Понадобилось мне недавно сделать статичным IP на своем Windows Phone.
Пошел я искать решение в гугл. Все, что я там нашел, было связано непосредственно с настройкой роутера или полностью рутованными телефонами (мой рут накрылся после обновления до Tango), поэтому данное решение мне также не подошло. И вот, в голову пришла гениальная идея — а что если ребята из Samsung уже потрудились, однако сообщить об этом забыли? Так неоднократно было с меню Diagnosis. Напомню, через дыру в него создавали полноценный рут, запускали exe файлы без подписей и многое-многое другое. В прошлом. Снова гуглим, но это ничего не дает — никто толком не знает рабочих кодов диагностики. Хорошо. Ищем xap меню диагностики. На удивление, нашел, т.к. обычно они внедрены глубоко в ядро. Ядро было написано на нативном коде, однако интерфейс — на C#. То, что нужно! Нашел, правда, в кэше китайского ресурса на последней странице, но не суть.
Что же, в путь! Открываем любимый dotPeek от JetBrains и видим следующую картину:
Те пункты, в которых деревья отказались открываться — это dll, содержащие нативный код. Их сразу отбросим.
Отбросим также и те, которые начинаются со слов Microsoft. Это лишь ссылки. Остался первый проект — DiagnosisApp.
Разворачиваем и смотрим пространства имен, корневую и главную:
В корневой видим, что тут постарался DotObfuscator, что сильно усложняет процесс: лишние goto, пустые условия, циклы, однобуквенные названия переменных…
В DiagnosisApp уже интереснее. Видим тут класс, отвечающий за сам код страницы. Вся логика, в лучших традициях быдлокода, лежит не в ViewModel, а прямо в классе. Без всяких там partial. В начале класса видим переменные типа Button. То, что нужно! Это ведь панель набора кода:
Ищем событие Click:
Ведет оно в никуда, лишь управление кнопкой delete и вибрацией.
Что же, и слава богу, разбираться в этом лучше и не начинать…
Казалось бы, тупик, однако оказывается, что всем управляет таймер, включающийся после каждого нажатия кнопки:
Господи, чтобы разобраться в этом коде нужно много алкоголя… Удаляем все, кроме навигации на страницы:
Уже лучше. Тут видно, что навигация идет через некую таблицу HiddenKeyTable, а в качестве ключа туда передается результат некой функции f(A_0), которая является хэшем введенного кода. Смотрим код функции:
Что же, придется разобраться без алкоголя. Убираем строки кода, которые просто сбивают с толка, такие как switch (0), лишние case, дебаггером проходимся по коду и смотрим, куда он приводит в конце концов (переделано в читаемый вид):
Найдя уже нерабочие коды, я обнаружил, что везде используется нечто вроде *#123#, т.е. числовой код начинается с *# и заканчиваются #. Сформируем строку:
А теперь метод полного перебора, чтобы пробить хэш и сравнить его со значением из таблицы:
Значение 3974577854U найти достаточно просто: в таблице HiddenKeyTable поиском IP я нашел ключ g_IPSetting, значением которого является именно это число. Осталось только запустить и буквально через секунду мы получаем результат — код *#232340#, вводим, и вуаля! Мы можем изменить IP адрес, маску подсети, шлюз, DNS. Работает только с Diagnosis 1109, Samsung Omnia W. На других не проверял, увы. Непонятны причины скрытия этого кода, правда. Покапавшись в таблице, я нашел и некоторые другие рабочие коды:
