前言
華為手機在刷入第三方rom需要首先解鎖手機，而獲取解鎖碼必須要在華為官網(wǎng)進行，并且有14天限制，這無疑給某些特殊需求的用戶和rom定制廠商設(shè)置了一個很大難題，也為華為保護自身定制軟件提供了有利因素，因此這里給出獲取華為解鎖碼的思路。方法一 通過在內(nèi)置存儲卡中dump出nvme分區(qū)，搜索WVDEVID關(guān)鍵字獲得，這樣做的缺陷是手機需要root

255|shell@hwp7:/ $ su
root@hwp7:/ # cd /storage/sdcard1/
root@hwp7:/storage/sdcard1 # mkdir -p PartitionBackup
root@hwp7:/storage/sdcard1 # cd PartitionBackup
root@hwp7:/storage/sdcard1/PartitionBackup # dd of=nvme if=/dev/block/platform/hi_mci.0/by-name/nvme
8192+0 records in
8192+0 records out
4194304 bytes transferred in 0.916 secs (4578934 bytes/sec)
root@hwp7:/storage/sdcard1/PartitionBackup # dd of=oeminfo if=/dev/block/platform/hi_mci.0/by-name/oeminfo
65536+0 records in
65536+0 records out
33554432 bytes transferred in 8.768 secs (3826919 bytes/sec)
root@hwp7:/storage/sdcard1/PartitionBackup # dd of=recovery if=/dev/block/platform/hi_mci.0/by-name/recovery
32768+0 records in
32768+0 records out
16777216 bytes transferred in 4.419 secs (3796609 bytes/sec)
root@hwp7:/storage/sdcard1/PartitionBackup # strings nvme | grep WVDEVID -B 1

方法二
通過華為工程模式獲得，但是需要獲得工程模式授權(quán)，具體逆向思路如下（華為工程模式的詳細介紹請問度娘：））

0x00得到撥號##2846579##呼出的工程模式設(shè)置activity的信息**
1.首先撥號##2846579##呼出工程模式菜單ProjectMenuAct
2.輸入：adb shell dumpsys activity|grep “Runningactivities” –A 7
得到ProjectMenuAct這個Activity的信息，從下圖可以看出來該Activity所在的包名為com.android.huawei.projectmenu。

3.得到包名為com.android.huawei.projectmenu對應(yīng)的apk路徑

可以知道ProjectMenuAct這個Activity在/system/app/ProjectMenuAct.apk中，我們把這個apk以及odex給pull下來進行逆向分析。

0x01 反編譯ProjectMenuAct .odex
由于華為手機的dalvik虛擬機添加了一些內(nèi)部java方法，直接用baksmali反編譯會失敗，需要特殊處理，請詳見：Android逆向之逆向框架層
0x02 分析ProjectMenuAct應(yīng)用

0x03逆向atcmdserver
用IDA attach進程atcmdserver

每一條指令都有先對應(yīng)的函數(shù)來處理，下圖中貼出AT^CHECKAUTHORITY的處理程序（圖中的各函數(shù)通過各種分析處理后修復(fù)了堆棧平衡并且根據(jù)函數(shù)具體功能進行了重命名）

具體的邏輯請見測試代碼，如下：

import serial  
import time  
  
def calckey(seed):  
    pass  #這里不給出具體加密算法，鑒于合同原因，只給出思路  
  
def serio(ser , istr , timeout = 0.5):  
    ser.timeout = timeout  
    istr=istr +"\r\n"  
    ser.write(istr)  
    ostr = ser.readall()  
    print "send:%s\trecv:%s"%(repr(istr),repr(ostr))  
    return ostr  
      
ser = serial.Serial('com31',115200)  
#ostr = serio(ser , 'AT^LED')  
#ostr = serio(ser , '?')  
#ostr = serio(ser , 'AT^FBLOCK?')  
ostr = serio(ser , 'AT^MODEM=0')  
ostr = serio(ser , 'AT^CURC=0')  
ostr = serio(ser , 'AT^WVKEY?')  
ostr = serio(ser , 'AT^CHECKAUTHORITY=?')  
ostr = serio(ser , 'AT^CHECKAUTHORITY')  
seed = ostr.split("\r\n")[1]  
seed = seed[seed.index(":")+1:].strip()  
key = calckey(seed)  
#key = 'aa06c7b48dd42909926e8223f34aed30baea9bbe44926d818aa81464f5178150a66da672483cbab08a13cc7240d85066878c2a640c4cf26f3d8a8b6969d0a788304bab1dd567fe80bc6c1ca170eda312af3cb0089f12bdde014dd2a0d516526e8ac403a112ec81e20f3f692dc3d7abb590c2b312613422d6a734817310732125'  
ostr = serio(ser , 'AT^CONFORMAUTHORITY='+key)  
time.sleep(3000)  
""" 
ostr = serio(ser , 'AT^CURC=0') 
ostr = serio(ser , 'AT^SN?') 
ostr = serio(ser , 'AT^BSN?') #Serial NR 
ostr = serio(ser , 'AT^PHYNUM?')  
ostr = serio(ser , 'AT^ALLVER?') 
ostr = serio(ser , 'AT^FBLOCK?') 
ostr = serio(ser , 'AT^GETRAM?') 
ostr = serio(ser , 'AT^GETEMMC?') 
ostr = serio(ser , 'AT^WVKEY?') 
ostr = serio(ser , 'AT^VENDORCOUNTRY?') 
 
ostr = serio(ser , 'AT^MODEM=1') 
ostr = serio(ser , 'AT^MODEM=1') 
ostr = serio(ser , 'AT^CURC=0') 
ostr = serio(ser , 'AT^CURC=0') 
ostr = serio(ser , 'AT^PHYNUM?') 
ostr = serio(ser , 'AT^SIMLOCKDATAREAD?') 
ostr = serio(ser , 'AT^IDENTIFYSTART') 
"""  
ser.close()  

另外我在上傳了分析過程中保存的版本為IDA6.6的idb分析文件，用IDA打開后按快捷鍵ctrl+M能看到我處理過后的函數(shù)，能大大簡化逆向分析工程，詳見：

http://download.csdn.net/detail/autohacker/9438916