大疆Dji pocket 一代研究(Dji Mimo)

我前些日子入了一台云台相机,小巧的机身,强大的机身,反正就是喜欢的不行,作为一个半吊子程序员当然是想写个程序来控制它了。但是逛遍全网,就发现一个写2代HDMI连接的。和我有啥关系呢~~~

哈哈哈,多花了点银子,把底座和波轮都买上了


Gopro的话,就有人已经破解出来了API,直接用就好。但是Dji就没有,我就觉得这么强大的硬件,有点拉跨。不过APP做的功能挺丰富的。但是我还是希望用PY写出来接口来控制的玩耍。但是我是一个逆向的菜鸡,经验不多,至于能不能做出来就是另一个事情了~

相机有两种方式来连接,可以通过AOA的协议连接手机来进行连接。这个技术难度太高,我果断放弃。

第二种就是下面的这个无线底座了,可以通过WIFI的方式来连接

就是这个东西

https://dl.djicdn.com/downloads/Osmo%20Pocket/Osmo_Pocket_Controller_Wheel_Wireless_Module_Accessory_Mount_User_Guide_mul.pdf

长这样的

后面的样子,其实这里看不出来什么玩的

我尝试连接了一下电脑,抓到了一些数据

就是可以看到名字,频带,IP等

https://www.intel.com/content/dam/www/public/us/en/documents/product-briefs/dual-band-wireless-ac-8260-brief-v2.pdf
https://downloadcenter.intel.com/product/86068/Intel-Dual-Band-Wireless-AC-8260

emmm,我以为是机器的芯片。原来是我的电脑网卡。

再看H.264的编码方式,盲猜是UDP

然后抓包

因为安卓系统从7开始就不可以VPN代理的方法来抓包了,只能root这样抓

一般来说,可以空中捕获,但是我一直也没有试,也懒得弄了,直接机器抓


然后在电脑上面分析包就好了

感兴趣的可以来看看

一开始就是抓到的这个,打开APP以后就开始寻找机器来认证了

但是只是wifi而已,其实是蓝牙先行。先不说这个了~


既然传输的信息太硬核,那我们就换个思路。从APP段入手,反编译的事情下次再说,我们先看这个日志法~尝试理清我们的思路。

这里我用了Android Killer的内置功能,直接ADB

抓取图


流程是先相机开机,初始化完成。而后开启日志抓取,手机开启app。对了,记得把所有的教程杀掉,避免无关变量。

因为我怕分析不明白,我把日志的等级拉满了。

先看这个,就是点击的一瞬间。安卓怎么响应的

开了一个进程给app

START u0 {act=android.intent.action.MAIN cat=[android.intent.category.LAUNCHER] flg=0x10200000 cmp=dji.mimo/.main.DJISplashActivity bnds=[843,90][1045,384]} from uid 10181

看这个日志,写的很清楚了。

接着wifi扫描了一次,试图发现设备,记得我上面抓包的哪个协议没有,就是对应的这个过程

Start proc 29117:dji.mimo/u0a248 for pre-top-activity {dji.mimo/dji.mimo.main.DJISplashActivity}

这个就是转载第一个活动了,可以看见这个页面的名字了。

在清单文件里面的定义

就是dji应该是用了flutter,然后这个地方是它的初始化

但是这个firebase,我记得是一个分析工具。。。

接下来都是同一个PID,系统在处理这个事情

还在进行初始化

继续

很长的一段日志,然后中间是执行了一些别的任务

再把线程切换回来,开启主线程

<activity android:configChanges="keyboard| keyboardHidden| layoutDirection |locale |orientation |screenSize" android:keepScreenOn="true"         android:launchMode="singleTask"          android:name="dji.lomo.main.activity.MainActivity"          android:screenOrientation="portrait"          android:theme="@style/Theme.AppCompat"          android:windowSoftInputMode="adjustNothing"         />

