【ROM焼き】SHARP　AQUOS PHONE root総合

1 ：SIM無しさん：2014/10/10(金) 13:02:15.01 ID:N8h8mIU5.net

SHARP　AQUOS PHONE root総合スレです

【注意】
root化してしまうとメーカーの保証を一切受けられません。
内部の書き換えを行うと最悪の場合、文鎮になりますので自己責任でお願いします。

2 ：SIM無しさん：2014/10/10(金) 13:03:48.40 ID:bW9MhODo.net

ええとおもうよ

3 ：SIM無しさん：2014/10/10(金) 13:09:18.19 ID:N8h8mIU5.net

機種のスレッドない人とかつかってもらえればと

4 ：SIM無しさん：2014/10/10(金) 13:11:29.14 ID:pXsfX8Wx.net

>>1
乙
303sh、shl24、sht22のダンプとinstall_bachdoor作ってるから、仕事終わって家帰ったら上げるわ。(acdbはないけど)

5 ：SIM無しさん：2014/10/10(金) 13:13:31.83 ID:N8h8mIU5.net

>>4
ツールの方？

6 ：SIM無しさん：2014/10/10(金) 21:16:15.69 ID:gvbpc4jz.net

カーネルダンプとそれぞれのアドレスを組み入れたinstall_backdoorのツール群をうｐ(我ながらどんだけSH機買ってるんだよと呆れるｗ)
ただし自分にはダンプからmsm_acdb関連のアドレスを読み解くスキルがないので、その部分はスルーしてます。つまり有線から外れるとスリープで再起動します。

自分はSNSをやらない人間なので、どなたかfi01先生に連絡をとってacdbの解析を依頼してもらえると非常に助かります。
或いはlast_kmsgに依らない、ダンプからのアドレス取得方法をご存知の先達がこのスレに居られれば、是非ともご教授頂ければと思います。
このスレはまったり実利な感じで進行して行きたいね。

302sh_s0014_kernel.dump
ttp://www1.axfc.net/u/3339102

303sh_s0024_kernel.dump
ttp://www1.axfc.net/u/3339124

shl24_01.00.01_kernel.dump
ttp://www1.axfc.net/u/3339152

sht22_01.00.01_kernel.dump
ttp://www1.axfc.net/u/3339163

backdoor_mmap_toolsの実行ファイル
ttp://www1.axfc.net/u/3339166

問題があれば消します。

7 ：SIM無しさん：2014/10/12(日) 19:11:50.59 ID:tNQHBhgs.net

なんかこのスレ誰もいなさそうｗ

acdbのアドレスはあたりを付けて幾つか試してみたけど、失敗した。
若しかしたら既に対策済みってオチだったり。

302sh、303shのsimロックに関しては禿さんが動かない以上
自力で何とかするしかないんだけど
ttps://github.com/thinkinbunny/fukagaku/blob/master/sharp_ste.c
↑とか参考になりそう。でも失敗すれば確実に文鎮。。。

そういえばtewiloveさんって初期にsh06eで尽力してくれてた人だったっけ。

8 ：SIM無しさん：2014/10/13(月) 02:02:07.96 ID:5ZW3jOWd.net

>>7
abootとrecovery書けるなら
セキュリティー外したkernel入れちゃえばいいんじゃね？
cwmまでいきゃ文鎮リスクは極小だし。

9 ：SIM無しさん：2014/10/13(月) 11:43:39.88 ID:A0P4AYOF.net

>>8
なるほど。いっそのことnand弄っちゃおうぜ、ってことね。
でもロック外してブートローダー解放までは問題無さそうだけど、それ以降は難易度激高だね。(情報が断片的って意味で)
試しにzImage取り出してバイナリ見てみたけど、解りやすい文字列とかなかったし、２種のカーネル作成から始めないと行けないんだろうか。。。

10 ：SIM無しさん：2014/10/13(月) 21:43:19.94 ID:1/IdJu6s.net

>>9
カーネルはGPL。
sharpはソース公開してるから
make menuconfigで弄ってからビルドすれば
セキュリティーオフのカーネル出来る。
問題はカーネルモジュール等がロード出来ない場合があることだね。

kallsymsprint.exe使ってアドレス取り出して
オリジナルのカーネルのmiyabi等を書きつぶす方が固いとはおもうが、手間がかかる。

11 ：SIM無しさん：2014/10/14(火) 02:08:53.85 ID:yNjk16W/.net

>>10
サンクス。
第２案を試してみる前に、zImageからのimageを元に戻せるか試して見たけど
gzipして削ったバイナリ足してもサイズが全く違ってしまったので諦めましたｗ
そもそもダンプとの共通部分が始まるF8000をc0008000 stextと考えていいものか自身も無いし。。。

とりあえずカーネルビルドの方向でやってみます。

12 ：904：2014/10/14(火) 08:16:21.32 ID:Ya6eBblr.net

>>11
実機からbootイメージ抜く
split_bootimg.plで分割
カーネル側の頭からgzヘッダーまでの部分捨てる
gunzip
kallsymsprintかける
miyabi_のアドレスで検索して
ヒットした箇所をcap_のアドレスに書き換える

とりあえずmkbootimgで組み立てる。
サイズが元のbootimgより小さければそのまま焼ける

だめならzImage化
カーネルビルドすると、ImageからzImageつくる部分あるから.cmdファイルがいくつかできてる
その中身を参考に作成できるはず。

grepで該当.cmdさがすといい。

13 ：SIM無しさん：2014/10/15(水) 02:28:17.24 ID:b5zOl3VN.net

>>12
自分タコなので、ほんと助かってる。有難う。
fastbootでは良くimageから起動してたの思い出したよｗ
でもboot.imgに固めたらオリジナルより大きくなってしまったのでzImageにしました。
助言どおりビルドのcompressedのあたりを眺めてたら、piggy.gzipにしたら素直にバイナリに組み込めそうなので
zImageのキメラにしてcmdlineとbaseを合わせてnew-boot.imgを作成。
リカバリ領域に送ってadb reboot recoveryとすると、、、

