rootfs rootfs /
# exit
$ su
#

mkdir /data/rootkit/nosounds
mount -o bind /data/rootkit/nosounds /system/media/.sharp_audio/ui

こんなところかな
間違ってたらじゃんじゃん指摘しちゃってください

/etcに
〜post〜.sh
とか
〜boot〜.sh
とかある？

>>424
init.qcom.post_boot.sh
ってファイルがある

おかげでカメラ無音、一時ルートはバッチファイル作ってで簡単に出来るようになりました

F-05D ICS root kit ver.0.1.2に書き足して.sh書いてbat化してみたんだけど需要あります？
確実に馬鹿なことして文鎮にしてここで文句言うやつでてきそうなんで迷ってる

セーフモードがあるからある程度は安全じゃないか？
もちろん文鎮化させたことないから詳しくはわからんけど
まあ変なことするような人はBATでも敬遠するんじゃないかなｗ

>>427
sage書く場所間違えてるけど大丈夫？
ソースも付けて一緒にあげてもらえると助かる。
再起動後にいちいちコマンドコピペするのも面倒くさいし。

>>429
最近規制でずっとROM専だったからうっかりしました。

書き足したといってもbatにコマンド追加して.sh二つほど書いただけですがそれでよければ
なおほんとにそれしかないのでファイル等は自分で収集願います。
一応動作確認はしてますが何があっても知りません。
あと　>>423　を参考にしてるのですが�@と�A両方実行しないとなぜか動かなかったので両方書いてます
適宜編集してください

www1.axfc.net/uploader/so/2801631?key=zip

>>430
乙
diagwritevalueとかchxxx.shの存在チェック入れておいた方がよかったかも？

>>431
確かにそうですね

気になる人は
echo 実行環境をチェックします。
pause
の後らへんに
if not exist diagxxx.sh goto error1
if not exist chxxx.sh goto error1
if not exist diagwritevalue goto error1

を追加してください。

ちなみにこれらのファイル　一度一時ROOTに成功した端末でしかテストしていないので何らかの不具合がある可能性は十二分にあります
くれぐれも自己責任でお願いします。DSに持ち込んでも修理してくれない可能性が高いです。
解析してくれた方々に迷惑をかけぬようここで文鎮化した等の質問は控えてください。
私はAndoroidに詳しくないので一切助言できません。
このファイルは先人方の功績を再rootしやすいようまとめただけです。

>>430
よくよく考えたら両方実行しないと動きませんでした(´・ω・`)
適当なこと書いちゃってすみません

>>423を参考に無音に成功しましたが再起動すると
全部元に戻ってる？

>>434
元に戻りますよ

常用rootにはカーネルモジュールの作成が必須みたいだなぁ

作成出来る人がこのスレに居るのか？

いないからごろうくん頼み

できてるよ。目の前のスマホだけ使ったって
できるよ。

試しにmemdev.koをビルドしてみたけどやっぱりExec format errorだわ
しかもdmesgにも出てこない
なんか根本から間違ってるのかなぁ

# insmod /data/rootkit/memdev.ko
insmod /data/rootkit/memdev.ko
insmod: init_module '/data/rootkit/memdev.ko' failed (Exec format error)
# dmesg | grep memdev
dmesg | grep memdev
sh: grep: not found
write: Broken pipe

arm-eabi-gcc
/data/local/tmp/busybox grep

>>441
oh...
grep修正した後のコマンドにするのを忘れていた
まあ結局乗ってなかったわけだけど
arm-eabi-gcc？

この機種は、ルート取っても
ワンセグ録画できる?
出来なくなる機種あるんだけど。

>>443
とりあえず一時rootとった段階では録画可能

>>442
dmesgの結果は「error occured」とだけしか出ない
arm-eabi-gccはクロスコンパイラのことだが、それを使っても同じ結果だった

だめもとで
ADB_TRACE=1 adb 〜でやってみるとか

systemフォルダ内にある.koをinsmodしても同じくエラーになるので、単純にはinsmod出来ないのかな？

一時rootだと音消ししても再起動すると元に戻るのが残念ですなあ

なんかNANDロック解除はもうずっと進展がないなｗ
カーネルモジュールのinsmodが出来ないってのは何かほかのプロテクトが影響してるのかな・・・

書き込み可にしてinsmodのバイナリー置き換えてみるとか・・

>>450
見てみました。
アレですね、insmodする際に利用可能なモジュールのハッシュ一覧が
ヘッダファイルに存在するのですが、
登録されていないので、そもそもinsmodされた時点で
コンパイラの最適化でエラーが出るようになってますね。

/kernel/include/sharp/sh_kmod_hash.h
のkmod_sha256_hash。

ということはinsmodでどうにかする案は駄目ですね。
他の案もあるにはありますが、systemを書き換えない方法優先の方が
よいでしょうね。現状を見た感じ。

起動時に自動的にsystem権限が取れるようなパッチがあればよいのですよね。
ちょっと見てみますね。

すみませんが、どなたか /data/system/packages.xmlをいただけませんか？
メール goroh.kun＠gmailです〜。

>>453
先ほど添付いたしました。

大変お手数ですが、よろしくお願いいたします。

packages.xmlということはVpnFakerのようなものを仕込むわけか

vpnfakerがシステム権限だから入れとけば
テザードじゃなく、一人でできるもん状態
になる。

ついに神が舞い降りた

>>444
サンキュー

453,454の後、どーなったのかねぇ??

以前、MIYABI解除後、>407のコマンドを端末エミュかconnectbotで打てばsystemマウント出来たのに、今は出来なくなってしまったんだが、他にsystemマウントする方法ある？

最初からやり直す

>451,>452,>453ってgoroh_kunじゃないんじゃない？
誰か勝手に書き込んでる気がする…

何を根拠に

>>462
んでんでんで？
何が言いたいの？(´・ω・｀)

>>452‐453の流れがあったのに、続報がない！はやく永久rootのやり方教えれ！
まだ何も出てこないってことは、ごろーくんではなかったのだ！

・・・って言いたいんじゃね？

トリップはゴローくんのだから他人だとしたらトリップ解析されたってことになる。
忙しいか頑張ってくれているのでしょう。

アプデきた

一日中部屋に閉じこもって定職にもついてないような輩には、人間の普通の生活というものを想像できないんだろう。

アプデしても一時root,MIYABI解除までは出来るか誰か確認してー
俺はせんけど

>>469
問題なかった！

>>469
Miyabi解除のためのアドレスを調べないといけないのですぐには無理じゃないかな

goroh_kunがGoogleドキュメントにあげてるファイルのいくつかがウイルス認定されて落とせなくなってるな
いつからだろう？

結局アプデしてアドレス変わらんかったの？

当然変わってる
一時rootはそのまま可能だが
自分で探すにも、kallsymsprintもdiagwritevalueもdiagdumpもできないな

再起動させて（つまり一時rootからノーマルに戻して）からアプデした

一時root取れなくなりましたん

f-10d.abの穴が塞がれたってこと？
これはもうrootは無理か

>>476
/dev/shは一時rootじゃないぞ

アドレス変わったからってすぐ上に書いてあるやん…

どうやったらアドレスわかる？

SH-01Dではカーネル領域がmmap出来る穴がふさがれたみたいだからこっちも穴ふさがれてるのかな？

kallsymsprintが上手くいけばアップデートして検証してもいいんだけど、なぜかうちの環境だとうまくいかない・・・

kallsymsprintの実行って
kallsymsprint image
でいいんじゃないの？

mmcblk0p12から抜き出したイメージをsplit_bootimg.plにかけて、
でてきたkernel imageをkallsymsprint imageする　で良いはずなんだけど

kallsyms_addresses search failed となってうまくいかないんだよね

機種によってアドレス変えてビルドしないといけないのか？

>453はどーなったん？？？

>453
ここはXperia Zとちゃうんやからはよ！

社会ゴミ、くれくれ君が喚くと、ごろうくんの都合の中で優先順位が低くなると知れ！

ごろーくんから反応がないから実は送ってないとかじゃない？

自分でできなきゃ、金払うつもりがさらさらない以上、おとなしく待つしかない。

>>487
ごれーばっかり頼ってないでさ、自分たちでやれよーってかんじー。

どうやったら出来る？なにをすればいい？

ごろうくんに実機送ってもいいんだけど。

2/28のソフトウェア更新をして、/dev/shでroot取得→MIYABI解除まで出来た人いますか？
いましたら、/diagwritevalue 0x0da86f8 0xc034a914のアドレスを何に変えたか教えてください。

diagwritevalueの再ビルドが必要なのでまだできないんじゃないか？

まずdiagwritevalueをビルドするためにはdelayed_rsp_idのアドレスがわからないといけない
だからkallsymsprintを実行しないといけないんだが、なぜかエラーになるんだよなぁ

