依云's Blog

Android 自带的那个 lsof 实际上是 toolbox 里的，功能十分单一，除了显示出所有进程的所有打开的文件外就什么都不能做，连说明也没有 :-( 于是为了 htop 用着爽一点，还是自己编译一个吧。

首先弄个 GNU 工具链。Android NDK 的没有 tcp.h 头文件，会报 TCP_LISTEN 等标识符未定义。

• 我使用 crosstool-NG 1.19.0 编译的 gcc 4.8.1。适用于 Arch Linux x86_64。第一次编译工具链，没想到在 crosstool-NG 的帮助下一次就编译好了，所以是未作静态链接的版本，其它版本的 Linux 可能无法运行。
• zshaolin 使用的工具链 gcc 4.4.6。它是使用 crosstool-NG 1.13.2 编译的。

编译过程。使用了静态链接，最终文件大小 741K。

path+=/ldata/txtfiles/soft/arm-lilydjwg-linux-gnueabi/bin
LSOF_CC=arm-lilydjwg-linux-gnueabi-gcc LSOF_CFGF='-DHAS_STRFTIME -DHASNORPC_H -DGLIBCV' LSOF_VERS=3.0.8 ./Configure -n linux
make
arm-lilydjwg-linux-gnueabi-gcc -o lsof -static dfile.o dmnt.o dnode.o dproc.o dsock.o dstore.o arg.o main.o misc.o node.o print.o proc.o store.o usage.o util.o -L./lib -llsof
arm-lilydjwg-linux-gnueabi-strip lsof

编译好的 lsof 可由此下载。

自打知道 FUSE 以来都觉得亲手写一个 FUSE 文件系统是很好玩的事情，但是因为没好的自己能够很快实现的点子所以一直没动手。前段时间需要从 Android xrecovery 备份中取得一旧版本的应用，才决定动手的，顺便也练习一下很久没怎么用到的 C 语言。至于为什么不用 Python，好像那个 Python 绑定不太稳定的样子，Python 3 版更是如此。而且我也不希望效率太差。

首先介绍一下，所谓的「dedupefs」，就是把 Android xrecovery 的「dedupe」备份格式的数据挂载成文件系统来查看。其实仅仅只是想查看的话，把那个 dedupe 目录下的东东 gcc 一下就可以创建和解开 dedupe 的备份了，只是占用很多磁盘空间而已。

dedupe 的格式很简单，一个文本文件描述文件信息（时间、路径、大小、类型等），一个目录里全是 sha256 命名的文件来存储文件的数据，以便在备份时不同的备份中的相同文件只保存一次。

FUSE 嘛，我好像从来没看到过完整一点的文档，就是官方 API 文档也经常语焉不详。dedupefs 是参考 rofs 写的。dedupefs 也是只读的。

挂载之前，先得把 dedupe 的纯文本格式处理一下。纯文本适合存储和人阅读，但是查询效率低下。我决定用更适合处理纯文本的 Python，把数据存储到 GNU dbm 键值对数据库中，然后 dedupefs 直接读取数据库就好了。（于是顺便学会了在 C 中使用 GNU dbm :-)）数据的组织方式如下：

• d + 文件路径：该目录下的文件名列表
• f + 文件路径：该文件的信息

这样要读取一个目录下的文件列表就查 d 开头的项，要取得一个文件的信息（stat）或者打开文件，就读 f 开头的。

下边是编码和调试过程中的经验与收获：

• GNU dbm 没说它是线程安全的，所以它不是线程安全的。但是 FUSE 又是多线程的（调试用的单线程模式我就不玩的），所以读取数据库时要加锁。
• GNU dbm 查询结果数据是要调用者来 free 的。
• 因为涉及到二进制数据交换（Python <-> C），所以要注意在结构体声明时围上#pragma pack(push, 1)和#pragma pack(pop)，以免对齐不一致造成数据错误。
• valgrind 用来诊断内存访问错误效果非常棒！
• FUSE 的struct fuse_file_info里有个fh域可以用来存文件描述符，这样就不用像 rofs 那样每次读取都要打开一遍文件了。
• FUSE 读取用的回调函数传的offset一定要用，要首先lseek(finfo->fh, offset, SEEK_SET);一下，不然指不定读取到什么地方的数据了。
• FUSE 文件系统可以忽略文件权限，所以自己不在open和access里判断的话，就可以访问到明明看上去不能访问的文件（这正在我想要的）。
• du 命令读取文件占用磁盘空间时使用了struct stat的st_blocks域。如果在 FUSE 程序里不管它的话，那么 du 将总是报告占用了 0 字节的空间……这里的块大小总是 512 字节。

