获取华为解锁码的思路

最新推荐文章于 2025-02-07 10:55:46 发布
原创 最新推荐文章于 2025-02-07 10:55:46 发布 · 9.3w 阅读 · 103 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了两种获取华为手机bootloader解锁码的方法:一是通过已root的手机dump nvme分区并搜索WVDEVID关键字;二是利用华为工程模式,但需获得授权。详细步骤包括拨号进入工程模式、反编译相关文件及逆向分析atcmdserver进程。
该文章已生成可运行项目,

前言

华为手机在刷入第三方rom需要首先解锁手机,而获取解锁码必须要在华为官网进行,并且有14天限制,这无疑给某些特殊需求的用户和rom定制厂商设置了一个很大难题,也为华为保护自身定制软件提供了有利因素,因此这里给出获取华为解锁码的思路。


方法一   
通过在内置存储卡中dump出nvme分区,搜索WVDEVID关键字获得,这样做的缺陷是手机需要root

255|shell@hwp7:/ $ su
root@hwp7:/ # cd /storage/sdcard1/
root@hwp7:/storage/sdcard1 # mkdir -p PartitionBackup
root@hwp7:/storage/sdcard1 # cd PartitionBackup
root@hwp7:/storage/sdcard1/PartitionBackup # dd of=nvme \
> if=/dev/block/platform/hi_mci.0/by-name/nvme
8192+0 records in
8192+0 records out
4194304 bytes transferred in 0.916 secs (4578934 bytes/sec)
root@hwp7:/storage/sdcard1/PartitionBackup # dd of=oeminfo \
> if=/dev/block/platform/hi_mci.0/by-name/oeminfo
65536+0 records in
65536+0 records out
33554432 bytes transferred in 8.768 secs (3826919 bytes/sec)
root@hwp7:/storage/sdcard1/PartitionBackup # dd of=recovery \
> if=/dev/block/platform/hi_mci.0/by-name/recovery
32768+0 records in
32768+0 records out
16777216 bytes transferred in 4.419 secs (3796609 bytes/sec)
root@hwp7:/storage/sdcard1/PartitionBackup # strings nvme | grep WVDEVID -B 1  
<font color="#ff0000">1234567890123456</font>


方法二

通过华为工程模式获得,但是需要获得工程模式授权,具体逆向思路如下(华为工程模式的详细介绍请问度娘:))

0x00得到拨号*#*#2846579#*#*呼出的工程模式设置activity的信息

1.首先拨号*#*#2846579#*#*呼出工程模式菜单ProjectMenuAct

2.输入:adb shell dumpsys activity|grep “Runningactivities” –A 7

得到ProjectMenuAct这个Activity的信息,从下图可以看出来该Activity所在的包名为com.android.huawei.projectmenu。


3.得到包名为com.android.huawei.projectmenu对应的apk路径

可以知道ProjectMenuAct这个Activity在/system/app/ProjectMenuAct.apk中,我们把这个apk以及odex给pull下来进行逆向分析。

0x01 反编译ProjectMenuAct .odex

由于华为手机的dalvik虚拟机添加了一些内部java方法,直接用baksmali反编译会失败,需要特殊处理,请详见我博客上的文章: http://blog.youkuaiyun.com/autohacker/article/details/50159703

0x02 分析ProjectMenuAct应用



通过代码可以看出,ProjectMenuAct通过android属性系统启动了一个名为atcmdserver的进程用于作为华为手机工程模式的服务端。


0x03逆向atcmdserver

用IDA attach进程atcmdserver


通过在IDA中搜索字符串关键字key,结合交叉引用我们可以逐步找到华为工程模式的命令表所在的内存地址,如下图所示:


进一步调试发现华为工程模式的验证授权流程的主要逻辑是通过

AT^CHECKAUTHORITY
AT^CONFORMAUTHORITY=
而获取bootloader解锁码是如下指令(必须通过授权之后才能获得)
AT^WVKEY?

