这是一款用于联发科芯片的调试工具,支持读写分区、利用漏洞对设备进行底层操作。 在Windows系统下使用需要安装MTK串口驱动和UsbDk驱动(详见下方说明)。 在Linux系统下,如果你使用的是旧版的kamakiri内核则需要使用内核补丁(见Setup目录),但读写分区等操作则不需要补丁。
打开MTKClient, 在设备完全关机的情况下按住电源键、音量+、音量-进入Bootrom模式,待工具检测到设备后显示 Jump to 0xXXXXXX 时松手。
- 这些联发科处理器用的是 V6 协议且 Bootrom 漏洞已被修复,需通过
--loader指定有效的 DA 文件。 - 部分设备的预引导程序 preloader 被禁用了,可以通过执行
adb reboot edl来进入该模式。 - 当前仅支持未熔断的设备(UNFUSED)。
- 所有使用 DAA/SLA/远程认证 的设备目前均无解决方案。
- kamakiri [xyzz]
- linecode exploit [chimera]
- Chaosmaster
- Geert-Jan Kreileman (GUI 设计及优化)
- 所有贡献者
用户: user, 密码: user (基于 Ubuntu 22.04 LTS)
sudo apt install python3 git libusb-1.0-0 python3-pip libfuse2
(sudo) pacman -S python python-pip git libusb fuse2
或者
yay -S python python-pip git libusb fuse2
sudo dnf install python3 git libusb1 fuse
git clone https://github.com/bkerler/mtkclient
cd mtkclient
pip3 install -r requirements.txt
pip3 install .
sudo usermod -a -G plugdev $USER
sudo usermod -a -G dialout $USER
sudo cp mtkclient/Setup/Linux/*.rules /etc/udev/rules.d
sudo udevadm control -R
sudo udevadm trigger
配置完后建议重启系统,若设备使用的是 0xFF 接口(例如 LG),需在 /etc/modprobe.d/blacklist.conf 配置文件中添加 blacklist qcaux。
/bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)"
brew install macfuse openssl
安装完后可能需要 重启
git clone https://github.com/bkerler/mtkclient
cd mtkclient
python3.9 -m venv mtk_venv
source mtk_venv/bin/activate
pip3 install --pre --no-binary capstone capstone
pip3 install PySide6 libusb
pip3 install -r requirements.txt
点击此处下载并安装
git clone https://github.com/bkerler/mtkclient
cd mtkclient
pip3 install -r requirements.txt
- 安装 MTK 串口驱动 (如果设备管理器里边没有显示感叹号则无需安装)
- 下载 UsbDk驱动 安装程序(.msi) 并手动安装。
- 在 Windows 10 和 11 系统上完美运行 :D
下载 Visual Studio Build Tools 并运行。
在安装程序中, 勾选 "使用 C++ 的桌面开发" 组件包和 "MSVC v142 - VS 2019 C++ x64/x86 build tools (或更高版本)",或者你也可以使用 "Windows 10 SDK" 组件。
点击 "安装" 按钮即可开始安装。
- 对于 linux (kamakiri 内核), 你需要使用以下补丁来重新编译内核:
sudo apt-get install build-essential libncurses-dev bison flex libssl-dev libelf-dev libdw-dev
git clone https://git.kernel.org/pub/scm/devel/pahole/pahole.git
cd pahole && mkdir build && cd build && cmake .. && make && sudo make install
sudo mv /usr/local/libdwarves* /usr/local/lib/ && sudo ldconfig
wget https://cdn.kernel.org/pub/linux/kernel/v5.x/linux-`uname -r`.tar.xz
tar xvf linux-`uname -r`.tar.xz
cd linux-`uname -r`
patch -p1 < ../Setup/kernelpatches/disable-usb-checks-5.10.patch
cp -v /boot/config-$(uname -r) .config
make menuconfig
make