第一次写 FUSE 程序，虽然文档差了一点，但用起来还是挺方便 =w=

哦对了，android-dedupefs 的仓库链接。

豌豆荚说火狐更新了，但是签名变了，需要谨慎升级：

于是，本来应试是这样子的火狐：

变成了这个样子，桌面还多了个奇怪的图标：

我看到这堆乱七八糟的网站之后，只好自行去 Mozilla 的 FTP 站点下载国际版火狐，并验证了一下签名：

29674 ~tmp/firefox
>>> wget ftp://ftp.mozilla.org/pub/mozilla.org/mobile/releases/latest/android/multi/fennec-26.0.multi.android-arm.apk ftp://ftp.mozilla.org/pub/mozilla.org/mobile/releases/latest/android/multi/fennec-26.0.multi.android-arm.checksums ftp://ftp.mozilla.org/pub/mozilla.org/mobile/releases/latest/android/multi/fennec-26.0.multi.android-arm.checksums.asc
29675 ~tmp/firefox
>>> gpg --recv-keys 15A0A4BC
gpg: 下载密钥‘15A0A4BC’，从 hkp 服务器 keys.gnupg.net
gpg: 密钥 3A06537A：公钥“Mozilla Software Releases <releases@mozilla.org>”已导入
gpg: 需要 3 份勉强信任和 1 份完全信任，PGP 信任模型
gpg: 深度：0 有效性：  1 已签名：  4 信任度：0-，0q，0n，0m，0f，1u
gpg: 深度：1 有效性：  4 已签名：  0 信任度：4-，0q，0n，0m，0f，0u
gpg: 合计被处理的数量：1
gpg:           已导入：1  (RSA: 1)
29676 ~tmp/firefox
>>> gpg --verify fennec-26.0.multi.android-arm.checksums.asc
gpg: 于 2013年12月06日 星期五 01时11分05秒 CST 创建的签名，使用 RSA，钥匙号 15A0A4BC
gpg: 完好的签名，来自于“Mozilla Software Releases <releases@mozilla.org>”
gpg: 警告：这把密钥未经受信任的签名认证！
gpg:       没有证据表明这个签名属于它所声称的持有者。
主钥指纹： 2B90 598A 745E 992F 315E  22C5 8AB1 3296 3A06 537A
子钥指纹： 5445 390E F5D0 C2EC FB8A  6201 057C C3EB 15A0 A4BC
29677 ~tmp/firefox
>>> grep -F fennec-26.0.multi.android-arm.apk fennec-26.0.multi.android-arm.checksums
f6b14fbb5847cd87c8821cfd71beba8f64c7059e05a555c31e6ea8168905a54def6be8d20b0766b5f35f10b63efb73225d20cb4bfa04383b66d396d33f743242 sha512 26553667 fennec-26.0.multi.android-arm.apk
b20f6faa9d88171fb504eaf1a323918c md5 26553667 fennec-26.0.multi.android-arm.apk
5ffb036fa664fbbb59e750ec50b44a781af9565e sha1 26553667 fennec-26.0.multi.android-arm.apk
29678 ~tmp/firefox
>>> sha1sum fennec-26.0.multi.android-arm.apk
5ffb036fa664fbbb59e750ec50b44a781af9565e  fennec-26.0.multi.android-arm.apk