そこには冷たく横たわったドロイド君と「コマンドが指定されていません。」の文字が！
まあ、オリジナルのboot.imgでも同様だったので、何らかのボタンアクションを組み込まないと駄目なのかも。

カーネルのmiyabiはご教示どおり潰せたと思います。unlockのメモリ上を予め大本で行うという事なんですね。
ところでnandlockはバイナリのtypeパターンの3や2を0で埋めるのであってますか？これも自信ないです。

まだ弄ったimageで起動出来てないけど、少し先に進めた気がしてきたよ。

14 ：SIM無しさん：2014/10/15(水) 07:55:59.13 ID:R2hpx3o+.net

>>13
寝ドロイド君が出ると言うことは
recoveryに書けてないということ。
そのグラはオリジナルのリカバリーに含まれるものだから。
書けててダメなときは大抵、
防水注意画面でフリーズするか再起動かかる。

きっとsh-06eやisw12kのようにhw_wpがかかってると思うので、
モジュールビルドして外さないと。
その辺の情報は、fi01氏のgistやhiikezoe氏のgithubに。

あと、弄ったイメージ焼く前に
split_bootimg.plで分解したものを
弄らずmkbootimgでリパックしたもので
動作確認してmkbootimgのパラメーターが
正しいか検証してからのほうがいいかも。

15 ：SIM無しさん：2014/10/15(水) 09:21:34.57 ID:Jkdi8HdF.net

>>13
nandのアンロックは
それ（3,2->0）でおk
そこはソフト的なプロテクトだけだけでhw_wpは別だけど。

16 ：SIM無しさん：2014/10/16(木) 00:05:16.32 ID:y4V/yWFv.net

>>14
何と初めの一歩で躓いてた訳ね。
WPって何となくsystem領域に関することだと勘違いしてました。
兎にも角にもカーネルビルドという事でmsm8974の4.2.2のビルド環境を作るべく今夜はひたすらrepo syncです。

そしてnandの件有難うございます。安心しました。　
確かにnand、mmc、どちらも同じことの様でややこしいですね。
ハード的に制限があって、それをモジュールで切替出来るようにする、という考え方なんですね。

17 ：SIM無しさん：2014/10/16(木) 07:55:57.32 ID:k29lrOFJ.net

>>16
64bitのubuntu環境が既にあれば、
カーネルとそのモジュールはsharpのページの本体と関連モジュール
あとはコンパイラ類（ndk等のtoolchain）あれば
ビルド出来るよ。

コンパイラのバージョンは
実機の/proc/versionでわかる。

18 ：SIM無しさん：2014/10/17(金) 04:09:24.85 ID:xV6+3SJP.net

>>17
32bitのzorin(ubuntu)でしたorz
結局、環境の再構築と助言通りGCCに合わせたndkで何とかビルド環境を手に入れたはいい物の、、、
エラーの嵐。
machの再配置など色々と変更したり、面倒臭くなって--ignore-errorsしたりしましたが上手くいかず
log.txtを見ながら唸ってます。
少し勉強が必要なようですｗ

19 ：SIM無しさん：2014/10/17(金) 07:58:32.22 ID:j+LloeWv.net

>>18
うーん、
最近のsharpのソースはすんなり通る事多いんだけどなぁ。

俺が過去にハマったのは、
32bit : 64bitだと何故かすんなり
PATH : いろいろやってたのでパスがカオスだった。吟味すればいいんだろうけど、面倒だったのでコンパイラのパスを頭に。

あたりかな。

ちなみにビルドしようとしてる機種とバージョンは何？
こっちでも手が空いたら試してみるよ。

20 ：SIM無しさん：2014/10/17(金) 15:30:27.63 ID:P916Q3b+.net

bootloaderアンロックは無理なんかな

21 ：SIM無しさん：2014/10/17(金) 18:01:21.54 ID:qsqnsOak.net

>>20
いやアンロック可能な前提で今の話をしてるわけだが。
sh-01fまでは既にやってる人がいるわけで。

22 ：SIM無しさん：2014/10/18(土) 07:30:59.76 ID:HeTsaSR8.net

>>19
有難うございます。
昨夜は寝落ちしてました(最近徹夜だったのでｗ)

自分が今弄っているのはSBM303shのS0018です。
(前ダンプを上げたver.と違うのは捨て機用に別途購入したからです)
NDKは(gcc version 4.6.x-google 20120106 (prerelease) (GCC) )なので
android-ndk-r9-linux-x86_64.tar.bzを使用。
config.gzは
ttp://www1.axfc.net/u/3344378
です。

もしかしたら、こちらのミスで開発環境が変なことになっている可能性も多々有りですが
ぜひ検証していただきたいです。
ビルドしていただき、上手く通るようであれば条件等教えて頂けたら、と思います。
お手間ですが、よろしくお願いします。

23 ：SIM無しさん：2014/10/18(土) 11:55:41.90 ID:ChTtaQm/.net

コンパイラはgoogle-4.6.xなのか。
とりあえずこれだったかな
昔に落としてたから同一かは不明
ttps://android.googlesource.com/platform/prebuilts/gcc/linux-x86/arm/arm-eabi-4.6/+archive/master.tar.gz

なんか変なエラー出るな。
miyabiのとこのエラーは全くわからん。
他機種のソースとかだとmiyabi_sandbox.lstの中身はシンプルなんだよな。

とりあえずmenuconfigでセキュリティ全部切った場合
(Device Driver -> Stagging Driver -> Android -> 〜for Engineering はonにした)
以下の3箇所だけ直したら通った。