sudo make modules_install
sudo make install
- 注: Ubuntu 系统执行 make install 时已自动处理,此步骤仅作参考
sudo update-initramfs -c -k `uname -r`
sudo update-grub
你可以在 Setup/kernels 目录中找到开箱即用的内核配置方案。
- 重启
sudo reboot
基础的读写分区或者是深刷操作可以用图形化界面来完成。运行以下命令打开图形化窗口:
python mtk_gui.py
python mtk.py --stock
python mtk.py script examples/run.example或
python mtk.py multi "cmd1;cmd2"
参考 "run.example" 来编写脚本
- 提取 boot、vbmeta 分区
python mtk.py r boot,vbmeta boot.img,vbmeta.img
- 重启设备
python mtk.py reset
-
下载 Magisk 面具:
点我前往下载 -
通过 ADB 在设备上安装
- 打开系统设置,进入关于
- 连续点击多次 构建版本 后直到显示类似 你现在处于开发者模式 的提示
- 在开发者选项下,启用 OEM解锁(解锁Bootloader需要) 和 USB调试
- 通过命令安装 Magisk 面具
adb install app-release.apk
- 此时设备上会出现 是否允许调试 的对话框,勾选 总是允许 后确认
- 上传提取的 boot 镜像到 /sdcard/Download
adb push boot.img /sdcard/Download
- 打开 Magisk 管理器, 点击 安装, 选择 /sdcard/Download 下载目录中的 boot.img 文件, 点击 确认,在修补完成之后将修补后的 magisk_patched-xxxxx.img 传回电脑
adb pull /sdcard/Download/[这里写面具修补后的镜像文件名称]
mv [这里写面具修补后的镜像文件名称] boot.patched
-
解锁 Bootloader(见下方步骤)
-
禁用 vbmeta 的验证, 刷入修补后的 boot 分区镜像文件到 boot 分区
python mtk.py da vbmeta 3
python mtk.py w boot boot.patched
- 重启设备
python mtk.py reset
- 断开 USB 的连接, 享受你的设备 :)
例如:
python mtk.py payload --metamode FASTBOOT
mtk.py r preloader preloader.bin --parttype boot1
mtk.py r preloader preloader.bin --parttype boot2
例如:
python mtk.py da efuse
- 擦除 metadata、userdata 和 md_udc 分区(注: 部分机型解锁 bootloader 之前需要擦除 userdata 用户数据, 当然你也可以选择不擦除):
python mtk.py e metadata,userdata,md_udc
- 解锁 Bootloader:
python mtk.py da seccfg unlock
重新上锁:
python mtk.py da seccfg lock
- 重启设备:
python mtk.py reset
若 Android 11+ 出现 dm-verity 错误,按下电源键继续启动即可,设备会显示关于 bootloader 已解锁的黄色警告然后会在 5 秒内开机。
通过 preloader 提取 boot 分区为 boot.bin 文件
python mtk.py r boot boot.bin
通过 bootrom 提取 boot 分区为 boot.bin 文件(其中 --preloader 为适用于你机型的 preloader 文件所在的路径)
python mtk.py r boot boot.bin [--preloader=Loader/Preloader/your_device_preloader.bin]
通过 bootrom 提取 preloader 分区为 preloader.bin 文件 (需使用 --preloader 来指定 preloader)
python mtk.py r preloader preloader.bin --parttype=boot1 [--preloader=Loader/Preloader/your_device_preloader.bin]
提取所有分区为 flash.bin 文件 (对于 BROM 模式请指定 --preloader)
python mtk.py rf flash.bin
提取所有分区为 flash.bin 文件 (对于 MT6261/MT2301 IoT 物联网设备) (对于 BROM 模式请指定 --preloader):
python mtk.py rf flash.bin --iot
提取 0x128000 偏移, 长度为 0x200000 的闪存为 flash.bin 文件 (对于 BROM 模式请指定 --preloader)
python mtk.py ro 0x128000 0x200000 flash.bin
提取所有分区到 "out" 文件夹 (对于 BROM 模式请指定 --preloader)
python mtk.py rl out