*#9900# — DEBUGDUMP
*#745# — RILDUMP (SLOG_DUMP, sth to file)
*#9990# — g_VERIFYCOMPARE (IMEI compare for PLS operation 8)
*#2470# — g_CAMERAUPDATE (CameraFWUpdate)
*#0589# !- g_LIGHTSENSORTEST
*#1111# — g_SWversionFTA (Test Mode FTA SW version)
*#2222# — g_HWversionFTA (Test Mode FTA HW version)
*#1234# — g_SWversionEx (Version of systems, wifi, bt, csc, pda, phone)
*#0228# — g_BATTERYINFO
*#0842# — g_DEVICETEST
*#0283# — g_PHONELOOPBACKTEST
*#7284# — g_USBPATHCHANGE
*#232337# — g_BLUETOOTH_MAC_VIEWER
*#232331# — g_BLUETOOTH_RF_TEST
*#232338# — g_WIFI_MAC_VIEWER
*#770# — g_VPHONE770
*#771# — g_VPHONE771
*#772# — g_VPHONE772
*#773# — g_VPHONE773
*#774# — g_VPHONE774
*#775# — g_VPHONE775
*#776# — g_VPHONE776
*#777# — g_VPHONE777
*#778# — g_VPHONE778
*#779# — g_VPHONE779
*#7451# — g_ERROR_REPORT_ON
*#6381# — g_RILNETLOG_ON
*#6380# — g_RILNETLOG_OFF
*#9908# — g_GUMITEST3G_CAB_INSTALL
*#9920# — g_CONNECTION_SETTING (connection string)
*#07# — g_VIEWHISTORYNW
*#2663# — g_TouchFirmare_2663 (touch screen version)
*#99785# — g_PVKKey
*#997856# — g_PVKFileName
*#86824# — g_TouchkeySensitivity (firmware deupgrade available! (from 09 to 08))
*#0123# — g_MPS (MPS viewer, connection string)
*#232340# — g_IPSetting (IP SETTINGS!!!)
Остальные помечены в таблице BlockType.none, я так и не понял, как их вызывать, там есть функция HybridInterface_FCRProxy.w(), которая что-то возвращает, но разобраться я так и не смог.
Ссылка на скачивание XAP архива. Извиняюсь, не знаю, куда правильно лить.
P.S. Если я написал или оформил что-то неправильно, просьба — укажите об этом в ЛС. Пока что не знаю точно, как оформлять. Спасибо.
Пошел я искать решение в гугл. Все, что я там нашел, было связано непосредственно с настройкой роутера или полностью рутованными телефонами (мой рут накрылся после обновления до Tango), поэтому данное решение мне также не подошло. И вот, в голову пришла гениальная идея — а что если ребята из Samsung уже потрудились, однако сообщить об этом забыли? Так неоднократно было с меню Diagnosis. Напомню, через дыру в него создавали полноценный рут, запускали exe файлы без подписей и многое-многое другое. В прошлом. Снова гуглим, но это ничего не дает — никто толком не знает рабочих кодов диагностики. Хорошо. Ищем xap меню диагностики. На удивление, нашел, т.к. обычно они внедрены глубоко в ядро. Ядро было написано на нативном коде, однако интерфейс — на C#. То, что нужно! Нашел, правда, в кэше китайского ресурса на последней странице, но не суть.
Что же, в путь! Открываем любимый dotPeek от JetBrains и видим следующую картину:
Те пункты, в которых деревья отказались открываться — это dll, содержащие нативный код. Их сразу отбросим.
Отбросим также и те, которые начинаются со слов Microsoft. Это лишь ссылки. Остался первый проект — DiagnosisApp.