顺便看了看这两个版本火狐签名用的密钥：

29753 ~tmp/firefox
>>> unzip -p fennec-26.0.multi.android-arm.apk META-INF/RELEASE.RSA | keytool -printcert
所有者: CN=Release Engineering, OU=Release Engineering, O=Mozilla Corporation, L=Mountain View, ST=California, C=US
发布者: CN=Release Engineering, OU=Release Engineering, O=Mozilla Corporation, L=Mountain View, ST=California, C=US
序列号: 4c72fd88
有效期开始日期: Tue Aug 24 07:00:24 CST 2010, 截止日期: Sat Jan 09 07:00:24 CST 2038
证书指纹:
         MD5: B1:E1:BC:EE:27:33:02:5E:CE:94:56:E4:19:A8:14:A3
         SHA1: 92:0F:48:76:A6:A5:7B:4A:6A:2F:4C:CA:F6:5F:7D:29:CE:26:FF:2C
         SHA256: A7:8B:62:A5:16:5B:44:94:B2:FE:AD:9E:76:A2:80:D2:2D:93:7F:EE:62:51:AE:CE:59:94:46:B2:EA:31:9B:04
         签名算法名称: SHA1withRSA
         版本: 3
29754 ~tmp/firefox
>>> unzip -p org.mozilla.firefox-1.apk META-INF/RELEASE.RSA | keytool -printcert
所有者: CN=Release Engineering, OU=R&D, O=Mozilla Online, L=Beijing, ST=Beijing, C=CN
发布者: CN=Release Engineering, OU=R&D, O=Mozilla Online, L=Beijing, ST=Beijing, C=CN
序列号: 514de131
有效期开始日期: Sun Mar 24 01:06:57 CST 2013, 截止日期: Thu Aug 09 01:06:57 CST 2040
证书指纹:
         MD5: D7:C9:FC:AE:D0:3B:9F:24:43:33:DD:41:15:65:CD:8A
         SHA1: 1A:97:FA:6D:9D:83:DB:84:BE:77:1C:72:60:42:48:7C:85:83:D4:60
         SHA256: 02:A7:BC:81:02:74:C9:ED:38:93:3B:06:3D:1A:48:A8:4F:88:CB:11:C6:40:CA:A1:6C:F8:AA:FA:66:E3:C6:3A
         签名算法名称: SHA1withRSA
         版本: 3

那个中国特色的版本的密钥声称自己是 Mozilla 北京。估计和电脑上的中国版火狐一样，真是他们搞的吧。其实 Opera Mobile 我也不小心装过中国版的（名叫「欧朋浏览器」），不过比火狐中国版稍微好点，首页上那堆我用不到的网站很容易就删掉了，而中国版火狐我没能找到要怎么办。

看来以后一些手机应用的升级得自己来做了呢，标榜能「洗白白」应用的豌豆荚不小心就会给我塞点一堆广告的中国版应用……

说明一下，示例中使用的是 zsh 语法。bash 用户的话——先在电脑上用上 zsh 再考虑给手机装吧 ^_^

在网上能够找到 zshaolin 这么个包含 zsh 的 Android 包，但是它是收费的。于是，在成功编译了不少 Android 的东东后， 我决定自己编译个 zsh。

首先，把 Android NDK 放到 $PATH 里来：

path+=/opt/android-ndk/toolchains/arm-linux-androideabi-4.7/prebuilt/linux-x86/bin

其次是./configure命令。其中那个LDFLAGS的路径里有我之前编译的 ncurses。注意这里必须指定使用 ncurses 库，否则会莫名其妙地失败。使用 Android 自己的 Bionic 这个 C 库的话，就只好禁用多字节字符的支持了。

另外，ncurses 编译的时候记得禁用 C++ 支持。

LDFLAGS=-L/ldata/media/temp/android/installed_binaries/lib \
  CC='arm-linux-androideabi-gcc --sysroot=/opt/android-ndk/platforms/android-14/arch-arm' \
  ./configure --host=arm-linux-gnu --prefix=/system --with-term-lib=ncurses \
  --disable-multibyte --bindir=/system/xbin

然后做点小修改，将Src/init.c中TIOCSETD相关的两处代码注释掉，不然程序会卡在这个ioctl调用上。还要把所有_mktemp函数调用换掉。在config.h中注释掉HAVE__MKTEMP宏的定义即可。