エラーになる原因は検討つきますか

わかってたら苦労しないと思うが

なんかZ用のツールで他機種もroot取れるらしいんだけど誰かやってみた？

ICSでも使えるのかな？

MIYABIは解除できないでしょ

>>499
スレをよく読んでから書け。できたという報告がないのはNANDロック解除。

よく読んでからとか余計な一言を。。。
単に間違えただけじゃないの？なんで上から目線なんだか。直してあげたらそれでいいじゃん

500が責められる意味がわからん

Z用のが使えるってどこから

>>502
アスペ乙

できたという報告がないのはNANDロック解除だよ
って書けばいいんじゃない

>>504
ID変えて自演すんなよ

>>500
最新ビルドじゃなくて旧ビルドのことか？
旧ビルドなら別にZ用のツール使う必要ないと思うけど・・・

>>506阿呆だなぁ

>>508
阿呆に阿呆と言われるとは思ってなかっただろうな

ミス
思ってなかっただ
予測変換だめだな

不覚にもビルド番号01.00.05にアプデしてもうた。
/dev/sh→#はいけるが、MIYABI解除のところで
shell@android:/data/local.org/tmp $ ./diagwritevalue 0x0da86f8 0xc034a914
./diagwritevalue 0x0da86f8 0xc034a914
write_value(0xda86f8, 0xc034a914)
fd=-1fd=-1shell@android:/data/local.org/tmp $
ってエラーがかえってきて出来てないっぽい。
やっぱ、アドレス変わったんだね。
どーやってアドレス探せばいいんだろ？
diagdumpってのをやるのかな？わかる人いますかー

自動更新オフにしてあったはずなのに俺もアップデートされてたわ

>>492-494とレスもあるし、いまは行き詰まり状態か

だけどkallsymsprintが成功してる人もいるんだよな
何が違うんだろうか

breaksuiddiagで再起動がかからなくなってるわ

dev/sh
# /data/rootkit/breaksuiddiag
/data/rootkit/breaksuiddiag
00008000 r-xp /data/rootkit/breaksuiddiag
0000b000 rw-p /data/rootkit/breaksuiddiag
015af000 rw-p [heap]
400c5000 r-xp /system/lib/liblog.so
400c8000 rw-p /system/lib/liblog.so
400c9000 r-xp /system/lib/libc.so
400d5b08 : 90 00 2d e9 d5 70 a0 e3 00 00 00 ef 90 00 bd e8 ..-..p..........
/dev/diag fd=3 ptr=0000
ptr=400d5b0c
400d5b08 : 90 00 2d e9 d5 70 a0 e3 00 00 00 ef 90 00 bd e8 ..-..p..........

Logが取れないのでそれ以外の方法でdelayed_rsp_idのアドレスを調べないといけないのかなぁ
もうお手上げだわ
とりあえず最新のビルドに上げないように注意だな

お疲れさんです

ちんぷんかんぷんなので役には立てないんだけども。
やっぱりアプデしない方が正解だったな

goroh_kunもバージョンアップ対応はしないみたいだし、最新でmiyabi解除は厳しいかな
まあroot化しなくても問題ないような機種だからいいけどもｗ

>>518
>goroh_kunもバージョンアップ対応はしないみたい

まじですか・・・
Z買うしかないか(´・ω・`)

>>515
これを見ると、suid の破壊操作ができてないのですね。

HTC もこのパターンで、uevent_buffer に getroot を突っ込んで
書き換えられるようにしたようなことが書いてあったから、こっちも
uevent_buffer address を探すしか…どうやって?

uevent_helper_bufferのアドレスを調べるにはdiagdumpを実行しないといけないわけで、結局delayed_rsp_idが必要になる
どうすればいいのかさっぱりだ

>>515
俺もだ。中身はなんか違うけど．．．
shell@android:/ $ /dev/sh
/dev/sh
# /data/rootkit/breaksuiddiag
/data/rootkit/breaksuiddiag
00008000 r-xp /data/rootkit/breaksuiddiag
0000b000 rw-p /data/rootkit/breaksuiddiag
0188b000 rw-p [heap]
4003b000 r--s /dev/__properties__ (deleted)
4009b000 r-xp /system/lib/liblog.so
4009e000 rw-p /system/lib/liblog.so
400a3000 r-xp /system/lib/libstdc++.so
400a4000 rw-p /system/lib/libstdc++.so
400da000 r-xp /system/lib/libc.so
400e6b08 : 90 00 2d e9 d5 70 a0 e3 00 00 00 ef 90 00 bd e8 ..-..p..........
/dev/diag fd=3 ptr=0000
ptr=400e6b0c
400e6b08 : 90 00 2d e9 d5 70 a0 e3 00 00 00 ef 90 00 bd e8 ..-..p..........
#

breaksuiddiag使わずにカーネルパニック起こせばいいのかな？
とにかくlogにdelayed_rsp_idのアドレスが表示されればいいんだろうし
まあアドレスが表記されるカーネルパニックの起こし方はわからんが

最新バージョンでdiagchar_core.cに修正が入ってるので今までの手段ではMIYABI解除不可能な模様
残念だ

おお、diagchar_coreにパッチがあたったんですね。見てみよう。

おおっ、ごろーくんさん！
おはようございます
よろしくお願いします

>>525
よろしくお願いします

>>525
ゴローくんがまた冷やかしに来られた。

/dev/diagの対策パッチあたってるのまでは確認しました。
今いろいろ掛け持ち中なので、優先度が低めになってます..。

忘れ去られていないだけでもありがたいっす

もはやAndroidのセキュリティアナリストレベルだなｗ
ご苦労様です

少しでも進展があるだけいいね兄弟機(´･ω･`)

専用スレたてて上にかかれてる奴を試していこうかな

2chMate 0.8.4.3 dev/SHARP/SBM203SH/4.1.2

goroh_kunのように、自力でroot化道を探れるようになるためには
なにから勉強し始めたらいいんでしょうか

>>529
>優先度が低めになってます..。

orz　どんくらい？

せめて、ビルド01.00.05のreset_security_opsのアドレスとNANDunlockのアドレスなどヒントだけでも先にくれないだらろうか…………

いや、アドレスだけわかってもdiagwritevalueが使えなくなったから意味がないんじゃないか

>>534
それを調べるのに手間がかかるんだよ
催促はやめて気長に待て

/dev/diagの脆弱性はふさがっているので、
diagwritevalueが使えないとなると、別の方法を探さないといけないですね。
ちょっとツールおこすので、お待ちください。

ありがとうございます〜

別の穴見つけるの早いよｗ

今夜、山が動くかな？

ゴローくん来たら起こして

　 ＜⌒／ヽ-､_＿_
／＜_/＿＿＿＿／

ちなみにsh-02eはこれでカーネルパニック起きますかね？

パスは機種名(小文字、ハイフンあり)

http://www1.axfc.net/uploader/so/2836018

パラメータには読み出したい関数のアドレスを指定なんだけど、
たぶん普通にやったらカーネルパニックが出るはず。

>>542
ゴローくん来てたので起きました。
以下は、acdbpanic実行後のdmesgですが．．．
http://pastebin.com/Umz66W1y

>>542
mmcblk0p26.binの方でしたでしょうか？
以下にacdbpanic実行後
dd if=/dev/block/mmcblk0p26 of=/sdcard/mmcblk0p26.bin bs=512
した結果を貼りました。
http://firestorage.jp/download/300f505ae579667a9576193b4e4af6a4b8c8969e

root権限で実行しないと駄目ですよ。あと端末が再起動してくれないと、この脆弱性が使えないって事になります

どんなアドレス指定して実行すればよいのかな
アドレス指定せずに起動したら引数判定で弾かれて終了
再起動はしませんでした

$ dev/sh
dev/sh
# /data/rootkit/acdbpanic
/data/rootkit/acdbpanic
/data/rootkit/acdbpanic func_address
#

適当にアドレス入れてみてもやっぱり再起動はせずです
# /data/rootkit/acdbpanic c0da86ec
/data/rootkit/acdbpanic c0da86ec
/dev/msm_acdb open OK!
ret = 0
#

>>545
root権限…
>>546と同様に
/dev/sh
#
後に実施した結果だったのですが、再起動はしませんでした。

#!/system/bin/shなどやるのでしょうか？素人ですみません。ヒントください(o_ _)o

脆だとすると弱性が無いのかも。別の端末は有効なんですけどね。パラメータはとりあえず0で良いです

パラメータを0にしてやってみましたが、残念ながら再起動せずでした

$ dev/sh
dev/sh
# /data/rootkit/acdbpanic 0
/data/rootkit/acdbpanic 0
/dev/msm_acdb open OK!
ret = 0
#

まあ、一応スタックがずれている可能性を考えて別のテストプログラムをおこしました。

http://www1.axfc.net/uploader/so/2837005

# acdbpanic 0
# acdbpanic 100
# acdbpanic 1000

とかやって、カーネルパニック起こさないか確認お願いします。
パニックおこしたら、mmcblk0p26のダンプをください

>>550
引数0では落ちないけど100だと落ちました
# /data/rootkit/acdbpanic 100
/data/rootkit/acdbpanic 100
/dev/msm_acdb open OK!