Разворачиваем и смотрим пространства имен, корневую и главную:
В корневой видим, что тут постарался DotObfuscator, что сильно усложняет процесс: лишние goto, пустые условия, циклы, однобуквенные названия переменных…
В DiagnosisApp уже интереснее. Видим тут класс, отвечающий за сам код страницы. Вся логика, в лучших традициях быдлокода, лежит не в ViewModel, а прямо в классе. Без всяких там partial. В начале класса видим переменные типа Button. То, что нужно! Это ведь панель набора кода:
internal Button btnDelete;
internal Button btn1;
internal Button btn3;
internal Button btn2;
internal Button btn4;
internal Button btn5;
internal Button btn6;
internal Button btn7;
internal Button btn8;
internal Button btn9;
internal Button btnSharp;
internal Button btn0;
internal Button btnStar;
Ищем событие Click:
this.btn1.Click += new RoutedEventHandler(this.b);
this.btn2.Click += new RoutedEventHandler(this.b);
this.btn3.Click += new RoutedEventHandler(this.b);
this.btn4.Click += new RoutedEventHandler(this.b);
this.btn5.Click += new RoutedEventHandler(this.b);
this.btn6.Click += new RoutedEventHandler(this.b);
this.btn7.Click += new RoutedEventHandler(this.b);
this.btn8.Click += new RoutedEventHandler(this.b);
this.btn9.Click += new RoutedEventHandler(this.b);
this.btn0.Click += new RoutedEventHandler(this.b);
this.btnStar.Click += new RoutedEventHandler(this.b);
this.btnSharp.Click += new RoutedEventHandler(this.b);
Ведет оно в никуда, лишь управление кнопкой delete и вибрацией.
private void b(object A_0, RoutedEventArgs A_1)
{
if (1 == 0)
;
label_2:
this.timer_btn.Stop();
this.timer_btn.Start();
this.vibrate.Start(TimeSpan.FromSeconds(0.05));
this.e((string) ((ContentControl) A_0).Content);
bool flag = this.txtDial.Text.Length <= 0;
int num = 1;
while (true)
{
switch (num)
{
case 0:
this.btnDelete.Visibility = Visibility.Visible;
num = 2;
continue;
case 1:
if (!flag)
{
num = 0;
continue;
}
else
goto label_7;
case 2:
goto label_5;
default:
goto label_2;
}
}
label_5:
return;
label_7:;
}
Что же, и слава богу, разбираться в этом лучше и не начинать…
Казалось бы, тупик, однако оказывается, что всем управляет таймер, включающийся после каждого нажатия кнопки:
this.timer_btn.Tick += new EventHandler(this.ParseDial);
public void ParseDial(object sender, EventArgs e)
{
if (1 == 0)
;
this.timer_btn.Stop();
this.GetEnumFromList(this.f(this.txtDial.Text));
}
public void GetEnumFromList(uint hashCode)
{
label_2:
int A_0 = 0;
int num = 12;
bool flag;
while (true)
{
switch (num)
{
case 0:
case 16:
num = 3;
continue;
case 1:
if (!flag)
{
num = 10;
continue;
}
else
{
flag = Convert.ToBoolean(this.iNVBlock);
num = 14;
continue;
}
case 2:
this.TitleBrush.Color = Color.FromArgb(byte.MaxValue, (byte) 0, (byte) 80, byte.MaxValue);
this.textBlockPageTitle.Foreground = (Brush) this.TitleBrush;
this.NavigationService.Navigate(new Uri(string.Format(HiddenKeyTable.Current.hashTable[A_0].strPage, (object) HiddenKeyTable.Current.hashTable[A_0].iPageMode, (object) HiddenKeyTable.Current.hashTable[A_0].iHashcode), UriKind.Relative));
num = 9;
continue;
case 3:
case 9:
case 15:
num = 4;
continue;
case 4:
if (1 == 0)
;
++A_0;
num = 17;
continue;
case 5:
if (flag)
{
this.TitleBrush.Color = Color.FromArgb(byte.MaxValue, byte.MaxValue, (byte) 0, (byte) 0);
this.textBlockPageTitle.Foreground = (Brush) this.TitleBrush;