接下来是编译。完成之后修改最后一行链接代码，将 ncurses 静态链接进去：

arm-linux-androideabi-gcc --sysroot=/opt/android-ndk/platforms/android-14/arch-arm \
  -L/ldata/media/temp/android/installed_binaries/lib -rdynamic \
  -o zsh main.o `cat stamp-modobjs` -ldl -lm -lc /ldata/media/temp/android/installed_binaries/lib/libncurses.a

然后make install安装，把生成的zsh可执行文件弄到手机上任何你喜欢放可执行文件的地方，share目录弄到配置的目录里去（我这里是/system）。或者我猜设置fpath变量也行？

我第一次编译成功的 zsh 没有去掉TIOCSETD的ioctl调用，于是启动时卡在那里一动也不动了。要调试这种情况当然是 strace 了。但很不幸的是，strace 用到了太多 Bionic 不支持的宏定义、结构体成员等。后来我换了 zshaolin 使用的这个工具链静态链接了个 strace，终于可以用了。

最后，我编译好的二进制文件下载链接。要注意的是，此 zsh 并不支持多字节字符（如中文）（但是人家 Kindle 上的就支持呢）。

2014年3月8日更新：如果遇到任务控制（job control）时无法将后台任务切换到前台，打印出「unknown signal」的问题，可将Src/signal.c:435处的WCONTINUED改成WSTOPPED（注意不是WIFSTOPPED），即：

--- Src/signal.c
+++ Src/signal.c
@@ -432,7 +432,7 @@
          */
 #if defined(HAVE_WAIT3) || defined(HAVE_WAITPID)
 # ifdef WCONTINUED
-# define WAITFLAGS (WNOHANG|WUNTRACED|WCONTINUED)
+# define WAITFLAGS (WNOHANG|WUNTRACED|WSTOPPED)
 # else
 # define WAITFLAGS (WNOHANG|WUNTRACED)
 # endif

这个方案是我通过 strace 手机上的 busybox 的 sh 学来的 =w= 新编译的 zsh 5.0.5 可以由此下载。

在 Android 这个奇怪的平台想弄点 Linux-style 的东西用真不容易。网上现成的东西也比较少，这里有 stunnel、redsocks 和 iptables 等。另外 GAEProxy 里有 redsocks、iptables 和 Python 2.7，在/data/data/org.gaeproxy目录下。但它的 Python 不支持 readline，redsocks 不支持 UDP。

下边是我自己编译的几个工具和其特点（全部没有第三方库依赖）：

• redsocks：取自 git 版本，支持 UDP。其中，支持 UDP 需要search.h头和相关库函数，但是 Android 的 C 库中没有。我使用了 musl 这个 C 库中的相关文件。
• socat：支持 readline 和 OpenSSL。openssl 这个命令行工具也作为附加文件得到了，但是感觉用处不大。
• tcpdump：著名的网络抓包工具。没什么特别的。

编译全部使用的是 Android NDK。编译命令基本上类似于：

CC='arm-linux-androideabi-gcc --sysroot=/opt/android-ndk/platforms/android-14/arch-arm' \
  ./configure --host=arm-linux-androideabi --prefix=/ldata/media/temp/android/installed_binaries

但是不同的软件通常都会需要一些修改。比如上边说到的 redsocks。最无痛编译成功的是 LuaJIT 了，但是我这里没找到什么实际用途。另外记得把生成的可执行文件用arm-linux-androideabi-strip处理下，减小体积。

以上三个工具打包下载请点击这里（备用地址）。

上篇记录了我给 LT26i 刷机的过程，现在该是修改它的启动代码了。

这部分内容我折腾了好久，现在把技术细节分享出来。有次我都看到有人明确表示 Sony 的 boot.img 不一样，还亲自做了新的，却没能看到修改方法，实在遗憾。

所有操作都是在 Linux 下完成的。用到的 Windows 软件 WinHex 是可以 wine 的。

解包

Sony Xperia S 使用了自己定制的格式，因此网上流传的split_bootimg.pl并不能用。Sony 提供了制作这种文件的脚本，但是没有解包的脚本。不过其格式很简单，自己写一个根本不费事：