再起動したら破損したSDって言われてSDフォーマットを要求されたけど・・・
PCの方では読み込めるみたいだから復旧できるかな・・・

mmcblk0p26
パスは機種名(小文字、ハイフンあり)
ttp://www1.axfc.net/uploader/so/2837356

>>551
ありがとうございます。
使えそうですね。
他で検証した端末とスタックがずれてました。
コンパイラのバージョン違いのせいかな。
ちなみに、カーネルのダンプって取れてるんでしたっけ？

<1>[657810.608041] Unable to handle kernel paging request at virtual address abaaa9a8
<1>[657810.608071] pgd = d7368000
<1>[657810.608102] [abaaa9a8] *pgd=00000000
<0>[657810.608194] Internal error: Oops: 80000005 [#1] PREEMPT SMP
<4>[657810.608224] Modules linked in:
<4>[657810.608285] CPU: 0 Tainted: G W (3.0.21-perf #1)
<4>[657810.608316] PC is at 0xabaaa9a8
<4>[657810.608377] LR is at acdb_ioctl+0x754/0x878
<4>[657810.608438] pc : [<abaaa9a8>] lr : [<c013a004>] psr: 60000013
<4>[657810.608438] sp : dabf1f28 ip : 00000000 fp : 00000000
<4>[657810.608499] r10: 00000000 r9 : a7a6a5a4 r8 : a3a2a1a0
<4>[657810.608529] r7 : 9f9e9d9c r6 : 9b9a9998 r5 : 97969594 r4 : 93929190
<4>[657810.608590] r3 : 00000000 r2 : dabf1e64 r1 : c0a6fd51 r0 : 00000000
<4>[657810.608651] Flags: nZCv IRQs on FIQs on Mode SVC_32 ISA ARM Segment user
<4>[657810.608712] Control: 10c5787d Table: 9776806a DAC: 00000015
<4>[657810.608743]

>>552
カーネルダンプはうまくとれていなかったような。

recoveryイメージのことですか？ >カーネルダンプ

>>551
すみません、すみませんがgmailに一度ご連絡いただけますか？
goroh.kun＠じーめーるです

>>551
よろしく！

551のmmcblk0p26のビルド番号が01.00.03なのが気になった。

>>555
ビルド番号：01.00.05だと再起動なりません。
C:\Documents and Settings\xxxxxx>adb shell
* daemon not running. starting it now on port 5037 *
* daemon started successfully *
shell@android:/ $ /dev/sh
/dev/sh
# /data/rootkit/acdbpanic 100
/data/rootkit/acdbpanic 100
/dev/msm_acdb open OK!
ret = 0
# /data/rootkit/acdbpanic 1000
/data/rootkit/acdbpanic 1000
/dev/msm_acdb open OK!
ret = 0
# /data/rootkit/acdbpanic 10000
/data/rootkit/acdbpanic 10000
/dev/msm_acdb open OK!
ret = 0
# /data/rootkit/acdbpanic 100000
/data/rootkit/acdbpanic 100000
/dev/msm_acdb open OK!
ret = 0
#

>>557,558
一応端末のビルド番号は01.00.05です

↑間違えてました。
acdbpanic古いやつ使ってました。
新しいのでやったら「100」で再起動しました。
555の内容とちょっと違うようです。
再起動後、一時rootの手順を踏んで、
# dd if=/dev/block/mmcblk0p26 > /mnt/sdcard/mmcblk0p26
した結果の一部です。
<1>[11834.866807] Unable to handle kernel paging request at virtual address ffffffff
<1>[11834.866838] pgd = d03f0000
<1>[11834.866838] [ffffffff] *pgd=9fdfc821, *pte=00000000, *ppte=00000000
<0>[11834.866838] Internal error: Oops: 17 [#1] PREEMPT SMP
<4>[11834.866868] Modules linked in:
<4>[11834.866868] CPU: 1 Tainted: G W (3.0.21-perf #1)
<4>[11834.866899] PC is at strnlen+0x18/0x34
<4>[11834.866899] LR is at string+0x34/0xd0
<4>[11834.866929] pc : [<c03815ec>] lr : [<c0382f50>] psr: a0000013
<4>[11834.866929] sp : d5dc9ea0 ip : d5dc9f10 fp : d5dc9ed0
<4>[11834.866929] r10: d2f2e000 r9 : 00000002 r8 : 0000ffff
<4>[11834.866960] r7 : ffffffff r6 : 00000000 r5 : ffffffff r4 : d2f2e000
<4>[11834.866960] r3 : 00000001 r2 : 00000000 r1 : ffffffff r0 : ffffffff
<4>[11834.866990] Flags: NzCv IRQs on FIQs on Mode SVC_32 ISA ARM Segment user
<4>[11834.866990] Control: 10c5787d Table: 907f006a DAC: 00000015
<4>[11834.867021]
<4>[11834.867021] PC: 0xc038156c:

早とちり、すみません。

551さんから
とりあえずいただいた情報を元にツールおしてみました。

acdbwritevalue
http://www1.axfc.net/uploader/so/2838523

acdbwritevalue address value
見たいな感じで好きなアドレスに好きな値を書き込みます。
たとえば、uevent_helperのアドレスは

0xC0A64B9Bでしたので、

# ./acdbwritevalue 0xC0A64B9B 0x00313131
と実行した後、

# cat /sys/kernel/uevent_helper

とすると、
111
が結果として帰ってくれば成功となります。
それ以外の結果がくる場合、再起動がかかる場合は想定と違います..

まずは確認宜しくお願いします。

>>559
そうでしたか。すみません。
mmcblk0p26の中身を見せて頂いたら、冒頭数行目に
PANCX121212214927
MODEL_NAME:SH02E
BUILD_ID:SB140
BUILD_NUMBER:01.00.03
とあったもので…

だとしたら、自分の内容と違うんで、また、とちっちゃったかな。

出しゃばるのやめときます。
559よろしく！

>>561
あら？
うｐされたファイルが>>550のファイルになってるようなきがします

>>563
再度upしますね

http://www1.axfc.net/uploader/so/2838558

うーん再起動しちゃいますねぇ・・・
とりあえず再起動後のlogパーティションも入れておきます

$ dev/sh
dev/sh
# /data/rootkit/acdbwritevalue 0xC0A64B9B 0x00313131
/data/rootkit/acdbwritevalue 0xC0A64B9B 0x00313131
address=c0a64b9b value=313131
再起動

mmcblk0p26
パスは機種名(小文字、ハイフンあり)
ttp://www1.axfc.net/uploader/so/2838594

>>565

プログラム自体は動いてて、ただ単にアドレスが間違ってるだけかも

uevent_helperのバッファは

0xC0D88F30

でした。

# ./acdbwritevalue 0xC0D88F30 0x00313131

でどうでしょ？

うまくいってれば、

default_security_ops 0xC0D86E30
security_ops 0xC0EEAF28

なので、
# ./acdbwritevalue 0xC0EEAF28 0xC0D86E30

でmiyabi解除ですね

>>567
うまく解除できたようです。
ありがとうございました。

これってSH-01Dには了解できないのでしょうか！？

>>567
早速1.00.05にアップデートしてmiyabi解除してみました。
http://i.imgur.com/MqYcnyb.png
http://i.imgur.com/8vwXKsT.png

su,busybox導入、カメラの無音化までできました。

一応カメラ無音化までのまとめ
/dev/sh作成後　goroh_kun氏のacdbwritevalue.su.buxyboxをCドライブ直下に配置して

adb push C:\acdbwritevalue /data/rootkit
adb shell chmod 755 /data/rootkit/acdbwritevalue
adb shell
/dev/sh
cd /data/rootkit
/data/rootkit/acdbwritevalue 0xC0EEAF28 0xC0D86E30

./acdbwritevalue 0xC0EEAF28 0xC0D86E30

mount -o rw,remount /system /system

mount -o rw,remount -t rootfs rootfs /
chmod 777 /dev
chmod 777 /sbin
exit
exit
adb push C:\su /dev
adb push C:\su /sbin
adb push C:\busybox /dev
adb push C:\busybox /sbin
adb shell
/dev/sh
chown 0.0 /dev/su
chown 0.0 /sbin/su
chown 0.0 /dev/busybox
chown 0.0 /sbin/busybox
chmod 6755 /dev/su
chmod 6755 /sbin/su
chmod 755 /dev/busybox
chmod 755 /sbin/busybox
chmod 755 /dev
chmod 755 /sbin
mount -o ro,remount -t rootfs rootfs /
exit
su

mkdir /data/rootkit/nosounds
mount -o bind /data/rootkit/nosounds /system/media/.sharp_audio/ui

ごろーくんさんありがとうございます

今回もNANDunlockは無しでしょうか？

再起動しても、miyabi解除状態が維持出来る方法があれば教えてください。

前回はここで終わったけど後はモジュールの作成だけど出来る人居るのかな…

何人か居る

CWM-Recoveryを何とか導入できませんか？

1.00.05にUPしたら/dev/shが作成すら出来なくなった
suも使えなくなったけど、みんなどうして動いてるんだorz

>>574,575
正規じゃないカーネルモジュールはinsmodが出来ないようになっているのでカーネルモジュール作成は意味がないみたい
どうにかsystem権限で動くアプリを入れてそれからmkdevshする方向に進んでいたはず

ttp://qua1ia.blogspot.jp/2012/09/icssony-tabletroot.html
ここ参考にして入れればいいかな
もしくはただshを実行するだけのapk作った方が良いのだろうか
androidアプリ作れないから作れる人に任せるか・・・

何回か再起動→root繰り返しているうちにチタがrootedじゃないからってエラー出るようになってしまった(ToT)
suやbusyboxはチタ使えてた時と同じように配置してるし……
チタ起動時に「/data/bin/suを実行した結果です」みたいなメッセージが出る。