每一条指令都有先对应的函数来处理,下图中贴出AT^CHECKAUTHORITY的处理程序(图中的各函数通过各种分析处理后修复了堆栈平衡并且根据函数具体功能进行了重命名)



 

具体的逻辑请见测试代码,如下:
 

import serial
import time

def calckey(seed):
    pass  #这里不给出具体加密算法,鉴于合同原因,只给出思路

def serio(ser , istr , timeout = 0.5):
    ser.timeout = timeout
    istr=istr +"\r\n"
    ser.write(istr)
    ostr = ser.readall()
    print "send:%s\trecv:%s"%(repr(istr),repr(ostr))
    return ostr
    
ser = serial.Serial('com31',115200)
#ostr = serio(ser , 'AT^LED')
#ostr = serio(ser , '?')
#ostr = serio(ser , 'AT^FBLOCK?')
ostr = serio(ser , 'AT^MODEM=0')
ostr = serio(ser , 'AT^CURC=0')
ostr = serio(ser , 'AT^WVKEY?')
ostr = serio(ser , 'AT^CHECKAUTHORITY=?')
ostr = serio(ser , 'AT^CHECKAUTHORITY')
seed = ostr.split("\r\n")[1]
seed = seed[seed.index(":")+1:].strip()
key = calckey(seed)
#key = 'aa06c7b48dd42909926e8223f34aed30baea9bbe44926d818aa81464f5178150a66da672483cbab08a13cc7240d85066878c2a640c4cf26f3d8a8b6969d0a788304bab1dd567fe80bc6c1ca170eda312af3cb0089f12bdde014dd2a0d516526e8ac403a112ec81e20f3f692dc3d7abb590c2b312613422d6a734817310732125'
ostr = serio(ser , 'AT^CONFORMAUTHORITY='+key)
time.sleep(3000)
"""
ostr = serio(ser , 'AT^CURC=0')
ostr = serio(ser , 'AT^SN?')
ostr = serio(ser , 'AT^BSN?') #Serial NR
ostr = serio(ser , 'AT^PHYNUM?') 
ostr = serio(ser , 'AT^ALLVER?')
ostr = serio(ser , 'AT^FBLOCK?')
ostr = serio(ser , 'AT^GETRAM?')
ostr = serio(ser , 'AT^GETEMMC?')
ostr = serio(ser , 'AT^WVKEY?')
ostr = serio(ser , 'AT^VENDORCOUNTRY?')

ostr = serio(ser , 'AT^MODEM=1')
ostr = serio(ser , 'AT^MODEM=1')
ostr = serio(ser , 'AT^CURC=0')
ostr = serio(ser , 'AT^CURC=0')
ostr = serio(ser , 'AT^PHYNUM?')
ostr = serio(ser , 'AT^SIMLOCKDATAREAD?')
ostr = serio(ser , 'AT^IDENTIFYSTART')
"""
ser.close()


另外我在上传了分析过程中保存的版本为IDA6.6的idb分析文件,用IDA打开后按快捷键ctrl+M能看到我处理过后的函数,能大大简化逆向分析工程,详见:
 

 

 
http://download.youkuaiyun.com/detail/autohacker/9438916


                

        

    

      

        

          

          

            本文章已经生成可运行项目 
          

        

        

          
          
        

      


  



    



                



	

		

			

				
					
HTC 获取解锁+解锁工具

				
			

			

				

					03-09
				

			

		

		

			
				
方便HTC解BL刷机用,  2019年实测依然有效

			
		

	



                

            
              



	

		

			

				
					
绕开华为通道,获取解锁解锁BootLoader

				
			

			

				

					11-06
				

			

		

		

			
				
华为Mate系列(Mate10、Mate9、Mate8、Mate7)
 华为P系列(P10、P10Plus、P9/P9Plus、P8、P8青春版、P7、P6)
 华为荣耀系列(荣耀V10、荣耀V9、荣耀V8)
 华为Nova系列(华为Nova、华为Nova2、华为Nova2青春版)
 华为畅玩系列、华为畅享系列、华为麦芒系列
 (除P20/P20Pro/荣耀10以外的华为海思,高通处理器的机型都可以获取解锁,MTK芯片的不可以)

			
		

	



              


  
  
              

                


	

		

			

				
					
HCU-Client v1.0.0.0378

				
			

			

				

					09-01
				

			

		

		

			
				
HCU Client – Repair any Huawei IMEI, MEID, Unlock FRP bootloader

Repair almost all  Hisilicon and Qualcomm CPU Huawei Android phones!
Repair IMEI just in few seconds, no root, just direct in manufacture mode.
Repair all physical numbers.
Write numbers to empty board, after replaced EMMC or full erase.
Read bootloader code.
Read Unlock codes.
Can be customized follow your company or webpage.
Can be customized to work with your product dongle.