それぞれ表示されるエラー箇所の
cpufreq_ondemand.c
../../ を ../ に
mass_shdisp.c
<> を "" に
rtac.c
<> を ””に

この状態でカーネルモジュール作って実機上で動くかは不明。

24 ：SIM無しさん：2014/10/18(土) 18:45:14.19 ID:mfn/gRWB.net

とりあえず上記の修正と
miyabi_sandbox.lstをs0022から持ってきてビルドは通った。

sh-06eの010007でもmiyabi_sandbox.lstが同じ感じだったので、ビルドしたら同様のエラーに。
セキュリティー外してビルドしてmmc_protectのモジュールビルドしてみたけど、insmod出来ず。
そこに010009からmiyabi_sandbox.lst持ってきてビルドしてmmc_protectのモジュールも出来て、
実機でinsmod成功。wp解除も出来た。

流れでついでにsh-06eにcwmまで入れたったw

303shでも同様にいけるんじゃなかろうか。

25 ：SIM無しさん：2014/10/19(日) 03:06:16.08 ID:A3INmQLo.net

>>24
さすが仕事が早いですね。羨ましいですｗ

自分の方は、頂いた情報通りにならずに四苦八苦してました。
原因は単純で、前の色々改変した環境を修正しながらやろうとした事と、
>PATH : いろいろやってたのでパスがカオスだった。吟味すればいいんだろうけど、面倒だったのでコンパイラのパスを頭に。
を怠った事でした。
コンパイラも色々変更したのに、全く反映されてなかったんですね。

で、何とかビルドも通り、お陰様でmmc_protectは作成できたのですが
insmod: init_module './mmc_protect.ko' failed (Exec format error)
となってしまいました。
これはvermagicを指定しなかったからだろう、としてdmesgを見たが判らず、
uname受け付けず、適当にあるモジュールを読み込んでmodinfoしようとしたが
insmod: init_module '/system/lib/modules/si21xx.ko' failed (Exec format error)
busyboxでも
insmod: can't insert '/system/lib/modules/si21xx.ko': invalid module format
となり、そもそもinsmod出来るのか、と詰まってしまいました。

何か単純なことで躓いている気もしますが、いいアドバイスは無いでしょうか？

26 ：SIM無しさん：2014/10/19(日) 11:15:45.94 ID:GDEfjmzD.net

うーん
dmesgには記述皆無なのかな？

Module symversが違うのなら
母艦側で
modprobe --dump-modversions
してmmc_protectと実機のモジュール類の比較すればわかるかもだけど。

unlock_lsm_miyabiで自動で外せてない可能性もあるか。
自動だと頭にmiyabiと付くのしか外せないから、unlock_lsm_miyabiのソース見てsh-06eの等と書き換え箇所を比較してみてもいいかも。

ちなみに、menuconfigで何も変更ずにビルドはしたよね？
俺もセキュリティー外した時に作った奴ではinsmod出来なかったから。

27 ：SIM無しさん：2014/10/19(日) 21:59:30.61 ID:Ftzm38ch.net

＼(^o^)／

>>26
configは弄ってなく、unlock_lsm_miyabiもkallsymsprint.txtを見てソースから作った物でした。

で、もしかしたら自分の手順が見当違いじゃなかろうかと思い
幸い手元に放置してたsh06eの07があったのでmmc_protect.koの作成まで行い
実機にinsmodすると何のエラーもなく素直に組み込め
/sys/kernel/mmc_protect/statusの値も表示されました。

ビルドに問題無かったのなら、mmc_protectのパラメータが303shにマッチしてなかったのでは
と考えネットにあったHello Worldを表示するだけのmoduleをビルドして試してみるも
insmod: init_module './hello_mod.ko' failed (Exec format error)

どうやらシャープはガチのようですｗ
有難うございました。

28 ：SIM無しさん：2014/10/19(日) 22:29:16.60 ID:GDEfjmzD.net

うーん
install_backdoorが入ってるわけで、
好きに書き換えは出来るのだから諦めるのはまだ早いかと。

init.rcの中でinsmod殺してないかとか、カーネルソースのsecurity以下を覗いてみるとかで原因を掴めないかね？

module.symversの不一致はなかった？

29 ：SIM無しさん：2014/10/20(月) 07:44:27.32 ID:87DvVIhk.net

>>28
すみません、取り乱しましたｗ

実機とビルド側でmodule.symversの値の一部
（module_layout、kmalloc_caches、i2c_transfer、kmem_cache_alloc_trace、__stack_chk_fail等）
が違っている様でした。
mmc_protectで使用している値を、実機側に書換えたmodule.symversで今夜試してみます。

30 ：SIM無しさん：2014/10/20(月) 16:21:32.28 ID:DNiTgbzU.net

とりあえずウチでビルドしたmmc_protectのmd5は以下
ecd807c945ef9a4e84d61206200ebef9
modprobeの結果は
0xdf2eb246 module_layout

というか
unlock_lsm_miyabiのソースで

#define unlock_module_patch_address_sh06e_01_00_07 0xc00bcc50
0xe3a00000, // BL <memcmp> -> MOV R0 #0

printf(" kernel module is enabled.\n");