解決策エスパー出来る方いませんかー

皆さんの使っているsuとbusyboxを教えてください。
ちなみに自分は
isw16root.zip内のsu(18kBぐらい)と
F10D_root_0830.zip内の(1.03MB)を使っています。
これらを
/data/bin
/dev
/sbin
に配置しているのですが。

goroh_kunさんまだいらしゃいますか？
SH-01Dもアップデートで対策されてしまったようで・・
もう一度どうにかなりませんでしょうか？

思い出ぽろぽろ

誤爆ごめん

www1.axfc.net/uploader/so/2840773
前回同様まとめて見ました
注意事項等は前回同様で
一応更新後で確認しましたが保障しません

>>582
SH-01DはOMAP4ですよね。この方法は使えないですね。

>585
必要なものをできる限りまとめていただけると大変うれしいです。
前回のまとめも見当たりませんし。

>>586
NANDunlockを是非ともお願いしたい。

>>588
ツールはおこす優先度低めですが、やり方だけ。

メモリ書き換えを利用すると、
/dev/msm_acdbのmmapで、任意のアドレスにmmapできるようになります。
kallsymsなりで、acdb_dataのアドレスを調べてもらえば

acdb_data+0x2e0がpaddr(物理アドレス)
acdb_data+0x2f0がmem_len(メモリのサイズ)

です。こちらを書き換えた後、/dev/msm_acd経由でmmapすれば、
カーネルのメモリー範囲をmmapできます。
あとは、nandロックのメモリを直書き換えなのでmmap利用する系の
他のツールのソースコードを流用可能なはず。

ちなみに、最新版のsh-02eだと
acdb_dataは

0xc0e746b8

のようです。
なので、
$ cat /proc/iomem
で、調べたカーネルcodeの領域をmmapすればよいです。

# ./acdbwritevalue 0xc0e74998 0x80000000
# ./acdbwritevalue 0xc0e749a8 0x01000000
# ./acdbnandunlock

見たいな感じ

スレチすみません

>>586
実はやってみたんですが、おっしゃる通りダメでした
何か他に手はないでしょうか
なんでもやりますが

acdbnandunlock とはどこあたりで配布してますか

>>591
ちょっと分からないですね。
他の脆弱性を見つけるしかないんじゃないですかね。

>>592
やり方は書きましたんでわかる方が
自作してください。
私のほうでツールを作る予定今のところないです。

>>593
レスありがとうございます

俺が手出しできるレベルではないんで正座して待つことにします

>>593
そうですか〜
欲しい機種が出るまでもうちょっと遊びたいなぁと思ったんですが

>>593
sh01ddump.zip内のmain.cをベースに作る感じでいいでしょうか？

>>590
80300000-80e78913 : Kernel text
の領域をmmap出来るようにしてmmc_protect_partの中身を書き換えるわけか

/dataのパーミッション確認で
drwxrwx--x　となるのは何が原因でしょうか？

>>596
>>597

ですです。
こちらは実機を持った人がやらないと何が起きるか分かりませんので
あとはお願いします〜。

(1)
/dev/boot_daemon_drv
を/dev/msm_acdbに変更

(2)
unsigned long addr = 0x10000000;
unsigned long range = 0x90000000;
unsigned long vaddr = 0xffff0000;
unsigned long kaddr = 0x90010000;
unsigned long ksize = 0x00a00000;
を
unsigned long addr = 0x10000000;
unsigned long range = 0x01000000;
unsigned long vaddr = 0;
unsigned long kaddr = 0x10000000;
unsigned long ksize = 0x01000000;
へ。
あとは、該当メモリをダンプして探す感じですね。

sh01ddump改造してmiyabi解除までは出来たが、NAND解除がよくわからなくなったわ・・・

NAND解除はsh01ddumpじゃなくてsh01d_unlockに参考になるプログラムあったわ

static const struct mmc_protect_inf mmc_protect_part[] = {
{ 2, MMC_PROTECT_WRITE},
{ 3,MMC_PROTECT_READ | MMC_PROTECT_WRITE},
{ 4,MMC_PROTECT_READ | MMC_PROTECT_WRITE},
{ 5,MMC_PROTECT_READ | MMC_PROTECT_WRITE},
{ 6, MMC_PROTECT_WRITE},
{ 7,MMC_PROTECT_READ | MMC_PROTECT_WRITE},
{ 8, MMC_PROTECT_WRITE},
{ 9,MMC_PROTECT_READ | MMC_PROTECT_WRITE},
{10,MMC_PROTECT_READ | MMC_PROTECT_WRITE},
{11,MMC_PROTECT_READ | MMC_PROTECT_WRITE},
{12, MMC_PROTECT_WRITE},
{13, MMC_PROTECT_WRITE},
{15, MMC_PROTECT_WRITE},
};

なので、メモリで言うと
00000002 00000002
00000003 00000003
00000004 00000003
00000005 00000003
00000006 00000002
..

のようなメモリパターンがあるはずです。

sh02eunlock[パスは機種名]
ttp://www1.axfc.net/uploader/so/2843570

引数なしでkernelダンプ
引数0でmiyabiとnand解除
こんな感じで
./acdbwritevalue 0xc0e74998 0x80200000
./acdbwritevalue 0xc0e749a8 0x01000000
./sh02edump 0

>>603
sh02edumpはsh02eunlockのことだよな?
とりあえずnandunlock確認した

>>603
乙乙！
こちらもNANDunlock出来たようです。
rootexplorerで/systemのところで、rw roのボタンが使えるようになった。

何かつぎはぎの手順でやってるからなのか、「問題が発生したため、設定を終了します。」ってエラーがよく出る。

1./dataのパーミション777にする
2./dev/shを使えるようにする
3.miyabi解除する
4./devと/sbinにsuとbusyboxを送り込む
5.603のsh02eunlockを実行
って手順踏んだんだけど、何かスマートじゃないような？？

titaniumも/data/bin/suを実行した結果ダメ！と言われるし……

一回初期化すっかな。

adawayとSPモードメール通知はまだ使えないですかねえ

>>606
adawayは動作確認した
というか全部できるんじゃないか

>>604
コマンド修正忘れてたｗ
./sh02eunlock 0
でおｋ

>>607
そうなん？
俺のやり方が違ってるだけか
できるんならやってみるよ
ありがとう！

>>605
titaniumは/system/data/bin/suを実行した結果じゃないのか？
以前そんなメッセージだった気がするけど・・・

>>610
レスありがと
/system/binにsuを突っ込んだら、正常にきどうした。ε-(´∀｀*)ﾎｯ

lackypatcherでカスタムパッチもOK!

SystemUI.apk弄ろうと思うけど、再起動したら、やっぱ、また手順踏むんだよね。

再起動してもNANDunlock維持するにはどうすればいいのかわかりますか？
(install-recovery.sh　かな？)

そういうのは一回置き換えちゃえばunrootになっても関係ないのでは？
なんかアップデートきたときはもとのやつにもどさなきやいけないだろうけど

SystemUI.apk差し替え、SystemUI.odex削除して再起動したら、ステータス
バーもソフトキーも消えてしまった（ToT)
adb接続し直して、元のSystemUI.apkとSystemUI.odexに戻して再起動したん
だが状況は戻らず。

参った。ソフトキーが無いんで操作が限定されてどうにもならん。
adbはかろうじて接続できるが、/dev/shが効く」ところまで行かないんで
/system/app内を弄れなくなった。まずい...

>>613
セーフモードで起動したらどうか

>>614
セーフモードで起動してもダメなんです。｡ﾟ(ﾟ´Д｀ﾟ)ﾟ｡

ぶんちーん

>>615
nput keyeventとか使ってadbから初期化出来るかな？

>>603
ありがとうございます、こちらの環境でもNANDロック解除できました。

>>615
systemuiいじったくらいでそんなことになるのかね？
パーミッションは？
俺がSH-01Dで同じことやらかしたときはそれで元に戻ったけど

>>611
すみません。
/system/binにsuをどうやって入れたのか教えて頂けないでしょうか？

>>620
rootexplorerで/system/binのパーミション777にして、/data/rootkit(自分の場合)に置いてたsuをコピーして、/system/binに貼り付けしただけだよ。

>>619
そーなんだよね。
元のファイルに戻してるんだから、なぜ、ステータスバー無し、ソフトキー無しだけ維持されてるのかわからん？？

電源は入るし、ホーム画面までは再起動すれば何度でもいくので…

Button Savior入れればどう？
根本的な解決ではないけど。

dalvik cacheの削除とかは?

>>613
何かシステム上必要なファイルを誤って消したのだろう。
作業前と作業後何が変わっているかチェックしてみな。
作業前の状態を記録してない、ということは「ありえない」

>>621
もしパーミッションが原因なら元のファイルに戻してもパーミッション変更してなければ同じことになると思うけど・・・

自分もSystemUI.apkを差し替えてSystemUI.odexを削除して再起動したらステータスバーとソフトキーが消えちゃいました

ただ自分の場合元のSystemUI.apkとSystemUI.odexに戻して再起動したら元に戻りました
でも色々試しても何故かステータスバーとソフトキーが消えてしまう…

昨日、SystemUIの件でお騒がせしたものですが、元に戻す際、SystemUI.odex.bakとリネームしたものを、System.odexとリネームし直してました(ToT)

adb接続で何とか復活させました。

ただ、626さんも難儀しているようなので、他に変更しなければならない
ファイルがあるのかもしれませんね。

皆さんもお気をつけて！

NAND unlockできたみたいですね。どなたかbootイメージを
あげておいてもらえると助かります〜

>>624
# ls -l >logfile
程度も“まったく”理解できない人間が手を出してないだろうな…

>>628
ご協力ありがとうございました

これでいいかな？
パスは機種名
ttp://www1.axfc.net/uploader/so/2846084

どうすりゃいいんだ

>>628
次なる一手は何？
カスROMやCWMリカバリにつながるのでしょうか？

Xperia Zみたいに盛り上がりたいorz

ゴローくんだからといって興味本位はやめてね！

自分が持ってない端末のroot化手伝うなんて興味本位以外の何物でもないと思うが

goroh_kunがカスタムカーネルとかカスロム作るってのは聞いたことないし
予備知識としてboot.imgばらして中身見ておくってくらい？メモリいじりとは
違うからへたがへたうちゃ文鎮出来上がりなので、この先はわかる人が
自己責任