			
		

	





	

		

			

				
					
华为mate8获取解锁教程(绕开官方解锁

				
			

			

				

					11-13
				

			

		

		

			
				
原理:绕开华为官方解锁通道。已有多人测试成功

华为bootloader需要解锁后才能刷第三方recovery,解锁需要在华为官网上申请解锁(目前官方已关闭申请解锁通道),而且解锁后重新上锁,bootloader的显示不是unlocked,而是relocked。下面介绍如何绕开华为官网解锁bootloader,以及将bootloader恢复成unlocked状态。
首先,你的手机需要未解锁,并将系统降级至B197,但需要获得root权限(须用360超级root)
其次,电脑上安装刷机精灵,将手机USB连接电脑。打开刷机精灵,打开ADB命令行,输入adb shell

			
		

	



		

			
		



	

		

			

				
					
荣耀平板5鸿蒙降级安卓并刷入原生Android12系统——麒麟659,4+64G,10英寸wifi版本

				
			

			

				

					weixin_45682654的博客
				

				

					12-02
					
					2万+
					
				

			

		

		

			
				
闲着没事瞎玩

			
		

	





	

		

			

				
					
华为上网设备解锁计算工具,解锁,刷机,数据卡解锁计算

				
			

			

				

					07-28
				

			

		

		

			
				
华为wifi热点便携设备或者usb猫,上网卡,卡托的的解锁计算器还有sim卡的解锁,flash code就是刷固件所需的密
unlock code就是解卡用的,解锁网络锁用的
 都可以根据IMEI号计算出来,支持绝大多数设备,不仅仅是单单支持列表列出的设备型号

			
		

	





	

		

			

				
					
绕开华为通道,获取解锁解锁BootLoader[教程及工具]

				
			

			

				

					03-16
				

			

		

		

			
				
mate8、p7、荣耀6 plus、畅玩4x......(这些都是贴吧、花粉俱乐部不完全统计的操作成功的机型,不仅限于这些)
华为Mate系列(Mate10、Mate9、Mate8、Mate7)
华为P系列(P10、P10Plus、P9/P9Plus、P8、P8青春版、P7、P6)
华为荣耀系列(荣耀V10、荣耀V9、荣耀V8)
华为Nova系列(华为Nova、华为Nova2、华为Nova2青春版)
华为畅玩系列、华为畅享系列、华为麦芒系列
(除P20/P20Pro/荣耀10以外的华为海思,高通处理器的机型都可以获取解锁,MTK芯片的不可以)

教程和工具都打包一起了

			
		

	





	

		

			

				
					
华为手机解锁计算工具_华为手机强制解锁工具

				
			

			

				

					weixin_39942992的博客
				

				

					12-18
					
					1万+
					
				

			

		

		

			
				
华为解锁助手》是当前唯一一款华为手机强制解锁工具。华为解锁助手也是当前全球首款华为手机解锁工具,由绿豆团队根据华为官方技术规范精心打造,旨在极大简化华为手机的解锁流程并提升解锁效率。清晰的流程设计,手机基本信息只需输入一次就OK了。方便的跟踪查询申需要状态。使用《华为解锁助手》获得解锁后,解锁过程全程自动化,真正一键完成,无痛无痕,不影响所有手机数据。最新版本支持近期上市的所有华为机型。华为解...

			
		

	





	

		

			

				
					
华为手机解锁工具

				
			

			

				

					10-05
				

			

		

		

			
				
华为手机解锁客户端。可以很方便使用华为手机的朋友轻松为手机解锁获取手机最高权限

			
		

	





	

		

			

				
					
华为手机解锁

				
			

			

				

					07-29
				

			

		

		

			
				
华为手机解锁

			
		

	





	

		

			

				
					
华为解锁工具

				
			

			

				

					06-12
				

			

		

		

			
				
支持华为手机解锁,一键root等,获取解锁等,支持华为手机解锁,一键root等,获取解锁

			
		

	





	

		

			

				
					
手机解锁文件

				
			

			

				

					11-19
				

			

		

		

			
				
g330d 解锁工具是为了极大简化用户操作的软件,简化了官网解锁的过程,变得更快,更有效率

			
		

	





	

		

			

				
					
华为解锁专用包

				
			

			

				

					08-24
				

			

		

		

			
				
解账户锁专用,不保证百分百解锁,变砖与本人无关。

			
		

	





	

		

			

				
					
华为C8816申请解锁解锁)工具.zip

				
			

			

				

					04-30
				

			

		

		

			
				
华为C8816申请解锁解锁)工具.zip

			
		

	





	

		

			

				
					
穷举法解华为bl

				
			

			

				

					FMZOS112的博客
				

				

					08-25
					
					9474
					
				

			

		

		

			
				
穷举法解华为bl锁python3代测试截图
python3代
import subprocess
import random
import io
import logging