というのがあるわけで
dump見比べるなりdasmなりでこのアドレス見つけて登録しないとな気がする。

31 ：SIM無しさん：2014/10/20(月) 19:01:37.31 ID:DNiTgbzU.net

sh-06e_01_00_07の場合
0xc00bcc50が該当のアドレス

kallsymsから
c00bcaac __symbol_get
c00bcb48 __symbol_put
c00bcbac copy_and_check.isra.22
c00bcd10 ref_module
c00bce8c resolve_symbol

ref_moduleの直前の部分にあたるので

そこをarm7-dasmでディスアセすると
arm7-dasm kernel c0008000 c00bcbac > mod_enable.dasm

c00bcc48: e5 9f 10 b4 LDR R1, =$c0809240 [$c00bcd04]
c00bcc4c: e3 a0 20 20 MOV R2, #$20
>c00bcc50: eb 07 74 8c BL $c0299e88
c00bcc54: e3 50 00 00 CMPS R0, #$0
c00bcc58: 0a 00 00 02 BEQ $c00bcc68
c00bcc5c: e5 9f 00 a4 LDR R0, =$c0acf0c7 [$c00bcd08]
c00bcc60: eb 1c 93 2c BL $c07e1918
c00bcc64: ea 00 00 19 B $c00bccd0
c00bcc68: ; from c00bcc58
c00bcc68: e1 a0 00 04 MOV R0, R4
c00bcc6c: e5 9f 10 98 LDR R1, =$c0ab0c00 [$c00bcd0c]
c00bcc70: e3 a0 20 04 MOV R2, #$4
c00bcc74: eb 07 74 83 BL $c0299e88
c00bcc78: e3 50 00 00 CMPS R0, #$0

該当アドレスで分岐ジャンプしてる先は
$c0299e88
これをkallsymsで見るとmemcmp

続く

32 ：SIM無しさん：2014/10/20(月) 19:02:27.95 ID:DNiTgbzU.net

で、手元のwx04sh_s0008で
insmod /system/lib/test-iosched
に失敗するので

まずkallsymsからref_moduleを探す

c00aae5c __symbol_get
c00aaef8 __symbol_put
c00aaf5c copy_and_check.isra.22
c00ab0e4 ref_module
c00ab25c resolve_symbol

発見
c00aaf5cからdasm
結果をmemcmpのアドレスで検索

c024b530 strtobool
c024b58c memcmp
c024b5c0 memscan

c00ab00c: e3 a0 20 20 MOV R2, #$20
c00ab010: e2 86 60 20 ADD R6, R6, #$20
>c00ab014: eb 06 81 5c BL $c024b58c
c00ab018: e3 50 00 00 CMPS R0, #$0
c00ab01c: 0a 00 00 02 BEQ $c00ab02c
c00ab020: ; from c00ab000
c00ab020: e1 56 00 0a CMPS R6, R10
c00ab024: 1a ff ff f6 BNE $c00ab004
c00ab028: ea 00 00 23 B $c00ab0bc
c00ab02c: ; from c00ab01c
c00ab02c: e1 a0 00 04 MOV R0, R4
c00ab030: e5 9f 10 a4 LDR R1, =$c08d3c86 [$c00ab0dc]
c00ab034: e3 a0 20 04 MOV R2, #$4
>c00ab038: eb 06 81 53 BL $c024b58c
c00ab03c: e2 50 60 00 SUBS R6, R0, #$0
c00ab040: 1a 00 00 13 BNE $c00ab094
c00ab044: e1 d4 31 b0 LDRH R3, [R4,#$10]

2箇所ヒット
sh06eでも2箇所ヒットで前者が該当アドレスなので

コードは微妙に違うけどまぁ試す分には壊れることもないだろうと
そこのアドレス入れて
unlock_lsm_miyabiをビルド
（device.dbが入ったままなんで、うまく行かなかったから機種固定して専用にしてビルドした）

めでたく
insmod /system/lib/test-iosched
に成功。

33 ：SIM無しさん：2014/10/21(火) 04:02:14.03 ID:CVL9/7HJ.net

>>30
確かに実機とmodprobeの値が違うのはおかしいので
make cleanで無くイチから作り直したら、自分のmoduleでも
0xdf2eb246 module_layout となり、他の実機のmoduleの値とも一致するようになりました。
ミスばかりで恥ずかしい限りです。。

>>31
勉強になります！
バイナリはそうやって見るんですね。
後、insmodが出来ないのはunlock_moduleされてないので、でしたか。

自分の303shだと、こんな感じでした。
c0359d40 memcmp

c01ca764: e3 a0 20 20 MOV R2, #$20
c01ca768: e2 86 60 20 ADD R6, R6, #$20
>c01ca76c: eb 06 3d 73 BL $c0359d40
c01ca770: e3 50 00 00 CMPS R0, #$0
c01ca774: 0a 00 00 02 BEQ $c01ca784

でも、unlock_lsm_miyabiにしてもkernel module is enabledに出来ない。
import_address.shでdevice.dbに登録してもダメ。
なので機種固定のビルドを試してみます。

34 ：SIM無しさん：2014/10/21(火) 08:01:12.49 ID:pTFw/ggA.net

上手く行きそうだね、よかった。
kernel module is enableが出てないということは
機種判別でdevice.dbの値が優先されてるのだろうから。

まぁそのバイナリの見方は邪道なんだけどね。
先駆者がいて模範解答から逆算してるようなもんだから…。

35 ：SIM無しさん：2014/10/22(水) 05:22:44.04 ID:5r+WBQTG.net

>>34
成功しました！

どうも自分のソース改変がうまくなくmodule解放が上手くいかなかったので
さらのbackdoor_mmap_toolsに既存のデバイスの一つを303shで上書きしてビルドし、
device.dbもSQLiteEditorで書き直して実行しました。

こんな感じ
shell@android:/data/local/tmp $ ./install_backdoor
./install_backdoor
Attempt acdb exploit...
failed to open /dev/msm_acdb due to Permission denied.
Attempt put_user exploit...
ioctl: Bad address
Attempt futex exploit...
futex_exploit: Server started
install_mmap: success
shell@android:/data/local/tmp $ ./unlock_lsm_miyabi
./unlock_lsm_miyabi
12 functions are fixed.
kernel module is enabled.
shell@android:/data/local/tmp $ ./unlock_mmc_protect
./unlock_mmc_protect
Found mmc_protect_part!
7 partitions are fixed to readable.
1 partitions are fixed to writable.
shell@android:/data/local/tmp $ ./run_root_shell
./run_root_shell
shell@android:/data/local/tmp # insmod ./mmc_protect.ko
insmod ./mmc_protect.ko
shell@android:/data/local/tmp # cat /sys/kernel/mmc_protect/status
cat /sys/kernel/mmc_protect/status
perm_wp = 0
temp_wp = 0
write_protect_group_size = 16384
mmc_ext_user_wp = 0x00
mmc_us_perm_wp_en = 0
mmc_us_perm_wp_dis = 0
mmc_us_pwr_wp_en = 0
mmc_us_pwr_wp_dis = 0
mmc_ext_hc_wp_grp_size = 2
mmc_ext_hc_erase_grp_size = 8
write_protect_group_size = 16384
0x00000000 (0x0155555555550055)
0x00080000 (0x5555555555555555)