> ゴローくんだからといって興味本位はやめてね！

？？？？？？

ゆとり教育の悲劇

>>632
何言ってるのこの子・・
誰か翻訳して(´・ω・｀)

>>632
どうぞ、Xperia Zをご愛用ください。はい、さようなら。

権限いじったりしてて戻すのを忘れたまま再起動してしまってUnable to chmod /data/localに…
オールリセットしたら/data以下も初期化してくれるんだろうか

>>639
俺もうっかり近いことやっちゃって/data/local以降がいじれなくなったけど
オールリセットで元に戻ったよ。多分大丈夫だと思う。

>>640
ありがとう、オールリセットやってみる

オールリセットでも駄目だったorz
factory resetもないっぽいし詰んだかも

もう一回f05d_root_kitのファイル復元すれば治るんじゃないかな？

再起動してもnandunlockキープする方法を教えてくださいませー

できてる方いますかぁー
出来たら手法教えてくだせー

>>644
俺はtaskerが入ってたから起動時にシェルスクリプト実行してNANDロック解除＆シャッター無音化とかいろいろしてる

nandunlockしたら、今までペアリング出来てたG-SHOCK5600と再接続出来なくなった。

同じような人いますか？
また、対処方法見つけた人いますか？

>>643
何回かしてみたけどPermisson deniedでできなかったからmv /data/local /data/local.org2に変えたらできた!
localじゃなくてlocal.orgがおかしかったのかな

>>647
もともとあるフォルダと同じ名前のフォルダは作れないでしょ

nandunlockまでいったから過疎ってんのか、そもそもSH-02Eユーザーはrootedに興味がないのか、情報が少ないなぁー

自分は上にも書いたけどBluetoothが調子悪いのと、PCとadb接続出来なくなったりする不具合？がある。

端末再起動してやり直せばいい話しだけど、rooted状態が安定していない感じ。

みんなはどーですか？

はよワンクリックだしてけれ

もう完成して普通にみんなできてるのにそんな暇な人いないだろｗ

それはそうと再起動後もroot維持したい人って何を使いたいの？
バックアップなら一時rootでも動くから前から疑問だったんだが･･･
Cifsとか？

>>648
オールリセット前は名前変えても駄目だった
原因がよくわからないけど結果オーライってことで

>>650
今のところダブルクリックと２タッチぐらいだからそんなに変わらないんじゃね？ｗ

ソフトキーに電源ボタン追加して５ボタンに出来たら、スリープにする時、上まで指を持っていかなくて済むから楽になりそうなんだけどなぁ〜

今更気付いたんだけど、再起動しても/dev/shはキープ出来てたんで、gscriptでNeeds SUにチェック入れて

cd /data/local.org/tmp
./acdbwritevalue 0xc0e74998 0x80000000
./acdbwritevalue 0xc0e749a8 0x01000000
./sh02eunlock 0
mount -o rw,remount /system /system

って書いて実行したら、MIYABI＆NAND解除まで出来るね。

これを、taskerで起動時に実行するようにすればいいんだな。

あとは、バッテリー100%表示なんだが、systemUI.apk差し替えるとステータスバーとソフトキーが消えちゃうんだよなぁー　　わからん??

>>655
俺はSuperuserいれてtaskerで
su -c "/data/rootkit/nandunlock.sh"
実行してる
なぜかSuperSUのsuだと起動時にsuが無効になったりするのでしかたなくSuperuserのsu使ったわ
今のところこれといって不具合はないな

>>656
自分もSuperSUはダメだった。
そんなふうにやればいいんだね。
情報ありがと！

>>649
root取る必要性感じにくいからねこの機種
せいぜいプリインストールアプリ削除するとかバックアップに使う程度でしょ
カスタムロムでも出来れば良いけどそれもないし〜

自分で作れば。

カスタムロムの利点って何があるの？

支配感

sh02eunlock 0を実行したら失敗してるようです何かやり方違うのですかね？

open ok(3)
mmap ret=0x10000000
10eeaf28 : 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ................
Miyabi Not Unlock
NAND_LOCK Not Unlock
Killed

>>662
ビルドバージョンは01.00.05？

./acdbwritevalue 0xc0e74998 0x80000000
./acdbwritevalue 0xc0e749a8 0x01000000
はやった？

>>663
ビルドバージョンは01.00.05で
./acdbwritevalue 0xc0e74998 0x80000000
./acdbwritevalue 0xc0e749a8 0x01000000
もやってます

acdbwritevalueはちゃんと新しいバージョン？
あとsh02eunlock 0だけだと何やったのかわからん

>>664
sh02eunlock 0やればMIYABIもNANDも解除されるはずではあるんだけど、自分はその前に一応、567のMIYABI解除をやってる。

検討違いだったらゴメン。

>>665
564のacdbwritevalueを使用してます

585のでmiyabi解除行ってから、
./acdbwritevalue 0xc0e74998 0x80200000
./acdbwritevalue 0xc0e749a8 0x01000000
./sh02edump 0を実行してます

>>665
sh02eunlock 0を実行でした

>>668
miyabi解除してからじゃなくて/dev/shした後にコマンド実行
あと、貼るなら実際にコマンドを実行した時のコマンドと結果を張ってほしい

acdbwritevalueに失敗してるみたいっぽいなぁ
あと、
./acdbwritevalue 0xc0e74998 0x80000000
じゃなくて
./acdbwritevalue 0xc0e74998 0x80200000
だったわ

オールリセットしてやり直し

http://pastebin.com/DueG94jE

>>672
最近のサルはすごいな…

>>672
これで出来た人居る？

>>674
これではできなかったんだけど、できた人いる？なら分かるが、それだけ聞かれても試したり答えたりする気にもならん

兄弟機なんだけど
環境調査はここの>>100あたりから試してみるのでいいのかな

2chMate 0.8.4.4 dev/SHARP/SBM203SH/4.1.2

>>672
おつおつ

おっつ

>>676
f-10d.abをつかってmkdevshができるまでは一緒だけど、それ以降は>>551のようにgoroh_kunと個別に連絡を取っているのでこのスレ読んでもどうしようもできない気がする

http://firestorage.jp/download/01d865ba7f949bc2c13e44ec5e7a7cddef358df0

なに

ワンクリ

必要なファイルを集めただけじゃないの？

にわかの俺にはありがたい

ごめん、見ないでレスした

再起動後
/dev/sh
が維持できないんだけど、できる人はどうしてます？

Nandlock解除してsu配置したほうがいいと思う

だからどうやるんだってばよ

>>688
>>672

色々いじってroot何度も取得したりしてたら、やらかしたわ
C:\Users\xxxx>adb shell
/system/bin/sh: /system/etc/mkshrc[8]: id: not found

adb reboot recoveryしてからオールリセットしても変わらず。
起動はするしpushはできるけど、3G電波が拾えない
困った、愚か者に解決の糸口をください・・・

ls -l -d /system
/system/bin/sh: ls: not found

半文鎮なのかな

参考までに教えて欲しいのだけど、何をしたらそうなったの？

単なるls -lでどうなってんの？
ぐちゃぐちゃ？

>>672で再起動後root維持出来た人居る？
再起動後解除されて上手く出来ないんだけど

>>694

rootキープはできません

>>694
suのバイナリによっては再起動後にsu維持できない
>>680のSuperuserのsuなら大丈夫だけど、SuperSU用のsuは再起動後suを実行しても#にならない

rootキープは今試行錯誤中だけど、/dev/shはキープ出来るはず。
ちなみにビルド番号は最新の01.00.05だよね？

680で672してもらえば、再起動しても655でgscript使えば大丈夫なはずなんだけどなぁ

push出来るなら初めからやり直してみれば？

rootキープはNandunlockしてxbinにsu配置するだけじゃないの？
俺はそれで動いてるが

>>699
> rootキープはNandunlockしてxbinにsu配置するだけじゃないの？
> 俺はそれで動いてるが

間違った。そーだねrootキープじゃなくてNANDunlockキープを思考中と言いたかった。

>>700
>>655のコマンドは間違ってるので実行してもだめよ？
あとGScriptはSuperuserと微妙に相性が悪いみたいでたまに失敗する
だから俺はTaskerで起動時に
su -c "/data/rootkit/nandunlock.sh"
を実行するようにした
中身はこんな感じ

#!/system/bin/sh
/data/rootkit/acdbwritevalue 0xc0e74998 0x80200000
/data/rootkit/acdbwritevalue 0xc0e749a8 0x01000000
/data/rootkit/sh02eunlock 0
mount -o bind /data/rootkit/nosounds /system/media/.sharp_audio/ui

>>701
そうですか？
自分は>>655で/system以下のディレクトリをrootexlorerで自由に弄れるけどなぁ

何か環境で違うのかなぁ

mmap領域のアドレスが0x80000000と0x80200000で違ってるからNANDunlockが出来ないはずだが

>>703
おぉ、指摘ありがと。
と、言うか今更気づいて申し訳ない！
コピペミスです。
自分のgscriptには以下のように記載してます。

-----------------------------------------------
gscriptでNeeds SUにチェック入れて

cd /data/local.org/tmp
./acdbwritevalue 0xc0e74998 0x80200000
./acdbwritevalue 0xc0e749a8 0x01000000
./sh02eunlock 0
mount -o rw,remount /system /system
-----------------------------------------------