num = 0;
continue;
}
else
{
num = 8;
continue;
}
case 6:
if (!flag)
{
num = 13;
continue;
}
else
goto case 4;
case 7:
if (!flag)
{
num = 11;
continue;
}
else
{
flag = HiddenKeyTable.Current.hashTable[A_0].iHash.CompareTo(hashCode) != 0;
num = 6;
continue;
}
case 8:
this.TitleBrush.Color = Color.FromArgb(byte.MaxValue, byte.MaxValue, (byte) 127, (byte) 0);
this.textBlockPageTitle.Foreground = (Brush) this.TitleBrush;
this.NavigationService.Navigate(new Uri(string.Format(HiddenKeyTable.Current.hashTable[A_0].strPage, (object) HiddenKeyTable.Current.hashTable[A_0].iPageMode), UriKind.Relative));
num = 16;
continue;
case 10:
this.NavigationService.Navigate(new Uri(string.Format(HiddenKeyTable.Current.hashTable[A_0].strPage, (object) HiddenKeyTable.Current.hashTable[A_0].iPageMode, (object) HiddenKeyTable.Current.hashTable[A_0].iHashcode), UriKind.Relative));
num = 15;
continue;
case 11:
goto label_26;
case 12:
case 17:
flag = A_0 < this.length;
num = 7;
continue;
case 13:
this.HybridInterface_FCRProxy.w(out this.iNVBlock);
flag = !this.g(A_0);
num = 1;
continue;
case 14:
if (flag)
{
this.TitleBrush.Color = Color.FromArgb(byte.MaxValue, byte.MaxValue, (byte) 127, (byte) 0);
this.textBlockPageTitle.Foreground = (Brush) this.TitleBrush;
flag = this.d();
num = 5;
continue;
}
else
{
num = 2;
continue;
}
default:
goto label_2;
}
}
label_26:;
}
Господи, чтобы разобраться в этом коде нужно много алкоголя… Удаляем все, кроме навигации на страницы:
this.NavigationService.Navigate(new Uri(string.Format(HiddenKeyTable.Current.hashTable[A_0].strPage, (object) HiddenKeyTable.Current.hashTable[A_0].iPageMode, (object) HiddenKeyTable.Current.hashTable[A_0].iHashcode), UriKind.Relative));
this.NavigationService.Navigate(new Uri(string.Format(HiddenKeyTable.Current.hashTable[A_0].strPage, (object) HiddenKeyTable.Current.hashTable[A_0].iPageMode), UriKind.Relative));
this.NavigationService.Navigate(new Uri(string.Format(HiddenKeyTable.Current.hashTable[A_0].strPage, (object) HiddenKeyTable.Current.hashTable[A_0].iPageMode, (object) HiddenKeyTable.Current.hashTable[A_0].iHashcode), UriKind.Relative));
Уже лучше. Тут видно, что навигация идет через некую таблицу HiddenKeyTable, а в качестве ключа туда передается результат некой функции f(A_0), которая является хэшем введенного кода. Смотрим код функции:
private uint f(string A_0)
{
switch (0) // Этот switch пуст, единственная ветвь в нем - default, можно смело убирать
{
default: // Это тоже
label_2: // Бесполезный label
uint num1 = 0U;
int index = 0;
int num2 = 2;
uint num3;
bool flag; // А это вообще не скомпилируется, значение не установлено
while (true)
{
switch (num2) // Запутывающий switch, его легко распутать через дебаггер
{
case 0:
goto label_9;
case 1:
case 2:
flag = index < A_0.Length;
num2 = 4;
continue;
case 3:
num3 = num1;
num2 = 0;
continue;
case 4:
if (!flag)
{
num2 = 3;
continue;
}
else
{
num1 = (num1 << 5) + num1 + (uint) A_0[index]; // А вот то, что нам нужно
++index;
if (1 == 0)
;
num2 = 1;
continue;
}
default:
goto label_2;
}
}
label_9:
return num3;
}
}
Что же, придется разобраться без алкоголя. Убираем строки кода, которые просто сбивают с толка, такие как switch (0), лишние case, дебаггером проходимся по коду и смотрим, куда он приводит в конце концов (переделано в читаемый вид):
