三天前，同事拿来了一个定制过的平板，问我能不能自己装个应用上去，我心想这能有多难，就接过来了。

拿到手点了一会儿，发现是个叫天奇健教育培训机构给学生定制的PAD（提分派）。它自己开发的桌面，上面只显示学习相关的应用（背单词，答题，校园通知相关的东西）。桌面上唯一一个和Android相关的就是系统设置，点开发现也裁掉了绝大部分功能。除了WIFI设置和关于设备以外几乎没有其他选项，而关于设备里面反复点击版本，即便提示开发者模式已经打开，实际也看不到这个菜单。 看来定制的思路完全就是怕学生拿PAD玩耍而不是学习。

平板用的是MTK的MT6580的芯片，设备名字叫k960N_MT6580_32_N，Android 7，内核3.18.35+，连淘宝上都没得卖，只有aliexpress上有个链接，估计是个贴牌机之类的产品。自带的应用都是连接校园内网才能使用，看了一圈也没发现什么一下就能实现下载安装的功能（实在不想花时间琢磨这些应用了）。

试了一会儿发现设备开关和音量上组合可以进bootloader模式，并且fastboot oem unlock竟然能解锁。首先想到的是通过解锁，设备肯定会重置用户数据，也许这个定制的桌面就跟着被删除了。要是回到Android原生的桌面，就有转机了。遗憾的是，重置以后桌面还在，只是应用少了很多。这个桌面应该是把原生桌面直接从/system/app替换了。

不过bootloader已经解锁了，按说现在的权限已经可以改分区，替换掉它这些自定义的东西了。但麻烦在于，这么个无名无姓的平板，无论是源码还是官方固件，网上搜不到任何信息，没有东西让你能替进去的。索性还是下载了一些其他MT6580芯片设备的ROM或者TWRP，挨个尝试fastboot boot xxx.img，看能不能有个奇迹，要的不多，只要不崩，系统能启动。这样好歹能有个img开始改起啊。第一天就在试来试去中度过了，发现非Android 7的boot.img和recovery.img，导致的都是快速重启，Android 7的的img则是启动后卡顿十几秒后重启。

boot.img和recovery.img还是挺娇气的，稍微有点差异就不能正常引导系统，还是得想办法把PAD里的原始镜像DUMP出来自行修改。

搜到MTK芯片有个模式叫MTK Preloader（工厂刷机模式），工厂量产设备时用它可以快速刷写系统，配套的工具叫SP Flash Tool，基本被用来救砖。这种工厂刷机模式非常类似高通的QPST（9008模式），都是由固化在芯片里率先启动的bootrom提供的功能。由于bootrom没法篡改，系统总能黑砖下起死回生。

进入这种模式时差不多都是组合键或者直接短接SOC上的特定触点，手机启动后就会开启一个串口。然后PC端按照约定协议，发送一个用于继续执行的第2阶段的程序文件过去（高通叫prog_emmc_xxx.mdn，MTK一般是MTK_AllInOne_DA.bin）。接下来这个二进制程序会开始执行，并且继续和PC通信，实现改写分区的任务。

SP Flash Tool就是PC端用于和进入这种模式的MTK设备通信的软件，相比高通设备要四处寻找prog_emmc文件不同，MTK设备有个比较通用的MTK_AllInOne_DA.bin文件作为第二阶段的代码。工厂模式除了可以刷写分区，还能读取分区内容回传。

一般使用这种模式时，读写分区要有个配置文件MT6580_Android_scatter.txt，里面用于配置各个分区所在的磁盘偏移，这样软件才知道你要读的分区究竟在哪。随手打开了一个之前下载的MT6580设备的ROM，就找到了这种配置文件：

配置文件和手里的设备难免有差，只能作为一个参考。系统一般会分成三个大区EMMC_BOOT_1， EMMC_BOOT_2， EMMC_USER。 我们关心的boot.img位于EMMC_USER分区，至于是不是从0x1D200000开始就不好说了。