>>655はアドレス記載ミスです。すみませんでした。

>>701
再起動する度にパソコンに繋いで面倒くさいなぁと思っていたけど
すごく作業が楽になりました！ありがとう。

>>705
su入れてあるならwifi経由でadb接続できるよ

>>706
おお。
わざわざありがとう！

>>707
WiFi ADBアプリオススメ
WiFi経由のADBのon/offの切り替えが楽になる

/system/appにアプリを移動させたいだけなんだけど
何か簡単な方法ありませんか？

コピペ

>>709
root化してmiyabi解除できれば可能かな？でも正常に動かないかも…ところで何故そうしたいの？？

>>711
擬似ロケーション許可のオンオフが面倒なので

カスタムROMの作成についてちょっと調べているけど、やっぱり軽く作れるものではなさそうだな・・・
カーネルモジュールの作成とはまた一段階難易度が高そう

お猿の方法でなんだかんだ試行して、MIYABIとNANDを解除して、su を入れたことはいれたのだけど…
shell で su するとPermisson Deniedと出るのは何でだろ
その割にはちゃんと # になって使えるみたいだし

何か忘れているのか、そもそもそんな使い方をする代物じゃないのか…
気味が悪いが、ここらで止めておこう('A`)

一時ROOT だけでも取れるかとおもって兄弟機の
ttp://pastebin.com/DueG94jEを参考にやってみたけど

mkdevshのパーミッションの変更まではいけたけど
/data/localのバックアップがパーミッションがないと言われできず
なんかちがうのかな( ´・ω・`)

すまん誤爆汗

>>704
このアドレスって最新カーネルアップデートでも大丈夫ですよね？

スレ読めば

スクリーンショットの音って
/system/media/audio/ui/camera_click.ogg
を無音にしても消えなかったわ
カメラの音は.sharp_audioで消えたのになぜだろ

/system/media/audioの中に同じようなファイルがあるからそれを消せば良いよ

>>719
それであってるよ
自分はリネームでバックアップして、変わりに0バイトファイルおいてる
ただ、リネーム直後は音が鳴る。恐らく起動時にキャッシュされるか何かして、もうファイルの実体は見ていないんだと思われる
再起動するとちゃんと音は消えてる。
/systemを書き換えたくないなら、taskerとかで起動時にスクリプト実行するようにして、

#!/system/bin/sh
/data/rootkit/acdbwritevalue 0xC0EEAF28 0xC0D86E30

mount -o rw,remount /system /system
mount -o bind /data/rootkit/nosounds /system/media/audio/ui
mount -o ro,remount /system /system

こんな感じでやればいいじゃないかな

再起動したらスクリーンショット音消えましたわ
お騒がせしました

>>714の影響かsamba filesharingでsambaをenableしようとするとアプリが応答していませんになるな
このタイミングのズレは何なんだろうかｗ

なんか新ネタない〜？
CWMリカバリーいれたよー
とか…
ZIP Installerでリカバリー出来たよー
とか…

とか…

とか…

連投すまん。
久々に書き込み解除なってたぁーーーーーーーーー

シャープ機ってCWM入れれるの？

ん？

だからー
俺は馬鹿だからSH-02E用にビルド出来ないけど、出来る達人がいればその情報が欲しいってこと。

入れられないって事は無いとおもうよ。

以前別のスレでシャープ機にはCWMを移植することは不可能って聞いたから無理じゃないかな？

過疎ったね

技術を持った人間があまりに少ないからなぁ

明日買に行きます
なんか欠品してるらしい　そんなに人気あるのか？

エクスペリアは全色あったぞ

逆逆
人気ないから在庫限り

>>732
もう3月で生産はほぼ終了してる
現在流通在庫のみ
売り切れると次回入ってこない
おそらく夏モデルに新型が来る模様

逆逆逆
人気があるから欠品してる

>>734
買ってきた　そういう事だったのか

まあ、即金だし新型よければそっちにする

夏モデル気になる
FHD&IGZOだったらいいな

なぜROM焼きスレに書き込んだ

Adaway適応させようと ls -s /data/data/hosts /system/etc/hosts
と打ち込んでも
link failed File exists
となりますが適応できた人はどういう手順でしましたか？

lsじゃなくてlnじゃない？

はわわ

>>740
書き込み時に間違いました
実際はlnでしましたがsymlinkが作成できないです

それじゃ/system/etc/hostsをリネームしてないとか？

cp /system/etc/hosts /data/data/
mv /system/etc/hosts /system/etc/hosts.old
ln -s /data/data/hosts /system/etc/hosts
別機種ではこれでいけるとかいていたので

cp /system/etc/hosts /data/data/
hosts パーミッション777にして
/system/etc/hosts　をhosts.oldにリネーム
ln -s /data/data/hosts /system/etc/hosts　コマンドを打つと
link failed Read-only file system
と表示されます

>>744
NANDロック解除してsystemをRWで開きなおしてから試してみて

adawayソース更新後、再起動させて
またコマンド打ってroot状態にして使ってるわｗ
めんどいけど。

systemUI.apk弄ってバッテリー100%表示出来た方いましたらやった方法教えてください。
当方、RootExplorerで差し替え、再起動したらナビバー(下の戻る、ホーム、設定、履歴の表示)が消えてしまい、戻すのに難儀したもんで……^_^;

4.1が来るらしいけど、たぶん穴つぶされるんだろうなぁ

まじで4.1来るの？

チタ、adawayに「root状態になってねーよｋｓ！」て言われて
何度もやり直してんだけどうまくいかん
またオールリセットしてからやるしかないか。。。マンドクセ

4.1来ても穴見つかるまでうｐは静観かな

>>750
shellからのsuは通る？
superuserじゃなくてSuperSU使ってるとか
suバイナリがSHARP用じゃないとか

レスありがと
以前やった方法でうまくいってたのに、
それと同じやり方でやってもうまくいかない。
＞suバイナリがSHARP用
↑こんなのあるの？知らんかった
playからsuperuser入れただけ。

近々、4.1が来るらしいが、アプデしたい場合は、再起動するなりしてmiyabiとNANDをロック状態にしてやればいいのかな？
systemは弄ってないし、/data/localやlocal.orgはそのままでもいいよね？

誰かおせーて！

怖いならオールリセットしておけばいいんじゃね

690 と同じ症状になりました。
カメラ無音まではできたのですが、
再起動したら重くなったので初期化したら、
ドロイド君が横たわってお腹開けて死んでました。
adb shellを実行すると　690　と同じ状態です。
今できることは何かあるのでしょうか。

Titaniumとかでプリイン消したまま初期化とかしたんじゃねーの

何度かroot化→再起動→root化→再起動・・・とやってたら>>714の状況になった
TitaniumBackup、adawayやらが使えないけどRootExplorerとかは使えてる
/sbinにもsu入れてるしrwでマウントできてる
どなたか解決策ご享受下さい

Open:Permisson Deniedって出るのはSuperUserのタイミングによるものらしい
俺は実害はないっぽいので放置してる
adawayとかはbusybox入れてないとかじゃない？

過去スレ読んで色々試していたら正常起動しました。

なぜここの住人はとらぶった時は詳しく書くのに解決した時は毎回「解決しました」しか書かないんだろうか

>>758
ありがとう
busybox入れてるんだけどなぁ(´・ω・`)
リセットからやり直してみます
またどうにもならなかったらここに来ます…

今日(5/8)のアプデ、root状態からやった人いる？
人柱たちよ。結果を教えてくれー
オレは人柱やらんよ。

やっぱ、穴塞がれてんのかなぁ。

4.1のOSアプデも控えてるけど、なんか踏み切れんなぁー

まだソースファイル公開されてないから穴がどうなったかはわからんなぁ

さすがにroot状態でアプデするバカはいないだろ

アプデあったことすら知らんかった

いや、だから今日のアプデしてrootedをキープ出来てるかどうか聞いてるだけ。

で、4.1へのOSアプデは確実にrooted方法(穴の場所やmiyabiやNANDのアドレスが変わってて)を一から探さないといけないのかなと！

お猿なのでわからないことだらけなのですが、
01.00.07になってもカメラは無音です。
もともと再起動したらrootできなかったのでなんともわかりませんが。。。
バックアップのとり方がわからないので何もせずやっています。

>>765
アドレスが変わるのでmiyabiやNANDロック解除はアドレス特定からやり直し
あとsystem書き換えてたらアップデート出来ないんじゃなかったか？

>>767
だよねぇ。
誰かアドレス探せる人いるー？
オレには出来ん　orz

4.1になってroot化可能になるまで前のやつ使うか

アドレス探す方法は、基本的にスレ内にあるやり方なのかな？

アップデートの対応が増える度にゴロー君が酷使されそうだな

>>138

01.00.05のroot状態でアップデートしました。
rootは維持できていますが、acdbwritevalueを05までのアドレスに行うとリブートしてしまいます。

sh01ddumpを >>599 に従い直してダンプを試みましたが
shell@android:/data/rootkit # ./sh02edump
./sh02edump
open ok(3)
mmap ret=0xffffffff
mmap failed
で駄目でした。