0x01d00000 (0x0000000000100000)

msm_acdbのアドレスも書加えましたが、権限が制限されてました。
後は文鎮リスクの特攻のみですねｗ

36 ：SIM無しさん：2014/10/22(水) 07:43:07.52 ID:gOSUha/k.net

おめ
hw_wpの情報は少ないし
ここが山場だね。
とりあえず、最悪スマホとしての機能を失わないrecoveryで試すかんじかな。

はなからsh-06eと同等との読みで
set->clrでrebootからいくか
sh-06eが特殊として、まずはclrから試すか。

解除出来たようならオリジナルのbootimg(signed)をrecoveryに焼いて
reboot recoveryでリカバリー領域から通常起動するかのテストかな。

BLアンロックはその次のステップかね。

37 ：SIM無しさん：2014/10/22(水) 23:04:54.01 ID:OY6DyIUW.net

あ、
>>35
でunlock_mmc_protectしてるけど、
そのままだとsystem領域しかwriteのアンロックされてないよ。
ソース弄ってwriteアンロックしないとリカバリーとか書けない。

38 ：SIM無しさん：2014/10/23(木) 04:42:17.17 ID:mxL6nPvU.net

>>37
有難うございます。
そこら辺はhw_wp解除以前に頑張ってたので大丈夫ですｗ

そして今ここまで来れました。感謝です。
[303sh_s0018]
recovery領域hw_wp解除→OK
aboot領域hw_wp解除→OK
system領域hw_wp解除→OK
recovery領域からのオリジナルboot.img起動→OK
recovery領域からのre-packオリジナルboot.img起動→OK
recovery領域からの改変boot.img起動→NG
(Imageを弄らずにzImageにする迄はmd5sumで元通りに出来ることは確認)
あと一息といった所なんですけどね。。。

bootloaderアンロックは、この機種では/proc/cmdlineでauthorized_kernel=trueは表示されないので実際に焼いて確認しました。
recoveryに改変したboot.imgを焼いてのreboot recoveryは電源ランプの色が変化した状態で起動不可だったものの、
abootでbootloaderアンロック後はsoftbankロゴまで行き起動不可へと状態が変化しました。
たぶんアンロックじゃないでしょうか。

そしてsystemのxbinにはsuを入れてみました。再起動後も消えてなかったです。
(lsmがあるので全く意味は無いけどｗ)


hw_wp解除の挙動はrecoveryの例でいうと、こんな感じでした。
-------------------------
オリジナル
0x00000000 (0x0155555555550055)
clear
0x00000000 (0x0155555555550055)
set
0x00000000 (0x0155555555aa0055)
clear
0x00000000 (0x0155555555aa0055)
set
0x00000000 (0x0155555555aa0055)
reboot
0x00000000 (0x0155555555000055)
clear
0x00000000 (0x0155555555000055)
set
0x00000000 (0x0155555555aa0055)
clear
0x00000000 (0x0155555555aa0055)
reboot
0x00000000 (0x0155555555000055)
-------------------------
clearは効いてなく、setは一方通行でreboot後にclearとなるようです。
これはsh-06eで報告されている状態と同じでしょうね。

39 ：SIM無しさん：2014/10/23(木) 08:05:01.55 ID:/bs41y1B.net

re-packが動くならBLのアンロックは成功。
re-packは事実上オリジナルから署名を抜いたようなもんだから。

改変イメージのzImage化がうまくいってないんだと思う。
zImageはヘッダーに自己解凍機能を内包したImageなので作成はそこそこ面倒で3,4手順必要なはず。
細かいコマンドラインオプションもあるので、カーネルビルドした環境で*.cmd（非表示ファイル）さがして中開いて
コマンドを引っ張り出して実行するといい。

まぁとりあえずば、セキュリティーオフのカーネルでいったん起動させるのもありかも。

その場合は/sbinに_suなり置いて
init.rcのon post-fsあたりでchownとchmod 6755かけとかないとroot取れずにハマる。
まぁrecoveryなら再起動で別にいいんだけど。

40 ：SIM無しさん：2014/10/23(木) 08:15:38.05 ID:/bs41y1B.net

>>38
hw_wpの挙動はsharp機共通そうだね。
もっと縛りがきつくなる前にsharp機一通り買い揃えておくかなw

41 ：SIM無しさん：2014/10/23(木) 08:22:13.82 ID:/bs41y1B.net

あ、/system/xbinに既にsu入れてるなら
別に/sbin/_su要らんか。

42 ：SIM無しさん：2014/10/23(木) 20:54:02.95 ID:XjJwa797.net

ついに当初の目的の紐なしルートに成功しました！

これも >>8 から長々と(分かっている人なら数日の事が10日以上も掛かってしまったｗ)導いてくれた、多分このスレの２人目の人のおかげです。3人位しか確認できないスレなのに有難うございました。

以下報告
[303sh_s0018]
recovery領域からの改変boot.img起動→OK
recovery領域からのCWM起動→OK
ここまで確認。

昨夜リカバリから起動出来なかったのは、やはりzImageの作成に失敗していたからの様です。
piggy.gzip.oに手間取りましたが、ちゃんとしたイメージになり、起動も問題無くなりました。
これでリカバリ起動で制限なしのandroid環境になり、フルスクリーンとか楽しめます。