查看 gpt (对于 BROM 模式请指定 --preloader)
python mtk.py printgpt
将所有分区挂载为文件系统
python mtk.py fs /mnt/mtk
(对于 BROM 模式请指定 --preloader)
写入 boot.bin 到 boot 分区
python mtk.py w boot boot.bin
刷入 flash.bin 以还原所有分区(仅在 DA 模式下可用)
python mtk.py wf flash.bin
刷入 "out" 文件夹中的所有分区文件
python mtk.py wl out
刷入在 flash.bin 中偏移 0x128000 长度为 0x200000 的闪存数据 (对于 BROM 模式请指定 --preloader)
python mtk.py wo 0x128000 0x200000 flash.bin
擦除 boot 分区
python mtk.py e boot
擦除 boot 分区的扇区
python mtk.py es boot [扇区数量]
读取内存
python mtk.py da peek [十六进制地址] [十六进制长度] [可选参数: -filename filename.bin 将读取的内容保存到名为 filename.bin 文件中]
写入内存
python mtk.py da poke [十六进制地址] [十六进制的字符串数据 或 -filename filename.bin 从 filename.bin 文件中写入数据]
读取 rpmb (只能在 xflash 中使用)
python mtk.py da rpmb r [will read to rpmb.bin]
写入 rpmb [只能在 xflash 中使用]
python mtk.py da rpmb w filename
生成并显示 rpmb1-3 密钥
python mtk.py da generatekeys
解锁 / 回锁 bootloader(lock=>回锁, unlock=>解锁)
python mtk.py da seccfg [lock 或 unlock]
python mtk.py payload
如果你打算在待会使用 SP Flash Tool 工具,请确保你选择的是 "UART" 设置,而不是 "USB"。
- 设备必须处于 bootrom 模式, 且 preloader 必须是完整的
python mtk.py dumppreloader [--ptype=["amonet","kamakiri","kamakiri2","hashimoto"]] [--filename=preloader.bin]
- 设备必须处于 bootrom 模式, 或者你可以通过让 DA 崩溃的方法然后进入 DA 模式
- 如果未指定任何选项,则将使用 Kamakiri 或 DA(DA 表示不安全目标)
- 如果将 "Kamakiri" 用作选项,则强制执行 Kamakiri
- 有效选项如下:"kamakiri" (通过 usb_ctrl_handler 攻击)、"amonet"(通过 gcpu)和 "hashimoto"(通过 cqdma)
python mtk.py dumpbrom --ptype=["amonet","kamakiri","hashimoto"] [--filename=brom.bin]
要提取未知的 bootrom,请使用 brute 选项:
python mtk.py brute
如果成功提取,请在此处添加一个 Issue 并加上你的 bootrom 附件以添加完整的支持。
python mtk.py crash [--vid=vid] [--pid=pid] [--interface=interface]
- 在 Brom 中引导或崩溃到 Brom
python mtk.py peek [addr] [length] --preloader=patched_preloader.bin
python mtk.py payload --payload=payload.bin [--var1=var1] [--wdt=wdt] [--uartaddr=addr] [--da_addr=addr] [--brom_addr=addr]
python mtk.py stage
python mtk.py plstage
- 在 Brom 中引导或崩溃到 Brom 模式
python mtk.py plstage --preloader=preloader.bin
python stage2.py reboot
python stage2.py rpmb
python stage2.py preloader
python stage2.py memread [开始地址] [数据长度]
python stage2.py memread [开始地址] [数据长度] --filename filename.bin
python stage2.py memwrite [开始地址] --data [十六进制的字符串数据]
python stage2.py memwrite [开始地址] --filename filename.bin
python stage2.py keys --mode [sej, dxcc]
对于 dxcc,你需要使用 plstage 而不是 stage
- 使用 --debugmode 选项运行 mtk 工具。日志将写入 log.txt
- 使用 config/brom_config.py
- 用于自动检测的未知 USB vid/pids 请使用 config/usb_ids.py