我前些日子入了一台云台相机,小巧的机身,强大的机身,反正就是喜欢的不行,作为一个半吊子程序员当然是想写个程序来控制它了。但是逛遍全网,就发现一个写2代HDMI连接的。和我有啥关系呢~~~
哈哈哈,多花了点银子,把底座和波轮都买上了
Gopro的话,就有人已经破解出来了API,直接用就好。但是Dji就没有,我就觉得这么强大的硬件,有点拉跨。不过APP做的功能挺丰富的。但是我还是希望用PY写出来接口来控制的玩耍。但是我是一个逆向的菜鸡,经验不多,至于能不能做出来就是另一个事情了~
相机有两种方式来连接,可以通过AOA的协议连接手机来进行连接。这个技术难度太高,我果断放弃。
第二种就是下面的这个无线底座了,可以通过WIFI的方式来连接
就是这个东西
https://dl.djicdn.com/downloads/Osmo%20Pocket/Osmo_Pocket_Controller_Wheel_Wireless_Module_Accessory_Mount_User_Guide_mul.pdf
长这样的
后面的样子,其实这里看不出来什么玩的
我尝试连接了一下电脑,抓到了一些数据
就是可以看到名字,频带,IP等
https://www.intel.com/content/dam/www/public/us/en/documents/product-briefs/dual-band-wireless-ac-8260-brief-v2.pdfhttps://downloadcenter.intel.com/product/86068/Intel-Dual-Band-Wireless-AC-8260emmm,我以为是机器的芯片。原来是我的电脑网卡。
再看H.264的编码方式,盲猜是UDP
然后抓包
因为安卓系统从7开始就不可以VPN代理的方法来抓包了,只能root这样抓
一般来说,可以空中捕获,但是我一直也没有试,也懒得弄了,直接机器抓
然后在电脑上面分析包就好了
感兴趣的可以来看看
一开始就是抓到的这个,打开APP以后就开始寻找机器来认证了
但是只是wifi而已,其实是蓝牙先行。先不说这个了~
既然传输的信息太硬核,那我们就换个思路。从APP段入手,反编译的事情下次再说,我们先看这个日志法~尝试理清我们的思路。
这里我用了Android Killer的内置功能,直接ADB
抓取图
流程是先相机开机,初始化完成。而后开启日志抓取,手机开启app。对了,记得把所有的教程杀掉,避免无关变量。
因为我怕分析不明白,我把日志的等级拉满了。
先看这个,就是点击的一瞬间。安卓怎么响应的
开了一个进程给app
STARTu0{act=android.intent.action.MAINcat=[android.intent.category.LAUNCHER]flg=0x10200000cmp=dji.mimo/.main.DJISplashActivitybnds=[843,90][1045,384]}from uid 10181
看这个日志,写的很清楚了。
接着wifi扫描了一次,试图发现设备,记得我上面抓包的哪个协议没有,就是对应的这个过程
Start proc 29117:dji.mimo/u0a248forpre-top-activity{dji.mimo/dji.mimo.main.DJISplashActivity}
这个就是转载第一个活动了,可以看见这个页面的名字了。
在清单文件里面的定义
就是dji应该是用了flutter,然后这个地方是它的初始化
但是这个firebase,我记得是一个分析工具。。。
接下来都是同一个PID,系统在处理这个事情
还在进行初始化
继续
很长的一段日志,然后中间是执行了一些别的任务
再把线程切换回来,开启主线程
<activityandroid:configChanges="keyboard|keyboardHidden|layoutDirection|locale|orientation|screenSize"android:keepScreenOn="true"android:launchMode="singleTask"android:name="dji.lomo.main.activity.MainActivity"android:screenOrientation="portrait"android:theme="@style/Theme.AppCompat"android:windowSoftInputMode="adjustNothing"/>
这个开启的第二个活动
这个地方两个服务不知是上面用途
是ping成功了,不知道是ping谁的
以及一个http的代理缓存服务
终于看到我们的蓝牙服务了。
GATT_Register d12344c7-76ae-d268-7af8-fdd8c0eef506
就不停的开关
[]GATT_Register f29abc00-6323-ab26-6b55-4fd228074931
这个是为一个事件开始扫描
这段日志,应该是蓝牙完成了。开始交付给wifi
连接一个设备,就是我们的底座
下面的看不懂了
onConnectionUpdated() - Device=60:60:1F:F0:5F:ED interval=54 latency=0 timeout=500 status=0UUID
服务和characteristic是通过UUID来进行识别的。
UUID是32位的,但那些被蓝牙技术联盟的标准中定义的UUID是以四个数字来表示的。UUID既有16位的也有128位的,我们需要了解的是16位的UUID是经过蓝牙组织认证的,是需要购买的,当然也有一些通用的16位UUID。
在这里,16位UUID
setCharacteristicNotification() - uuid:0000fff4-0000-1000-8000-00805f9b34fbenable: true
registerApp() -UUID=1b3387fb-8500-4d5d-9ce4-5a4065bd391f
这个值在下面
我们看一看看到可以实时的发送电量,以及一个私有的定义
安装发包的时间将信号强度显示出来
蓝牙信息下载这个,好用详细
我们看看这个
是我们日志捕获的信息
这个
https://www.bluetooth.com/specifications/assigned-numbers/generic-access-profile/
Generic Access 0x1800
懂我的意思没有?
这东西是ESP32做的,,,,,毕竟TT扩展件也是ESP32做的~
https://www.esp32.com/viewtopic.php?p=17984看这群人讨论的是,这个码是固定的。是ESP32就是这个,awesome!