ついでにCWMも手元にあった適当なやつをramdiskに突っ込み、fi01さんのスクリプトを303sh用に修正して電源連打で起動出来ました。systemしか解放してなく、調整もしていないので役に立たないですが、起動画面だけで満足しました。

まだCWMのadb接続だとか、boot領域への直焼きなどやる事は多いのですが
(というか其れをしないと、結局文鎮のリスクが高いし)
満足したので、今夜は睡眠を大切にします。

自分のタコさ加減が、総合スレらしくかなりチュートリアルになっている気がしてますｗ

43 ：SIM無しさん：2014/10/23(木) 21:02:22.48 ID:1Pimgk7n.net

おお、おめでとう。
そしておやすみｗ
ゆっくり寝てね。

ちょっと手元にzImage作った時のメモあったんで
上げとく、謎呪文だが。

.piggy.gzip.cmd
cat
piggy.gzip

.piggy.gzip.o.cmd
arm-eabi-gcc
piggy.gzip.S

.vmlinux.cmd
arm-eabi-ld
vmlinux

.zImage.cmd
arm-eabi-objcopy
zImage

44 ：SIM無しさん：2014/10/24(金) 11:17:48.89 ID:7SlNhq2c.net

sh02eなんですが電源ボタンが押しっぱなし判定になっているのか電源が落ちまくります。
電源ボタンを無効にして他のボタンを代わりに割り当てたいんですけど、
無効にするのもボタン割り当てを変えるのもroot権限を取得する必要があり、すれば出来ますか？
よろしくお願います

45 ：SIM無しさん：2014/10/24(金) 12:06:26.80 ID:1/VMA/bk.net

>>44
バッテリー抜けない機種は
電源ボタンの長押しはos外だから
無理ぽ

というか末尾E機種なんだから
root云々する前にドコモショップで5200円払って修理したほうがいい。
ドコモ契約ないなら知り合いに頼むといい。

46 ：SIM無しさん：2014/10/24(金) 19:54:30.19 ID:r0pziihd.net

>>45
OCNのmvnoでもdocomo回線扱いされる？

47 ：SIM無しさん：2014/10/24(金) 19:59:15.26 ID:1/VMA/bk.net

>>46
それは無理
というか必要なのはドコモプレミアクラブなので
入ってる人に譲ったみたいな形で持ち込むしか…。

48 ：SIM無しさん：2014/10/24(金) 20:09:13.41 ID:dMGta8HQ.net

sh-06eのcwmでADBの認識が微妙で
一分くらい待たないと繋がらなかったので
試行錯誤して、すぐ認識するように弄ってみた。

適当に弄ったのでキモはよくわからん
なので無駄も多そう。

とりあえずsh-06eはrootスレあるけど
ソースをこっそりとこっちに上げとくｗ
元ソースはfi01氏のものです。

ttp://www1.axfc.net/u/3349065.gz
key:sh06e

あ、字が小さくてよく見えなかったので
このパッチもあててフォント大きくしてみた。

Custom Recovery Fonts (Any Interest?) | Android Development and Hacking | XDA Forums
ttp://forum.xda-developers.com/showthread.php?t=1811382

49 ：SIM無しさん：2014/10/24(金) 21:04:14.59 ID:tdzyvOCe.net

|дﾟ)ﾁﾗｯ

50 ：SIM無しさん：2014/10/24(金) 21:55:28.73 ID:ZNMq3hQY.net

>>45
そっかー
ありがとうございました。
知り合いも結構みんなmvnoに引き込んじゃったからまずいなーw
ルート化は諦めてみます

51 ：48：2014/10/25(土) 17:46:42.41 ID:cveaNO2F.net

>>48のcwmをbootに突っ込んで
キー分岐しようとしたが
それで起動するとadbが効かなくなるんで
cwm側のinit.rcのueventdの前にwait入れたら起動するようになった。

52 ：SIM無しさん：2014/11/04(火) 03:57:12.06 ID:Zj0qK+VN.net

暗黙の了解でrootさせたり
リカバリ出来るようにしとけば馬鹿売れするのに

53 ：SIM無しさん：2014/11/04(火) 08:09:52.97 ID:YPxtCagA.net

メーカーにとって、客はキャリアでユーザーじゃないようだから…

まぁバカ売れはしないだろうけど、一部ユーザーはそっちを選ぶだろうな。
どうせどのメーカーも似たような板スマしか出してないんだし。

54 ：SIM無しさん：2014/11/04(火) 17:48:41.90 ID:xwiRXVV1.net

Xx 206shはroot化出来ない？

55 ：SIM無しさん：2014/11/04(火) 19:23:17.37 ID:YPxtCagA.net

>>54
fi01氏のtwitterで必要なアドレス類を書いてたはず。
それで仮rootとかsystemのバインドいけるはず。

恒久rootなら、このスレの上にあるような作業を。

56 ：SIM無しさん：2014/11/04(火) 19:50:54.10 ID:zk+XW3Qz.net

>>55
ありがとう。確認してみます。

57 ：SIM無しさん：2014/11/06(木) 08:14:03.72 ID:a2svrYqP.net

そいやsharp機はどのあたりまで「L」のアプデくるんだろうな？
rootスレの住人的には、
来そうな機種の旧ver抑えておくべきかなと。

58 ：SIM無しさん：2014/11/07(金) 01:22:50.30 ID:IF7qBuQf.net

ダンナが出張なので、ちょっと他の人と遊んじゃった！
結婚して1ヶ月で出張なんかするほうが悪いよね。

59 ：SIM無しさん：2014/11/07(金) 12:55:16.17 ID:/beI+XdR.net

SH-06eを4.3以上にしたい…
Android Wear持ってるから連携させたいのに

60 ：SIM無しさん：2014/11/07(金) 13:35:05.08 ID:X3Cp3Eru.net

イチの位が4なら小数点以下はどうでもよくない？結構違ってくるの？

61 ：SIM無しさん：2014/11/07(金) 14:54:25.67 ID:Eo/giIih.net

4.0はデュアルコアに最適化されたが、まだトロイ
.1のプロジェクトバターで反応改善
.2のプロジェクトロードランナーで電池持ち改善
.3はしらん
.4でメモリ512MBでも軽快に
5.0でランタイムがartになって電池持ち改善、マテリアルデザイン（笑）