这个开启的第二个活动

这个地方两个服务不知是上面用途

  1. 是ping成功了,不知道是ping谁的

  2. 以及一个http的代理缓存服务

终于看到我们的蓝牙服务了。

GATT_Register d12344c7-76ae-d268-7af8-fdd8c0eef506

就不停的开关

[INFO:gatt_api.cc(946)] GATT_Register f29abc00-6323-ab26-6b55-4fd228074931

这个是为一个事件开始扫描

这段日志,应该是蓝牙完成了。开始交付给wifi

连接一个设备,就是我们的底座

下面的看不懂了

onConnectionUpdated() - Device=60:60:1F:F0:5F:ED interval=54 latency=0 timeout=500 status=0

UUID

服务和characteristic是通过UUID来进行识别的。

UUID是32位的,但那些被蓝牙技术联盟的标准中定义的UUID是以四个数字来表示的。UUID既有16位的也有128位的,我们需要了解的是16位的UUID是经过蓝牙组织认证的,是需要购买的,当然也有一些通用的16位UUID。

在这里,16位UUID

setCharacteristicNotification() - uuid: 0000fff4-0000-1000-8000-00805f9b34fb enable: true
registerApp() - UUID=1b3387fb-8500-4d5d-9ce4-5a4065bd391f

这个值在下面

我们看一看看到可以实时的发送电量,以及一个私有的定义

安装发包的时间将信号强度显示出来

蓝牙信息下载这个,好用详细

我们看看这个

是我们日志捕获的信息

这个

https://www.bluetooth.com/specifications/assigned-numbers/generic-access-profile/
Generic Access 0x1800

懂我的意思没有?


这东西是ESP32做的,,,,,毕竟TT扩展件也是ESP32做的~

https://www.esp32.com/viewtopic.php?p=17984

看这群人讨论的是,这个码是固定的。是ESP32就是这个,awesome!

Tag: ConnectivityServiceMessage: requestNetwork for uid/pid:10248/29117 NetworkRequest [ REQUEST id=234, [ Transports: WIFI Capabilities: NOT_RESTRICTED&TRUSTED&NOT_VPN Specifier: <WifiNetworkSpecifier [, SSID Match pattern=PatternMatcher{LITERAL: OsmoPocket-F05FEC}, BSSID Match pattern=Pair{60:60:1f:f0:5f:ec ff:ff:ff:ff:ff:ff}, SSID="OsmoPocket-F05FEC", BSSID=60:60:1f:f0:5f:ec, requestorUid=10248, requestorPackageName=dji.mimo]> Uid: 10248] ]
requestNetworkfor uid/pid:10248/29117 NetworkRequest
[ REQUEST id=234, [ Transports: WIFI Capabilities: NOT_RESTRICTED&TRUSTED&NOT_VPN Specifier: <WifiNetworkSpecifier [ , SSID Match pattern=PatternMatcher{LITERAL: OsmoPocket-F05FEC}, BSSID Match pattern=Pair{60:60:1f:f0:5f:ec ff:ff:ff:ff:ff:ff}, SSID="OsmoPocket-F05FEC", BSSID=60:60:1f:f0:5f:ec, requestorUid=10248, requestorPackageName=dji.mimo    ]> Uid: 10248] ]
requestNetwork对于uid / pid:10248/29117网络请求
[REQUEST id = 234,[ 传输:WIFI功能:NOT_RESTRICTED&TRUSTED&NOT_VPN 说明符:<WifiNetworkSpecifier [ ,SSID匹配模式= PatternMatcher {文字:OsmoPocket-F05FEC}, BSSID匹配模式=对{60:60:1f:f0:5f:ec ff:ff:ff:ff:ff:ff}, SSID =“ OsmoPocket-F05FEC”, BSSID = 60:60:1f:f0:5f:ec, requestorUid = 10248, requestorPackageName = dji.mimo     ]> Uid:10248]]