#!/usr/bin/env python3
# vim:fileencoding=utf-8

import sys
import os
import struct

def getSegNum(f):
  f.seek(44)
  d = f.read(2)
  return struct.unpack('<H', d)[0]

def readSegInfo(f):
  d = f.read(32)
  info = struct.unpack('<LLLLLLLL', d)
  return info[4], info[1] # size, offset

def main(fname, output):
  if os.path.isdir(output):
    os.rmdir(output)
  os.mkdir(output)
  f = open(fname, 'rb')
  os.chdir(output)
  n = getSegNum(f)
  f.seek(52)
  segs = [readSegInfo(f) for i in range(n)]
  for i, seg in enumerate(segs):
    f.seek(seg[1])
    data = f.read(seg[0])
    with open(str(i), 'wb') as wf:
      wf.write(data)

if __name__ == '__main__':
  if len(sys.argv) != 3:
    print('Which file and where to extract?')
  else:
    main(*sys.argv[1:])

使用方法很简单（至少比 Sony 那个mkelf.py简单 :-）

unpackelf.py .../android/cm-9.1.0-nozomi/boot.img boot_cm

对于 CyanogenMod，解开的目标目录boot_cm下会有0、1、2三个文件。使用file命令便知，initramfs（或称 ramdisk）是1。解开它很容易：

mkdir ramdisk && cd ramdisk && gunzip < ../1 | cpio -i

对于官方 ROM 也只是多了一个叫3的文件（它的数据在boot.img的开始处）。

启动图片

很明显，logo.rle最有可能是启动图片了。可是，它是什么格式呢？Google 便有了答案。使用那里的 C 程序可将这图片有损地转成 RGB 原始数据。

5652rgb -rle < logo.rle > logo.raw

然后用 ImageMagick 的convert命令转换成常见图像格式：

convert -depth 8 -size 720x1280 rgb:logo.raw logo.png

-size那里填上自己的屏幕分辨率。不知道的话就根据屏幕比例和像素数解二元二次方程吧 ^_^ 反正要是转换出来不止一张图片肯定就不对了。

以上是显示启动图片的方法。至于生成的方法嘛，我没有需要就不弄了，直接用 Sony 原生 ROM 里的logo.rle文件替换之。

换回官方 ROM，安装 recovery

修改完启动图片，我还是不太满意 CyanogenMod 的主题啊之类的，和 Sony 的比起来太丑了。于是又刷了从网上某处找来的「索爱 LT26i 基于6.1.A.1.58最新官方ROM纯净版」。它已经 root 了，但是没有开机时按音量键的恢复模式了。于是我手动修改 initramfs，自己给它加上了。

通过比较和搜索可知，在init.semc.rc文件中，CyanogenMod 在 early-boot 的时候调用了sbin/bootrec命令。在官方 ROM 的 330 行那里加上即可。另外一个可以修改的地方是default.prop文件的ro.debuggable项，其值改成1，可以让 adb 使用 root 权限，push/pull 系统文件的时候特别方便。

然后把官方 ROM 的sbin下没有的文件从 CyanogenMod 那边复制过来即可。注意有大量软链接，可使用cp -ia来复制。我顺手把sbin/bootrec-device里的sleep 3改成只暂停一秒了。这是启动时检测按键以进入恢复模式的等待时间。同时可以看到，这个脚本会将各种指示灯点亮，有兴趣的也可以改改，比如换个指示灯颜色什么的。

打包

首先把文件们弄回 initramfs 里去：

find . | cpio -o -H newc | gzip > ../new_ram

注意这里一定要指定 cpio 的格式为newc，不然启动不了的。

本来，Sony 官方提供的mkelf.py可以用来打包，对付 CyanogenMod 的 boot.img 足够。但是官方 ROM 多出了一段，因此打包参数不一样。我直接用 WinHex 修改 boot.img 文件了。除了 initramfs 本体之外，还有三处需要修改：initramfs 的长度（两个）、下一个叫「RPM」部分的偏移位置。还好没有 checksum 之类的东西。