一般进入这种刷机模式，需要把电池扣下来，让设备完全断电，然后再把电池放回去，这时插上USB线后就能检测到串口了。软件必须提前执行读或者写的指令，因为该模式可能只有几秒钟的时间窗，窗内没有收到第二阶段的文件就逾期不候了。麻烦又开始了，这个PAD拆开后盖看，电池是焊在板子上的，哪有电池让我扣啊。实在不得已，只能把红色VCC的电源线线焊下来了。

每次进入这种模式时的步骤就变成了：右手食指把红线压回原触点，左手迅速把USB线插入。

经过一段时间的练习，我已经可以大概率地进入工厂刷机状态了。接下来，软件上配置好READ BACK，点击按钮，然后进行左右手互搏后，就完成了一次分区读取。显然，按照之前的剧本惯性来看，仍然没有那么顺利，从0x1D200000读取回来的果然不是boot.img。

于是干脆读了EMMC_USER分区开头0地址开始，长度0x1000的部分，里面有磁盘分区表，可以根据这个自己计算偏移。分区表的开头大概长这个样子：

继续往后找就看到各个分区的说明字段了，其中boot分区开始sector是0xF600，sector结束位置是0x175FF：

每个sector能存放512字节，所以改写成SP Flash Tool的格式就是：

Start Address: 0xF600 * 512 = 0x1EC00000

Length: 512 * (0x175FF -  0xF600 + 1) = 0x1000000

第二天最后一次左右互搏后，拿到了PAD的boot.img和recovery.img，fastboot boot xxx.img试了一下，可以正常启动。

现在有了boot.img和recovery.img的镜像，可以动手修改再fastboot flash boot xxx.img刷回了，目的就是让启动后的系统开放一些，比如增加个ADB ROOT。

下面的步骤多少稍微绕了点弯路，主要原因是硬刚boot.img没刚过（无论如何都没法通过修改init.xxx.rc实现开机启动ADB）。

修改img用的工具是mkbootimg_tools，先修改recovery.img：

在/default.prop增加ro.debuggable=1，这样进入recovery后会启动adb；

接下载再patch位于/sbin的adbd，具体就是把drop_privileges函数里执行的东西一个大B跳过，这样ADB就不降权了；

考虑到selinux的限制，不降权的ADB也许没法正常运行，就把/sepolicy也修改一下。

用到sepolicy_inject（附件是用cygwin编译的sepolicy_inject），把可能惹麻烦的域都改成permissive：

重打包的recovery启动后就带ADB ROOT了，不过只能push和pull，因为/system/bin/sh并不存在，如果recovery像我一样刚好带了挂载/system的功能，可以挂载后再执行adb shell。或者找个类似设备，把/system/bin和/system/lib拷贝一份，手动adb push上去也可以。

利用这个高权限接口，把自己的应用传到/data/app下，再重启进入主系统，应用就会自动安装。不过Android 6开始，即便APK带有android.permission.RECEIVE_BOOT_COMPLETED权限，如果从来没有没有被打开过，也是不会开机启动的（它自定义的桌面不显示我们装的应用，所以没法点击打开）。

所以我在/data/app放了两个应用，其中一个是第三方Launcher，装好后再按home键就会弹出选项，启动自定义的Launcher。另一个放在/data/app下的应用就会在第三方桌面下显示了，而他里面就一行代码，用于启动com.android.settings.developmentsettings，为的就是在图形界面下把usb调试打开。

所以，以上繁琐的步骤，其实只为了打开usb调试而已。

最后，然后再把boot.img里的adbd也修改一下，重启就有了ADB ROOT。看/mt6580.fstab知道设备本身没开dm-verity，干脆把它的桌面从/system里给删除了，再后面就随意发挥了。

本文由看雪论坛 txstc 原创

转载请注明来自看雪社区

热门图书推荐：

征题正在火热进行中！

（晋级赛Q1即将于3月10日开启，敬请期待！）

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com