# 日志配置
logging.basicConfig(filename='fuckBl.log',level=logging.DEBUG , format=' %(asctime)s - %(levelname)s - %(message)s')

# 执行命令并返回结果
def execCommond(cmd):
    lo

			
		

	





	

		

			

				
					
2025最新华为OD机考指南宝典 | QA答疑

				
			

			

				

					**My Coding Family**
				

				

					02-07
					
					5881
					
				

			

		

		

			
				
欢迎来到[「最新最全华为OD机试真题(全栈版)」](https://blog.youkuaiyun.com/weixin_43970743/category_12892976.html)专栏!本专栏将带你从零基础开始,深入解析华为OD机试真题,帮助你轻松攻克每一道难题,掌握Java+Py+C+JS等四种热门语言解题技巧。无论你是刚刚接触华为OD,还是已经有一定编程基础,本专栏都能助你快速提高,精准破解华为OD机试真题,一举拿下OD机试,顺利上岸!

			
		

	





	

		

			

				
					
华为OD机试真题】160、真正的密 | 机试真题+思路参考+代解析(C++、Java、Py、C语言、JS)

				
			

			

				

					KJ.JK
				

				

					05-29
					
					1万+
					
				

			

		

		

			
				
🎃题目描述
>在一行中输入一个字符串数组,如果其中一个字符串的所有以索引0开头的子串在数组中都有,那么这个字符串就是潜在密
> 
>在所有潜在密中最长的是真正的密,如果有多个长度相同的真正的密,那么取字典序最大的为唯一的真正的密,求唯一的真正的密



			
		

	





	

		

			

				
					
什么是华为OD?怎么才能通过华为OD机试?华为OD机试怎么刷题?(2024最新华为OD机试E卷更新中)

					
热门推荐

				
			

			

				

					KJ.JK
				

				

					10-12
					
					11万+
					
				

			

		

		

			
				
华为OD是Outsourcing Dispacth模式,是华为和外企德科联合招聘的简称。目前华为大多数是OD招聘。OD模式也是华为提出的一种新的用工形式,每年都会从OD项目挑优秀员工转为正编。所有OD和正式员工一样对待,没有差别,部门平时开会、评审等活动都是一起参加的,是同薪同酬,都是由华为的HR直接定的薪资,看的是我们技术能力。华为是大企业,能到华为上班也是有能力的,每个部门都有好多职位,是金子,在哪都会发光。

			
		

	





	

		

			

				
					
MODIFY_PHONE_STATE权限如何获取

					
最新发布

				
			

			

				

					10-12
				

			

		

		

			
				
<think>嗯,用户想要获取MODIFY_PHONE_STATE权限的方法。我先看看用户提供的引用内容……

引用[1]提到Android 2.3之后这个权限被修改了,需要system权限或者Google签名才行。用户显然遇到了困难,因为普通人根本拿不到厂商签名[^1]。

再看看引用[2]和[3],解释得更详细了:David把这个权限标记为signatureOrSystem级别。这说明只有预装在/system目录下的应用,或者用设备制造商证书签名的应用才能使用[^2][^3]。引用[3]还特别强调"没有变通方法",除非能让所有手机厂商把你的app预装进系统[^3]。

引用[4]虽然提到了READ_PHONE_STATE权限,但看起来是某个应用的隐私条款,和当前问题关联不大[^4]。

用户现在的问题很明确:想实现自动接听骚扰电话的功能,但被系统权限限制住了。从对话历史看,用户明显是个普通开发者,既没有厂商签名,也不会刷机打包ROM。

这种情况下,常规开发途径确实行不通。我得帮用户找替代方案:

首先想到的是免root方案。现在有些手机品牌开放了辅助功能API,比如小米的通话自动接听功能。这个思路应该告诉用户。

然后root方案也得提一下,虽然门槛高。需要用户刷入带签名的自定义ROM,或者用Magisk这类工具修改系统分区。但普通用户可能不会操作。

自动化工具可能最实用。像Tasker+AutoInput组合,通过模拟点击实现自动接听。虽然不够优雅但确实可行。

对了,还要提醒用户Android 10之后权限管理更严格,连取电话号都需要敏感权限声明。

最后得强调用户隐私问题。这类敏感功能必须明确告知用户,引用[4]的隐私条款虽然不直接相关,但精神值得借鉴[^4]。

用户可能会追问具体实现细节,所以最后准备几个深入问题:免root API怎么用、Tasker具体配置、root后的权限处理方法等。这样对话就能自然延续下去了。
</think>根据提供的引用信息和Android权限机制,获取`MODIFY_PHONE_STATE`权限的可行方法及限制如下:

---

### **核心限制(来自引用[1][2][3])**
1. **权限级别变更**  
   Android 2.3+ 将`android.permission.MODIFY_PHONE_STATE`标记为 **`signatureOrSystem`** 级别:
   - **System级应用**:需预装在设备的`/system`分区(如厂商预装应用)。
   - **厂商签名**:需使用手机制造商相同的证书签名(普通开发者无法获取)[^1][^2][^3]。

2. **无官方变通方案**  
   引用[3]明确强调:**没有合法绕行方法**,除非与手机厂商合作预装应用[^3]。

---

### **替代方案与可行方法**
#### 1. **免Root替代方案**(适用于自动接听)
- **利用辅助功能(AccessibilityService)**  
  通过`AccessibilityService`模拟接听操作(无需`MODIFY_PHONE_STATE`):
  ```java
  public class CallAnswerService extends AccessibilityService {
      @Override
      public void onAccessibilityEvent(AccessibilityEvent event) {
          if (event.getEventType() == AccessibilityEvent.TYPE_NOTIFICATION_STATE_CHANGED) {
              // 检测来电通知,执行接听操作
              performGlobalAction(GLOBAL_ACTION_ANSWER_CALL);
          }
      }
  }
  ```
  **权限声明**:
  ```xml
  <service android:name=".CallAnswerService"
           android:permission="android.permission.BIND_ACCESSIBILITY_SERVICE">
      <intent-filter>
          <action android:name="android.accessibilityservice.AccessibilityService"/>
      </intent-filter>
  </service>
  ```
  > ✅ 优点:用户手动启用辅助服务即可,兼容主流机型。  
  > ❗ 限制:需用户手动授权,无法完全后台静默操作。

#### 2. **Root设备方案**
- **刷入自定义ROM**  
  将应用打包进自定义ROM的`/system`分区,直接获得System权限[^2][^3]。
- **使用Magisk模块**  
  通过Magisk将应用挂载到`/system`分区(需解锁Bootloader)。
- **修改`platform.xml`**  
  在Root后的设备中,向`/etc/permissions/platform.xml`添加:
  ```xml
  <permission name="android.permission.MODIFY_PHONE_STATE">
      <group gid="dialout"/> <!-- 赋予权限组 -->
  </permission>
  ```
  >  ⚠️ 警告:操作风险高,可能导致系统不稳定。

#### 3. **厂商定制接口**
- **利用厂商开放API**  
  部分厂商(如小米、华为)提供**自动接听白名单接口**,需申请特殊资质。
- **合作预装**  
  与手机厂商合作,将应用预置到出厂系统中(适合大型企业)。

---

### **隐私与合规要求(引用[4]提醒)**
若应用涉及电话操作(如`READ_PHONE_STATE`):
1. 必须明确告知用户权限用途。
2. 提供隐私政策链接(Google Play强制要求)[^4]。
3. Android 10+ 需在代中动态申请敏感权限:
   ```java
   if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.Q) {
       requestPermissions(new String[]{Manifest.permission.READ_PHONE_STATE}, REQUEST_CODE);
   }
   ```

---

### **总结建议**
1. **优先选择免Root方案**:通过`AccessibilityService`实现自动接听(用户可控,合规性强)。
2. **放弃直接使用`MODIFY_PHONE_STATE`**:普通应用几乎无法获取该权限。
3. **Root方案仅限技术验证**:不适合上架应用商店。

>  📌 关键结论:**普通开发者无法合法获取`MODIFY_PHONE_STATE`权限**,必须转向系统允许的替代方案[^1][^2][^3]。

---

### 相关问题
1. Android 10+ 如何通过辅助功能实现自动拒接电话?  
2. 使用`AccessibilityService`接听电话是否会被谷歌商店下架?  
3. Root环境下修改`platform.xml`的风险有哪些?  
4. 如何为电话控制类应用编写合规的隐私政策?

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 14

	

  

	
    

      

      

      

        
        

          
          

            

              成就一亿技术人!
            

            

              拼手气红包6.0元
            

          

        

        

          

            还能输入1000个字符
          

          

             
          

          

            

              红包
              添加红包
            

            

              表情包
              插入表情
              

                

              

            

            

              表情包
              代码片
              

                
              

            

            

              
              
              
              
              
              
              
            

          

        

      

    

		

			

			

			
			

					 条评论被折叠 查看
			

			

				
			

		

	

	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值