弄好后刷回去就可以了。不用担心刷出问题。如果导致不能开机，同时按住开机键和音量上键，直到机身震动一下，然后松开开机键，就进入 bootloader 可以刷回原来的了。

附：Reverse USB Tethering 方法

没有网上说的那么复杂，还网桥什么的，都要把电脑的网络重连 :-(

1. 连接 USB 线，启用 USB 绑定
2. 电脑上给新出现的usb0网络接口配置 IP，IP 段可在手机上使用ip addr命令查看rndis0网络接口的地址。比如我这里手机的 IP 是 192.168.42.129，就在电脑上执行

   ifconfig usb0 192.168.42.1
   

3. 电脑开启 NAT 功能和 IPv4 转发

   echo 1 > /proc/sys/net/ipv4/ip_forward
   iptables -t nat -A POSTROUTING -s 192.168.42.0/24 -j MASQUERADE
   

4. 手机上配置路由表

   ip route add default via 192.168.42.1 dev rndis0
   

   手机上的route命令很不一样，总是说参数无效，我没弄明白该怎么用，就用ip命令了。

注意这样的网络部分功能不认可导致无法使用，比如 TrackID™、VPN。

声明：本文以期有用的目的写作，不保证本文所述操作能够部分或者完全地满足他人的需求，也不保证其不会给他人造成损失。按本文操作者，如对其生命财产造成任何损失请自理，在法律许可的范围内本人不承担责任。

注意：除 SD 卡数据外，其它数据均可能永久性丢失！

1. 首先，开启手机的 USB 调试模式。安装 Android SDK。
2. 下载 CyanogenMod 的 Sony Xperia S 版 ROM，将其放到 SD 卡根目录：adb push cm-9.1.0-nozomi.zip /mnt/sdcard
3. 解压其中的 boot.img 备用。
4. 解锁 bootloader。在官方网站 http://unlockbootloader.sonymobile.com/ 上确认需要解锁 bootloader 并填写名字、IMEI（去掉最后一位数）和 Email 地址。注意，此步骤可能导致失去质保！
5. 等待解锁 key 的邮件。
6. 关机，按住音量增加键并连接 USB 线。指示灯会变为蓝色，即进入 fastboot 模式。
7. 执行sudo fastboot -i 0x0fce getvar version返回version: 0.5，连接正确。
8. 执行解锁操作：sudo fastboot -i 0x0fce oem unlock 0x${key}
9. 刷入启动镜像：sudo fastboot flash boot boot.img，boot.img 是从 CyanogenMod ROM 里解压出来的那个。
10. 重启：sudo fastboot reboot
11. 启动时会出现下图所示的图片。在按键灯和指示灯点亮的三秒里按几次音量键，进入恢复模式。如果错过了，手机卡在启动 Xperia 的启动动画上，使用adb shell reboot重启之。

    

12. 此时可能用户数据还在。可能可以通过 adb 备份数据。我使用恢复模式备份，不知是不是操作失误，仅备份成功 boot.img 和 /system，用户数据丢失 TAT
13. 执行「wipe data/factory reset」，然后再选择安装下载的那个 zip 文件。
14. 等操作完成后重启。这时启动动画应该变成蓝色机器人了。
15. 如需要 Google 应用，请单独下载后如同 ROM 一样安装。

安装完成后，我发现 CyanogenMod 的主题和启动动画实在是不好看。目前我已经把启动图片、开机动画和动态壁纸改回 Sony 原来的了。开机动画位于/system/media/bootanimation.zip，直接替换即可。动态壁纸在 Sony 的 ROM，文件名叫「CosmicFlow.apk」（sha256sum: 2c65079df9ff2a55d0bedb917cdaedd5d11e68fa9c9bc476aa20c92a508e3527），安装即可。至于启动图片，在 boot.img 里，而这个 boot.img 是 Sony 特有的格式。下篇详述了。