Tag: ConnectivityServiceMessage: requestNetwork for uid/pid:10248/29117 NetworkRequest [ REQUEST id=234, [ Transports: WIFI Capabilities: NOT_RESTRICTED&TRUSTED&NOT_VPN Specifier: <WifiNetworkSpecifier [, SSID Match pattern=PatternMatcher{LITERAL: OsmoPocket-F05FEC}, BSSID Match pattern=Pair{60:60:1f:f0:5f:ec ff:ff:ff:ff:ff:ff}, SSID="OsmoPocket-F05FEC", BSSID=60:60:1f:f0:5f:ec, requestorUid=10248, requestorPackageName=dji.mimo]> Uid: 10248] ]
requestNetworkfor uid/pid:10248/29117NetworkRequestREQUEST id=234,Transports: WIFI Capabilities: NOT_RESTRICTED&TRUSTED&NOT_VPNSpecifier: <WifiNetworkSpecifier[SSID Match pattern=PatternMatcher{LITERAL: OsmoPocket-F05FEC},BSSID Match pattern=Pair{60:60:1f:f0:5f:ec ff:ff:ff:ff:ff:ff},SSID="OsmoPocket-F05FEC",BSSID=60:60:1f:f0:5f:ec,requestorUid=10248,requestorPackageName=dji.mimo: 10248]]
requestNetwork对于uid / pid:10248/29117网络请求[REQUEST id = 234,[传输:WIFI功能:NOT_RESTRICTED&TRUSTED&NOT_VPN说明符:<WifiNetworkSpecifier[,SSID匹配模式= PatternMatcher {文字:OsmoPocket-F05FEC},BSSID匹配模式=对{60:60:1f:f0:5f:ec ff:ff:ff:ff:ff:ff},SSID =“ OsmoPocket-F05FEC”,BSSID = 60:60:1f:f0:5f:ec,requestorUid = 10248,requestorPackageName = dji.mimo]> Uid:10248]]
好了,活捉一段配对的代码,我们的蓝牙和wifi交汇的地方就是这个地方。
用Tello的时候,在用vpn的情况下就不能连接上。估计代码是一样的
Approved access point found in matching scan results.Triggering connect SSID: OsmoPocket-F05FEC,BSSID: 60:60:1f:f0:5f:ec,capabilities: [WPA2-PSK-CCMP+TKIP][RSN-PSK-CCMP+TKIP][ESS],level: -46,frequency: 5745,timestamp: 68237467033,distance: ?(cm),distanceSd: ?(cm),passpoint: no,ChannelBandwidth: 2,centerFreq0: 5775,centerFreq1: 0,80211mcResponder: is not supported,Carrier AP: no,Carrier AP EAP Type: -1,Carrier name: null,Radio Chain Infos: []
在匹配的扫描结果中找到批准的访问点。触发连接SSID:OsmoPocket-F05FEC,BSSID:60:60:1f:f0:5f:ec,功能:[WPA2-PSK-CCMP + TKIP] [RSN-PSK-CCMP + TKIP] [ESS],等级:-46,频率:5745时间戳:68237467033,距离:?(cm),distanceSd:?(cm),密码:不,ChannelBandwidth:2centerFreq0:5775,centerFreq1:0,80211mcResponder:不支持,运营商AP:不,运营商AP EAP类型:-1,运营商名称:null,无线电链信息:[]
这段就是进行了wifi的连接,上面的日志是打印了具体连接我们底座的精确信息
虽然是连接中,但是又有蓝牙的信息
那我就可以猜测,应该是用蓝牙传递的信息来连接WiFi的,因为没有输入密码的步骤,但是app里面有。所以是没有连接上,蓝牙继续去申请和连接
以b0:e2:35:c1:24:63作为mac地址连接
先是这个以太网的追踪线程,内部应该是一个循环,在等端口的连接状态改变
up变为真以后,接着就是连接wlan0,与60:1f:f0:5f:ec关联
我们看封包,2,4是相机发送的
命名一目了然,深圳大疆
这个是我的小米5
这段是鉴权的认证信息
wlan0:
WPA:
密钥协商以60:
60:
1f:
f0:
5f:
ec [PTK = CCMP GTK = TKIP]完成
wlan0: CTRL-EVENT-CONNECTED - Connection to 60:60:1f:f0:5f:eccompleted[id=0id_str=%7B%22configKey %22%3A%22%5C%22OsmoPocket- F05FEC%5C%22WPA_PSK %22%2C%22creatorUid %22%3A%2210248%22%7D]
流程图
开始监听线程了
DHCP,自动获取IP
看我箭头
中间一段长日志,我不懂。然后app自己打了这个日志
H.264的SPS和PPS串,包含了初始化H.264解码器所需要的信息参数,包括编码所用的profile,level,图像的宽和高,deblock滤波器等.
最大帧数= 15,vui时间标度= 60000,vui数量单位= 1001
又是一堆,让我们看这个,和我们前面说的一样
是H.264的解码器
sps pps, width = 960, height = 720至少我们知道了,预览传过来的视频的分辨率位960x720
在app的里面有很多的控件,我们主要分析云台的控件,我们来动一下控件
先响应这个控件
然后,解码线程
这个是netd的一些方法,我也看不懂
像是维护帧传输的准确性
在你摁下拍照的时候,会打印一个log
我写不下去了,虽然不是很高深,但是我写太久了。下次文章我们再见~