62 ：SIM無しさん：2014/11/11(火) 10:04:56.32 ID:uaUHhZid.net

>>47
ルート取っててもドコモプレミア入っていれば
修理できるのか

63 ：SIM無しさん：2014/11/11(火) 13:04:58.27 ID:e24HsYZZ.net

>>62
大元の質問の>>44はroot取ってないぞ。
そもそもハードウェアトラブルだし。

root取っての文鎮なら、バレたら拒否されても文句は言えん。

64 ：SIM無しさん：2014/11/11(火) 23:01:38.25 ID:fWCg/xnm.net

>>60
4.3以上じゃないとAndroid wearと連携できない仕様

65 ：SIM無しさん：2014/11/13(木) 13:02:18.36 ID:ndgVUi7X.net

>>63
文鎮してないルート端末修理出したらバレるかなやっぱ

モバイルネットワーク設定開けなくなったんだ

66 ：SIM無しさん：2014/11/13(木) 13:33:57.10 ID:/KrYpbnZ.net

>>65
最近の端末だとrootなりlsm解除の回数を別エリアに書き込む機種あるらしいけど、さすがにそこまで見なそうな。

てか文鎮化してないなら、ddでフルにイメージ戻せばいいんじゃないかな。

67 ：SIM無しさん：2014/11/16(日) 14:58:50.18 ID:uCfFw8SK.net

文鎮化したこと何度もあるけど、やり方によって試行錯誤すれば元に戻せたり、他の不具合でしれっと持って行ったら修理してくれたりしてほんとに文鎮で終わったことはないわ。

68 ：SIM無しさん：2014/11/17(月) 14:43:21.93 ID:1kgu2yuM.net

>>66
バックアップしてなかったあの頃の無知なわたしに言ってあげたい、ddでイメージ取っておけば。。。
他端末ならcwm導入してapn設定直せたりするらしいんだけど、SHARPはつらいね

69 ：SIM無しさん：2014/11/17(月) 19:05:09.30 ID:BrSwRQ+Z.net

>>68
rootとれてんなら、該当箇所探して書き換えればいいんじゃ？
sharp機ならdatabase.dbがdataから別パーティションにsymlinkされてた気がする。
それの中身を母艦上からsqliteのエディタで。

busybox find / -name "*.db"
とかで探せたような。

70 ：SIM無しさん：2014/11/20(木) 17:38:02.73 ID:ub5co7AR.net

sh02eのcwm導入ツールあるんかな

71 ：SIM無しさん：2014/11/20(木) 19:03:48.13 ID:sm+sA2/N.net

>>70
というかシャープ機は全てcwm不可能でしょ

72 ：SIM無しさん：2014/11/20(木) 19:26:17.72 ID:7e6VwP/3.net

>>70
sh-02eのは見ないね。
まぁsh-04e,05e,06eあたりを参考にすりゃ動くと思うよ。
まずビルド環境作って、mkvendor.shで純正リカバリイメージから雛型作って、他機種を参考に調整で。

>>71
今となっては国産でBLアンロック出来るのはsharpと京セラくらいだろ。

73 ：SIM無しさん：2014/11/20(木) 20:40:06.21 ID:18HWzu7Yt

>>42
大分、間が空いていますが、もしよろしければ303SHのRoot化の
作業内容を、まとめて書いていただけないでしょうか？
よろしくお願いします。

74 ：SIM無しさん：2014/11/20(木) 21:22:16.53 ID:h8dzdtBN.net

京セラ端末がBLアンロックできるっての初耳だわ

75 ：SIM無しさん：2014/11/20(木) 22:46:43.64 ID:n6JzhqiK.net

>>74
正確にはlg機の様にlokiの脆弱性で
非署名のイメージが起動できる。

76 ：SIM無しさん：2014/11/21(金) 16:45:23.11 ID:xAi7bqcd.net

>>72
rootもワンクリツールでしか出来ないので
大人しく静観しときます

77 ：SIM無しさん：2014/11/26(水) 04:37:14.98 ID:fYsRYbpl.net

304shのルートいつだろう

78 ：SIM無しさん：2014/11/29(土) 00:13:47.76 ID:qgudppvx.net

sh06eのromスレで言及した、303sh用cwmのソースを上げておきます。
fi01さんや48さん、あと107shやsh07dスレのcwmを参考にしています。
実際よくわかってないので、adb接続するためにはfi01さんのソースほどシンプルには出来ませんでした。
init.recovery.qcom.rcはvendor下のbinとlibを読みに行くので追加してください。

お蔵入りしなくて良かったですｗ

ttp://www1.axfc.net/u/3365628.gz
機種名

79 ：SIM無しさん：2014/11/29(土) 09:07:28.70 ID:ZdcAvAtJH

>>78
おお、すばらしい。
ありがたく、使用させて頂きます。

80 ：SIM無しさん：2014/12/07(日) 21:32:38.99 ID:wWWsfUiM.net

SH-10DでROOT奪取後、Framework-res.apkをリマウントせずにコピーしてしまい、
AQUOSPHONE　の画面のまま動かなくなってしまいました。
adbshellは使えるのですが、バックアップしておいたファイルと置き換えられません。。。