まだソースが出てないからはっきりとは分からないけど>>550を試して再起動しないなら穴がふさがれてると思う
再起動するならまだ穴はあるけど、アドレスはgoroh_kunと個別に連絡を取らないと無理なのかな？

>>773
引数100で再起動はしました。
<1>[22639.491283] Unable to handle kernel paging request at virtual address abaaa9a8
<1>[22639.491314] pgd = d9cf8000
<1>[22639.491314] [abaaa9a8] *pgd=00000000
<0>[22639.491375] Internal error: Oops: 80000005 [#1] PREEMPT SMP
<4>[22639.491436] Modules linked in:
<4>[22639.491466] CPU: 0 Tainted: G W (3.0.21-perf #1)
<4>[22639.491527] PC is at 0xabaaa9a8
<4>[22639.491588] LR is at acdb_ioctl+0x754/0x878
<4>[22639.491619] pc : [<abaaa9a8>] lr : [<c013a004>] psr: 60000013
<4>[22639.491619] sp : d7437f28 ip : 00000000 fp : 00000000
<4>[22639.491680] r10: 00000000 r9 : a7a6a5a4 r8 : a3a2a1a0
<4>[22639.491741] r7 : 9f9e9d9c r6 : 9b9a9998 r5 : 97969594 r4 : 93929190
<4>[22639.491772] r3 : 00000000 r2 : d7437e64 r1 : c0a6ff91 r0 : 00000000
<4>[22639.491833] Flags: nZCv IRQs on FIQs on Mode SVC_32 ISA ARM Segment user
<4>[22639.491863] Control: 10c5787d Table: 9a0f806a DAC: 00000015

mmcblk0p26を追っても、どのアドレスなのか探し方がわからずorz

誰かがわかるかも知れないので…
mmcblk0p26.zip
www1.axfc.net/uploader/so/2897123

kernelダンプしてkallsymsprintが出来ないとuevent_helperのアドレスが分からないな
あとacdbwritevalueの&p->data[0xa8]と&p->data[0xd0]の値は何を意味してるんだろう？
ここら辺はgoroh_kunと個別でやり取りをしてたからどうやって調べるのか不明だ

端末上ではないけど、windows上で
kallsymsprintが実行できるようにようやくなった。

が、acdbwritevalueで再起動してしまうのでメモリダンプが取れないorz

ここで詰んでしまいました。
ソース直してダンプ取れればいいんだけど…

どうやらカーネルのダンプがないと&p->data[0xa8]と&p->data[0xd0]の値が分からないっぽい？

STR R5, [R9]
と
ADD SP, SP, #0x1C
のアドレスが分からないとacdbwritevalueの修正が出来ない

>>776
windows上で実行できるやり方を教えていただけないか。

リンク張れないので保管して下さい。
こちらを参考にしました。
tp://cubeundcube.blogspot.jp/2013/04/xperiaueventhelper.html

リカバリイメージとかをスプリットすると「-kernel」が出来るけどこれはgzip形式を
含んだものなので、
gzip部分を抜き出し　→　展開　→　kallsymsprint

そういえばkallsymsprintでacdb_dataのアドレスも調べないといけないのか
カーネルダンプ出来ないと話にならんなぁ

本日購入しました！
パズドラのコンボ解説するときにSS撮らないといけないのですが
音が・・・・
消し方教えてください＾＾

>>781
>>721

そんな時の書メモ。

みんな4.1アップ待ちなんだろか

4.2は無さそうだし4.1で仮rootの方法が分かったらroot取るかな。

購入初日にいきなり文鎮なったかも。。。。。
初期化しても電話かけれなくなってもた。。。

>>786
漢

4.1になるまで正座して待っています。

2.2→あいほん→コレって流れてきた浦島状態なんだけど、z4rootとかみたいなものはないんだ？

一晩バッテリーはずして置けば直るかもという期待は消え去ってしまった。
嫁も同じ機種持ってるのだがどうにかならないのだろうか？

何をしてどうなったのかさっぱりわからんからどうにも答えられない

>>789
お前さん、機種間違えてね？
この機種バッテリー外れないよ？
データ通信オンリー契約とか言うオチだったら俺はお前のチンコしゃぶるぞ

>>790
横須賀線に踏まれた後、いざ使おうとしたら文鎮になってました。

rootと全く関係ないｗ

大阪在チョン出てこいや！

誰か07のrecovery領域上げてもらえないだろうか

>>795
やり方教えてくれたらやりますよ。

dd if=/dev/block/mmcblk0p12 of=/sdcard/external_sd/recovery_01.00.07.bin bs=512
これで取れる
アドレスがずれてないならこれでkallsymsprintができるんじゃないかなぁ
あとは&p->data[0xa8]と&p->data[0xd0]をどうやって調べるかだ

>>797
dd if=/dev/block/mmcblk0p12 of=/sdcard/external_sd/recovery_01.00.07.bin bs=512
↑ってどういう環境でやるの?

ふーその質問がこのスレで出てくるとは…もうダメだ

>>798
分からないなら下手に弄らないほうがいいと思う

>>798
>>672　を読んでやってみるんじゃ

>>672はビルド番号いくつ？

05だけど、後々みると途中結構ぬけてるところがあった。申し訳ない<(_ _)>ｻﾙ

ソースが公開されてるけどそこからアドレスとかわからないのかな？

カーネルのダンプがあればわかるかも知れない
アドレスがずれてないならrecovery（>>797）でも可能かも

ビルド07にすると再起動が多発する人結構いるみたいだし、rootedも確立されてないから05のまんまだけど、4.1きたらunrootedでもいいかなっと。そう思う今日この頃であった。

01.00.07のリカバリーに対してkallsymsprintをし、
uevent_helperバッファアドレスを特定してみましたが
acdbwritevalue実行した時点でやはりリブートです。

mmapの段階で失敗するので…
スレにある情報ではダンプを取れないです。

01.00.05で/sbinとかにsu入れてあればアプデ後も
システム権限はあるので、
rootアプリは動いてるんですけどね…

NAND Lock状態なので、mountも蹴られてます。

recoveryなんで意味ないかも知れませんが…
kallsymsprint_recovery_01.00.07

tp://www1.axfc.net/uploader/so/2912305

kallsymsprintじゃなくてboot領域そのものがないとアドレスがわからないかも

うむ、2箇所の「pc」に入れるアドレスが要るから、kernel逆汗して解析する必要がある
でないとacdbwritevalueまともに動かんよ

07しか公式にないのですが04から05に出来ますか？

無理じゃないかな

ビルド番号:01.00.05
訳あって1ヶ月前DSで端末交換してもらってから、稼働時間750時間と一回も再起動なし。
miyabi,NANDいずれもunlock状態。

でも、何を弄ることもなく…

せめてバッテリー100%表示でもやってりゃいいんだけど。出来ないorz

4.1OSアプデ来たら、rootedはあきらめてアプデするかなぁ〜

adb backup出来るし、rootedの必要性が少なくなってきたなぁー

みんなどこ弄ってるの？

sambaでファイル共有したいからrootedにしてる
後は単純にやりたいからｗ

普通にファイルマネージャがsamba（CIFS)でファイルのやり取り出来るから最近はルートの必要性はないよなぁ

droidwall、SPモードメール通知、setcpuが使いたいのです

もしやSambaサーバ入れればSD抜かなくてもファイルのやり取り楽にできるのかね？クライアントならesで間に合ってるんだがスマホ内のファイルやり取りするのにPCからだと色々捗るなぁ

そうだよ
サーバ起動時にちょっと不安定だけど

Airdroidでええやんか

糞アプリ(ﾟ�听)ｲﾗﾈ

スマホ・PCの連携ならNASかWebストレージ

AirDroidみたいにブラウザ開いてごちゃごちゃせずにエクスプローラでさっと出来るからsambaのほうが楽

4.1アプデ来たけどこのスレ的にはどうなのでしょうか
ttp://www.nttdocomo.co.jp/support/utilization/product_update/list/sh02e/20130603.html

837MBダウンロード中

今までのroot化の手段は使えるのかな

>>824
MIYABI&NANDをunlockのままアプデした？
で、問題なし？

SSの音だけ消したい

おはようございます。
4.1きたね。rootの光が見えてからアプデするかな

牽制しあってアップデートする人がいない可能性

アプデしたけど何をすれば良いのかわからない...