private static uint GetHashCode(string code)
{
var hash = 0U;
foreach (var ch in code)
hash = (hash << 5) + hash + ch;
return hash;
}
Найдя уже нерабочие коды, я обнаружил, что везде используется нечто вроде *#123#, т.е. числовой код начинается с *# и заканчиваются #. Сформируем строку:
const string format = "*#{0}#"
А теперь метод полного перебора, чтобы пробить хэш и сравнить его со значением из таблицы:
public static void Main()
{
BruteHash("0{0}"); // Некоторые коды начинаются с 0, а некоторые - нет, поэтому используем оба случая
BruteHash("{0}"); // Тут без нуля
}
private static void BruteHash(string f)
{
const string format = "*#{0}#"; // Так выглядит код
var thread = new Thread(() =>
{
var i = 0;
while (true)
{
var code = string.Format(f, i);
var codeStr = string.Format(format, code);
var value = GetHashCode(codeStr); // Ищем хэш код строки вида *#123#
if (IsIpHash(value)) // Сверяемся с хэшкодом
{
Console.Write(codeStr); // Выводим
return;
}
i++;
}
});
thread.Start();
}
private static uint GetHashCode(string code)
{
var hash = 0U;
foreach (var ch in code)
hash = (hash << 5) + hash + ch;
return hash;
}
private static bool IsIpHash(uint hash)
{
return hash == 3974577854U;
}
Значение 3974577854U найти достаточно просто: в таблице HiddenKeyTable поиском IP я нашел ключ g_IPSetting, значением которого является именно это число. Осталось только запустить и буквально через секунду мы получаем результат — код *#232340#, вводим, и вуаля! Мы можем изменить IP адрес, маску подсети, шлюз, DNS. Работает только с Diagnosis 1109, Samsung Omnia W. На других не проверял, увы. Непонятны причины скрытия этого кода, правда. Покапавшись в таблице, я нашел и некоторые другие рабочие коды:
*#9900# — DEBUGDUMP
*#745# — RILDUMP (SLOG_DUMP, sth to file)
*#9990# — g_VERIFYCOMPARE (IMEI compare for PLS operation 8)
*#2470# — g_CAMERAUPDATE (CameraFWUpdate)
*#0589# !- g_LIGHTSENSORTEST
*#1111# — g_SWversionFTA (Test Mode FTA SW version)
*#2222# — g_HWversionFTA (Test Mode FTA HW version)
*#1234# — g_SWversionEx (Version of systems, wifi, bt, csc, pda, phone)
*#0228# — g_BATTERYINFO
*#0842# — g_DEVICETEST
*#0283# — g_PHONELOOPBACKTEST
*#7284# — g_USBPATHCHANGE
*#232337# — g_BLUETOOTH_MAC_VIEWER
*#232331# — g_BLUETOOTH_RF_TEST
*#232338# — g_WIFI_MAC_VIEWER
*#770# — g_VPHONE770
*#771# — g_VPHONE771
*#772# — g_VPHONE772
*#773# — g_VPHONE773
*#774# — g_VPHONE774
*#775# — g_VPHONE775
*#776# — g_VPHONE776
*#777# — g_VPHONE777
*#778# — g_VPHONE778
*#779# — g_VPHONE779
*#7451# — g_ERROR_REPORT_ON
*#6381# — g_RILNETLOG_ON
*#6380# — g_RILNETLOG_OFF
*#9908# — g_GUMITEST3G_CAB_INSTALL
*#9920# — g_CONNECTION_SETTING (connection string)
*#07# — g_VIEWHISTORYNW
*#2663# — g_TouchFirmare_2663 (touch screen version)
*#99785# — g_PVKKey
*#997856# — g_PVKFileName
*#86824# — g_TouchkeySensitivity (firmware deupgrade available! (from 09 to 08))
*#0123# — g_MPS (MPS viewer, connection string)
*#232340# — g_IPSetting (IP SETTINGS!!!)
Остальные помечены в таблице BlockType.none, я так и не понял, как их вызывать, там есть функция HybridInterface_FCRProxy.w(), которая что-то возвращает, но разобраться я так и не смог.
Ссылка на скачивание XAP архива. Извиняюсь, не знаю, куда правильно лить.
P.S. Если я написал или оформил что-то неправильно, просьба — укажите об этом в ЛС. Пока что не знаю точно, как оформлять. Спасибо.