お知恵をお借りしたいです

81 ：名無しさん＠そうだ選挙に行こう：2014/12/13(土) 14:00:03.50 ID:IV3zpfnN.net

>>80
俺だったらリカバリーから置き換えるけど、カスタムリカバリが起動できないなら黙ってファクトリーリセットするよ

82 ：名無しさん＠そうだ選挙に行こう：2014/12/14(日) 14:49:11.58 ID:GibxPRw4.net

この機種のアナザービューアプリの場所どこにあるかわかりますか？
あとアナザービューアプリをシャープ機以外に入れて使える？

83 ：名無しさん＠そうだ選挙に行こう：2014/12/14(日) 15:58:55.80 ID:nI93VxP+.net

system書き換え後のトラブルに
事態を把握してないのにファクトリーリセットしたらあかん。

adbとかデフォはオフなんだから。

84 ：名無しさん＠そうだ選挙に行こう：2014/12/14(日) 16:01:08.07 ID:nI93VxP+.net

とにかく弄ったファイルの確認と
とくにパーミッションが正しいか調べれ。

85 ：SIM無しさん：2014/12/25(木) 08:59:04.69 ID:ExOt/pTT.net

http://i.imgur.com/G8AijYz.png

86 ：SIM無しさん：2014/12/25(木) 10:46:25.38 ID:26oKReEP.net

あと一週間ないのに。。。

87 ：SIM無しさん：2014/12/26(金) 05:39:05.20 ID:SmTlLxLS.net

102SHとSHL21のSimUnlockってもうでてる？

88 ：SIM無しさん：2014/12/31(水) 02:23:06.18 ID:9kpJc8C0.net

事故解決しました

89 ：SIM無しさん：2015/01/01(木) 11:52:08.78 ID:S7BGOdTxQ

http://i.imgur.com/G8AijYz.png
http://i.imgur.com/G8AijYz.png
http://i.imgur.com/G8AijYz.png
http://i.imgur.com/G8AijYz.png
http://i.imgur.com/G8AijYz.png
笑ｗ

90 ：SIM無しさん：2015/01/02(金) 04:18:01.16 ID:mmu/H3fV.net

WX05SHでroot化成功した方います？

91 ：SIM無しさん：2015/01/02(金) 10:59:05.44 ID:s5h8uM/7.net

04いけるからいけるんじゃね？
最新のアプデはいつだった？
夏より前ならたぶんいける。

92 ：SIM無しさん：2015/01/02(金) 15:01:57.85 ID:mmu/H3fV.net

>>91
とりあえず、ver.7.0 2014/06/22のbatを起動してみたけど
daemonが起動したと思ったら「終了します」で終了しちゃって、メニューまでいけないね
11月に買ったんだけど、サイトを見たら2014年10月15日に更新されてるみたいだ残念
（4.2ならMiracastが使えるからroot化する必要無いのにな・・）
レスthx

↓一応ダメでした情報
ビルド番号： S0010
モデル番号： WX05SH
Android： 4.1.2
ベースバンド： 00.00.00
カーネル： 3.4.0 sharp@TG7X1503)) #2 SMP PREEMPT Wed Sep 3 11::24:31 JST 2014

93 ：SIM無しさん：2015/01/03(土) 17:03:46.44 ID:UPHvsuyR.net

04SHなら現バージョンでもいける模様

> 220 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：2015/01/03(土) 11:09:15.26 ID:UlVC6PT9
> >>208
> 持っているのが04SHなので、05SHでは分りませんが
> SHARP_android_rooting_tools ver.7.0
> これでroot取れました。ちなみに04SHのバージョンは0012の最新
> 最初「MNP接続以外で」というのが分らず苦戦したが、その後に分って簡単に取れました

94 ：SIM無しさん：2015/01/03(土) 21:22:29.06 ID:UPHvsuyR.net

>>92
すいません、以前ADBドライバを入れたはずがデバイストライバー上でエラーになってた
（別のUSB機器を接続しちゃったせいだと思われ）

ドライバを入れなおしたら、
getrootのファイルコピー、仮root化、SUアプリインスはいけてる
dorootのアンロックとsuコマンド有効も大丈夫ぽい
（rootを要求されるアプリを試してみたら動作した）
現在vpnfakerを実行する前にtitaniumでバックアップ中

95 ：SIM無しさん：2015/01/03(土) 21:53:17.18 ID:UPHvsuyR.net

>>94の続き
vpnDialogsのインスと永続rootもいけました

ソフトウェア更新は「自動更新しない」にしておいて
必要になったらunrootしてから実施してみたいと思います

お騒がせしました。tool作成者と人柱になった先人達に感謝します。ありがとう

96 ：SIM無しさん：2015/01/05(月) 16:54:59.75 ID:2UJdCtch.net

ROM焼きスレなのに
カスタムROMとは無縁のアクオス

97 ：SIM無しさん：2015/01/05(月) 18:47:40.61 ID:wafobi3h.net

まぁBLアンロック出来るだけマシとも。

つか今となっては何の変哲もない板スマしか出してないし
シャープ機にわざわざ手間かける人は居ないんじゃ…。

98 ：SIM無しさん：2015/01/05(月) 23:25:29.86 ID:LE+6VwB1.net

ISW16SHをカスロム運用している方はいらっしゃいますか

99 ：SIM無しさん：2015/01/06(火) 07:56:22.92 ID:gS5wW7on.net

>>98
BLはアンロックしてCWMまでは入れてるけど
それ以上はやってない。
ワイマの為に使ってる機種だしなぁ。

100 ：SIM無しさん：2015/01/06(火) 19:22:52.44 ID:ueGxc6G/.net

>>99
どうやるのかのヒントをいただけないでしょうか？年末から元旦にかけて何度もトライしたのにうまくいかなかった。。。

公式アプデはもちろん全て最新です。