好了,活捉一段配对的代码,我们的蓝牙和wifi交汇的地方就是这个地方。

用Tello的时候,在用vpn的情况下就不能连接上。估计代码是一样的

Approved access point found in matching scan results.
Triggering connect SSID: OsmoPocket-F05FEC, BSSID: 60:60:1f:f0:5f:ec, capabilities: [WPA2-PSK-CCMP+TKIP][RSN-PSK-CCMP+TKIP][ESS], level: -46, frequency: 5745, timestamp: 68237467033, distance: ?(cm), distanceSd: ?(cm), passpoint: no, ChannelBandwidth: 2, centerFreq0: 5775, centerFreq1: 0, 80211mcResponder: is not supported, Carrier AP: no, Carrier AP EAP Type: -1, Carrier name: null, Radio Chain Infos: []
在匹配的扫描结果中找到批准的访问点。
触发连接SSID:OsmoPocket-F05FEC,BSSID:60:60:1f:f0:5f:ec,功能:[WPA2-PSK-CCMP + TKIP] [RSN-PSK-CCMP + TKIP] [ESS], 等级:-46, 频率:5745 时间戳:68237467033, 距离:?(cm), distanceSd:?(cm), 密码:不, ChannelBandwidth:2 centerFreq0:5775, centerFreq1:0, 80211mcResponder:不支持, 运营商AP:不, 运营商AP EAP类型:-1, 运营商名称:null, 无线电链信息:[]

这段就是进行了wifi的连接,上面的日志是打印了具体连接我们底座的精确信息

虽然是连接中,但是又有蓝牙的信息

那我就可以猜测,应该是用蓝牙传递的信息来连接WiFi的,因为没有输入密码的步骤,但是app里面有。所以是没有连接上,蓝牙继续去申请和连接

以b0:e2:35:c1:24:63作为mac地址连接

先是这个以太网的追踪线程,内部应该是一个循环,在等端口的连接状态改变

up变为真以后,接着就是连接wlan0,与60:1f:f0:5f:ec关联

我们看封包,2,4是相机发送的

命名一目了然,深圳大疆

这个是我的小米5

这段是鉴权的认证信息


wlan0:

WPA:

密钥协商以60:

60:

1f:

f0:

5f:

ec [PTK = CCMP GTK = TKIP]完成

wlan0: CTRL-EVENT-CONNECTED - Connection to 60:60:1f:f0:5f:ec completed [id=0 id_str=%7B%22configKey %22%3A%22%5C%22OsmoPocket- F05FEC%5C%22WPA_PSK %22%2C%22creatorUid %22%3A%2210248%22%7D]

NETD的作用

Netd是Android系统中专门负责网络管理和控制的后台daemon程序,其功能主要分三大块:

设置防火墙(Firewall)、网络地址转换(NAT)、带宽控制、无线网卡软接入点(Soft Access Point)控制,网络设备绑定(Tether)等。
Android系统中DNS信息的缓存和管理。
网络服务搜索(Net Service Discovery,简称NSD)功能,包括服务注册(Service Registration)、服务搜索(Service Browse)和服务名解析(Service Resolve)等。
Netd的工作流程和Vold类似[1],其工作可分成两部分:
- Netd接收并处理来自Framework层中NetworkManagementService或NsdService的命令。这些命令最终由Netd中对应的Command对象去处理。
- Net接收并解析来自Kernel的UEvent消息,然后再转发给Framework层中对应Service去处理。

Netd位于Framework层和Kernel层之间,它是Android系统中网络相关消息和命令转发及处理的中枢模块。

流程图

开始监听线程了

DHCP,自动获取IP

看我箭头

中间一段长日志,我不懂。然后app自己打了这个日志


H.264的SPS和PPS串,包含了初始化H.264解码器所需要的信息参数,包括编码所用的profile,level,图像的宽和高,deblock滤波器等.


最大帧数= 15,vui时间标度= 60000,vui数量单位= 1001

又是一堆,让我们看这个,和我们前面说的一样

是H.264的解码器

 sps pps, width = 960, height = 720

至少我们知道了,预览传过来的视频的分辨率位960x720

在app的里面有很多的控件,我们主要分析云台的控件,我们来动一下控件

先响应这个控件

然后,解码线程

这个是netd的一些方法,我也看不懂

像是维护帧传输的准确性

在你摁下拍照的时候,会打印一个log

我写不下去了,虽然不是很高深,但是我写太久了。下次文章我们再见~

(0)

相关推荐