/dev/shを実行できるようにする
>>550を実行したあとカーネルパニック起こしたならroot化できる可能性がある

dd if=/dev/block/mmcblk0p26 of=/sdcard/external_sd/log_sh02e_4.1.bin bs=512
でlog領域
dd if=/dev/block/mmcblk0p12 of=/sdcard/external_sd/recovery_sh02e_4.1.bin bs=512
でrecovery領域を取得する
この２つがあればroot化できるかも

ビルド番号:01.00.05でMIYABI&NANDunlock状態からOSアプデしたった。
本スレでおサイフ関係はそのままでもOKとのことだったが、アプデ失敗の人もいたので、一応、nanacoモバイルとモバイルSuicaを機種変で預けてから、PCにダウンロードしたファイルをmicroSDにコピーしてからアプデ実行。

ちゃんとホームやその他アプリもそのままキープされるんだね。

とりあえず、さわった感じは反応がはやいね。
ATOKのフラワー入力もメッチャ早く反応してくれる。

当然の事ながら、esファイルエクスプローラで/dataを覗いても中身が見れない。

再度、穴を探さなくては…

JBにしました。

当然特権は無くなりました。

/dev/sh
はスレ情報では作れませんでした。

ソースが公開されたら自分でbuildしてみて
run_root_shell
でいけるかどうかですね。

あまりお役に立てなかったので、スキルある方の登場を正座して待ってます。

>>833
作れなかったてのはデータ復元使ったあれで/sys/kernel/uevent_helperをいじれなかったって事？
それならかなり厳しいなぁ

>>834
adb restoreの穴はJBで塞がってるからな

よし、おまえら4.1のrootは頼んだ。

俺は全裸待機でROMってる

>>836
風邪ひくなよ

>>836
お前は生涯裸で生きていくことになるだろう

白ロム狙ってるんだが、>>672の方法を使うためには
ビルド番号.05の状態のヤツをねらわんと駄目なのか？
ちなみにJBにする気は毛頭無いんだが

>>838
そんな…
かわいそすぎるから、だれかroot化開発してやれよ。

>>840
4.1でどんな穴があるかわからないからなんとも言えない

他機種の4.1同じ方法で出来ないのかな？

このままじゃ>>836が裸族になっちまうな

よしここは俺が一肌脱いで

裸と裸で温め合うんですか？やったー

ウホッ

やだこのスレイカ臭い

goroくんがこっち見てくれるまで進展むりっぽい？

アプデ対応はしないって本人が言ってるからもう無理じゃないかな

神まだー？

マイナーアプデはやらないって言ってたと思う。
この機種に興味持ってくれれば、もしかしたら……

そっかー残念・・・(´・ω・｀)

前回穴が塞がれたときはgoroh_kunが協力してくれてたよ
今回はメジャーアップデートだからどうだろう？
それよりもスレ住人だけでなんとかできないかな
root化マシーンではないと言っていたし

よくわからんけど、4.0から4.1になってもbootやrecovery,logの場所はかわらないのね。
あたりまえかぁ。
mmcblk0p11→boot
mmcblk0p12→recovery
mmcblk0p26→log

u0_a246@android:/ $ ls -l /dev/block/platform/*/*/
lrwxrwxrwx root root 1970-02-11 17:20 DDR -> /dev/block/mmcblk0p23
lrwxrwxrwx root root 1970-02-11 17:20 aboot -> /dev/block/mmcblk0p10
lrwxrwxrwx root root 1970-02-11 17:20 boot -> /dev/block/mmcblk0p11
lrwxrwxrwx root root 1970-02-11 17:20 cache -> /dev/block/mmcblk0p18
lrwxrwxrwx root root 1970-02-11 17:20 calllog -> /dev/block/mmcblk0p28
lrwxrwxrwx root root 1970-02-11 17:20 diagapp -> /dev/block/mmcblk0p33
lrwxrwxrwx root root 1970-02-11 17:20 durable -> /dev/block/mmcblk0p27
lrwxrwxrwx root root 1970-02-11 17:20 factory -> /dev/block/mmcblk0p2
lrwxrwxrwx root root 1970-02-11 17:20 fotadata -> /dev/block/mmcblk0p29
lrwxrwxrwx root root 1970-02-11 17:20 grow -> /dev/block/mmcblk0p34
lrwxrwxrwx root root 1970-02-11 17:20 internal -> /dev/block/mmcblk0p31
lrwxrwxrwx root root 1970-02-11 17:20 ipl -> /dev/block/mmcblk0p14
lrwxrwxrwx root root 1970-02-11 17:20 log -> /dev/block/mmcblk0p26
lrwxrwxrwx root root 1970-02-11 17:20 m9kefs1 -> /dev/block/mmcblk0p20
lrwxrwxrwx root root 1970-02-11 17:20 m9kefs2 -> /dev/block/mmcblk0p21
lrwxrwxrwx root root 1970-02-11 17:20 m9kefs3 -> /dev/block/mmcblk0p22
lrwxrwxrwx root root 1970-02-11 17:20 m9kefsc -> /dev/block/mmcblk0p24
lrwxrwxrwx root root 1970-02-11 17:20 misc -> /dev/block/mmcblk0p19
lrwxrwxrwx root root 1970-02-11 17:20 mjupd -> /dev/block/mmcblk0p9
lrwxrwxrwx root root 1970-02-11 17:20 modem -> /dev/block/mmcblk0p8
lrwxrwxrwx root root 1970-02-11 17:20 persist -> /dev/block/mmcblk0p17
lrwxrwxrwx root root 1970-02-11 17:20 recovery -> /dev/block/mmcblk0p12
lrwxrwxrwx root root 1970-02-11 17:20 rpm -> /dev/block/mmcblk0p7
lrwxrwxrwx root root 1970-02-11 17:20 sbl1 -> /dev/block/mmcblk0p3
lrwxrwxrwx root root 1970-02-11 17:20 sbl2 -> /dev/block/mmcblk0p4
lrwxrwxrwx root root 1970-02-11 17:20 sbl3 -> /dev/block/mmcblk0p5
lrwxrwxrwx root root 1970-02-11 17:20 shdiag -> /dev/block/mmcblk0p1
lrwxrwxrwx root root 1970-02-11 17:20 system -> /dev/block/mmcblk0p15
lrwxrwxrwx root root 1970-02-11 17:20 tmmdata -> /dev/block/mmcblk0p32
lrwxrwxrwx root root 1970-02-11 17:20 tombstones -> /dev/block/mmcblk0p25
lrwxrwxrwx root root 1970-02-11 17:20 tz -> /dev/block/mmcblk0p13
lrwxrwxrwx root root 1970-02-11 17:20 userdata -> /dev/block/mmcblk0p30
lrwxrwxrwx root root 1970-02-11 17:20 version -> /dev/block/mmcblk0p6
以下省略
u0_a246@android:/ $

ここでゴローくんが来るのを待ってても気づかなかったら来ないよ

じゃあいつ進展するのか

今じゃない

06Eはどうなの？なんか良く分からんけど

>>858
http://anago.2ch.net/test/read.cgi/smartphone/1370182129/

ソースも公開されないし、やることないからスレが完全に止まったなｗ

root化しないと自由度が激減だなぁ

せめてソースが公開されればカーネルのアドレスがわかるからroot化できるかもしれないのにな

素直にサムかLG買っとけ

>>863
それならXperia買うわ
Galaxyだと不具合起きる要rootアプリとかあるし

GalaxyS2は未だに弄り倒せるから遊ぶならそれで間に合ってる。

実用性を考えると最近のSamsungとLGはGalaxyNoteシリーズ以外使う気にならんわ

サムスンなんて持ちたくない

Samsungアンチ、SONY社員、Apple信者

こいつらはほんとにいつでもどこでも湧くな

Samsung工作員も忘れてた

>>867
　 ∧＿∧　
（｡･ω･｡)つ━☆・*。
⊂　　 ノ 　　　・゜+.
　しーＪ　　　°。+ *´¨)
　　　　　　　　　.?? ´??.??*´¨) ??.??*¨)
　　　　　　　　　　(??.??´ (??.??'* ☆”"
おまえモナー

うわ、寒村キムチくさぁい＞＜

いつの間にかソース公開されてるじゃないか
これでアドレスわかるか？

>>871
ん？どこ？

これのこと？

SH Developers Square - オープンソースソフトウェア
https://sh-dev.sharp.co.jp/android/modules/oss/index.php?/sh02e#bld020002

上半身くらいなら裸になってもいいころですか

俺は>>836からずっと裸だよ

カーネルをビルドしてそれをkallsymsprint
run_root_shellに必要なアドレスを取得してrun_root_shellを実行すると一時rootって感じか
多分必要なアドレス
remap_pfn_range
ptmx_fops
prepare_kernel_cred
perf_swevent_enabled
（今回はアップデートする気は無いのでやるかどうか微妙）

神は来ないか……

必要な情報はあるんだから自ビルドすればいいじゃない

>>878
そんなスキルないから、神待ち

うぶんつでやるの？

ubuntuにantとGCCとAndroidNDKいれてビルドするだけだったと思う

もちょっとkwsk

カーネルモジュールビルドした環境でやってみたが、なんかエラーになったわ
もっとスキルのある人に任せた

ソース公開されても結局動きが無いなｗ
もう次世代機が出てるから勢いもないか

誰かroot頼む！
せめて、前回みたいにまずはJBで/dataを777にする方法だけでもヒントくれー

root必須アプリを使っているので自分の端末はアプデできない＝実行環境がない
実機（4.1）のconfig.gzは入手、カーネルコンパイルができるUbuntu環境もある
コンパイルは4.6のarm-gccで成功、4.4.3、4.7ではソース修正の必要あり
ただ、コンパイル環境が実機と違ったら当然シンボルのアドレスはずれる
あと、twitterで出てたsh06eroot.cもコンパイル済み
中身については、前半のroot取得？部分は分らないけど、後半のmiyabi系の関数をsecurity系関数のアドレスに書きかえて
miyabi解除してる部分は分ってるつもり
sh06eのカーネルも4.6でコンパイルは出来るけど、実機config.gzがなくlynx_dl32_defconfigを使っているためか、
sh06eroot.cに定義されているアドレスとは違うものが出来る

こういう状況で、なんか出来る事ってある？　実行環境がないから自分ではもうお手上げ状態
実機持ちで試してくれる人がいれば、sh-02eでもsh06eroot.cの前半部分が通るかどうかとか確認はできそうだけど

リカバリー領域でさえ取れないからなぁ
メジャーアップデート前にSystem権限で動くアプリを入れておけばなんとかなるかもしれないけども