大疆Dji pocket 一代研究(Dji Mimo)
我前些日子入了一台云台相机,小巧的机身,强大的机身,反正就是喜欢的不行,作为一个半吊子程序员当然是想写个程序来控制它了。但是逛遍全网,就发现一个写2代HDMI连接的。和我有啥关系呢~~~
哈哈哈,多花了点银子,把底座和波轮都买上了
Gopro的话,就有人已经破解出来了API,直接用就好。但是Dji就没有,我就觉得这么强大的硬件,有点拉跨。不过APP做的功能挺丰富的。但是我还是希望用PY写出来接口来控制的玩耍。但是我是一个逆向的菜鸡,经验不多,至于能不能做出来就是另一个事情了~
相机有两种方式来连接,可以通过AOA的协议连接手机来进行连接。这个技术难度太高,我果断放弃。
第二种就是下面的这个无线底座了,可以通过WIFI的方式来连接
就是这个东西
https://dl.djicdn.com/downloads/Osmo%20Pocket/Osmo_Pocket_Controller_Wheel_Wireless_Module_Accessory_Mount_User_Guide_mul.pdf
长这样的
后面的样子,其实这里看不出来什么玩的
我尝试连接了一下电脑,抓到了一些数据
就是可以看到名字,频带,IP等
https://www.intel.com/content/dam/www/public/us/en/documents/product-briefs/dual-band-wireless-ac-8260-brief-v2.pdf
https://downloadcenter.intel.com/product/86068/Intel-Dual-Band-Wireless-AC-8260
emmm,我以为是机器的芯片。原来是我的电脑网卡。
再看H.264的编码方式,盲猜是UDP
然后抓包
因为安卓系统从7开始就不可以VPN代理的方法来抓包了,只能root这样抓
一般来说,可以空中捕获,但是我一直也没有试,也懒得弄了,直接机器抓
然后在电脑上面分析包就好了
感兴趣的可以来看看
一开始就是抓到的这个,打开APP以后就开始寻找机器来认证了
但是只是wifi而已,其实是蓝牙先行。先不说这个了~
既然传输的信息太硬核,那我们就换个思路。从APP段入手,反编译的事情下次再说,我们先看这个日志法~尝试理清我们的思路。
这里我用了Android Killer的内置功能,直接ADB
抓取图
流程是先相机开机,初始化完成。而后开启日志抓取,手机开启app。对了,记得把所有的教程杀掉,避免无关变量。
因为我怕分析不明白,我把日志的等级拉满了。
先看这个,就是点击的一瞬间。安卓怎么响应的
开了一个进程给app
START
u0
{act=android.intent.action.MAIN
cat=[android.intent.category.LAUNCHER]
flg=0x10200000
cmp=dji.mimo/.main.DJISplashActivity
bnds=[843,90][1045,384]}
from uid 10181
看这个日志,写的很清楚了。
接着wifi扫描了一次,试图发现设备,记得我上面抓包的哪个协议没有,就是对应的这个过程
Start proc 29117:dji.mimo/u0a248
for
pre-top-activity
{dji.mimo/dji.mimo.main.DJISplashActivity}
这个就是转载第一个活动了,可以看见这个页面的名字了。
在清单文件里面的定义
就是dji应该是用了flutter,然后这个地方是它的初始化
但是这个firebase,我记得是一个分析工具。。。
接下来都是同一个PID,系统在处理这个事情
还在进行初始化
继续
很长的一段日志,然后中间是执行了一些别的任务
再把线程切换回来,开启主线程
<activity
android:configChanges="keyboard|
keyboardHidden|
layoutDirection
|locale
|orientation
|screenSize"
android:keepScreenOn="true"
android:launchMode="singleTask"
android:name="dji.lomo.main.activity.MainActivity"
android:screenOrientation="portrait"
android:theme="@style/Theme.AppCompat"
android:windowSoftInputMode="adjustNothing"
/>
这个开启的第二个活动
这个地方两个服务不知是上面用途
是ping成功了,不知道是ping谁的
以及一个http的代理缓存服务
终于看到我们的蓝牙服务了。
GATT_Register d12344c7-76ae-d268-7af8-fdd8c0eef506
就不停的开关
[INFO:gatt_api.cc(946)]
GATT_Register f29abc00-6323-ab26-6b55-4fd228074931
这个是为一个事件开始扫描
这段日志,应该是蓝牙完成了。开始交付给wifi
连接一个设备,就是我们的底座
下面的看不懂了
onConnectionUpdated() - Device=60:60:1F:F0:5F:ED interval=54 latency=0 timeout=500 status=0
UUID
服务和characteristic是通过UUID来进行识别的。
UUID是32位的,但那些被蓝牙技术联盟的标准中定义的UUID是以四个数字来表示的。UUID既有16位的也有128位的,我们需要了解的是16位的UUID是经过蓝牙组织认证的,是需要购买的,当然也有一些通用的16位UUID。
在这里,16位UUID
setCharacteristicNotification() - uuid:
0000fff4-0000-1000-8000-00805f9b34fb
enable: true
registerApp() -
UUID=1b3387fb-8500-4d5d-9ce4-5a4065bd391f
这个值在下面
我们看一看看到可以实时的发送电量,以及一个私有的定义
安装发包的时间将信号强度显示出来
蓝牙信息下载这个,好用详细
我们看看这个
是我们日志捕获的信息
这个
https://www.bluetooth.com/specifications/assigned-numbers/generic-access-profile/
Generic Access 0x1800
懂我的意思没有?
这东西是ESP32做的,,,,,毕竟TT扩展件也是ESP32做的~
https://www.esp32.com/viewtopic.php?p=17984
看这群人讨论的是,这个码是固定的。是ESP32就是这个,awesome!
Tag: ConnectivityService
Message: requestNetwork for uid/pid:10248/29117 NetworkRequest [ REQUEST id=234, [ Transports: WIFI Capabilities: NOT_RESTRICTED&TRUSTED&NOT_VPN Specifier: <WifiNetworkSpecifier [, SSID Match pattern=PatternMatcher{LITERAL: OsmoPocket-F05FEC}, BSSID Match pattern=Pair{60:60:1f:f0:5f:ec ff:ff:ff:ff:ff:ff}, SSID="OsmoPocket-F05FEC", BSSID=60:60:1f:f0:5f:ec, requestorUid=10248, requestorPackageName=dji.mimo]> Uid: 10248] ]
requestNetwork
for uid/pid:10248/29117
NetworkRequest
[ REQUEST id=234,
[
Transports: WIFI Capabilities: NOT_RESTRICTED&TRUSTED&NOT_VPN
Specifier: <WifiNetworkSpecifier
[
, SSID Match pattern=PatternMatcher{LITERAL: OsmoPocket-F05FEC},
BSSID Match pattern=Pair{60:60:1f:f0:5f:ec ff:ff:ff:ff:ff:ff},
SSID="OsmoPocket-F05FEC",
BSSID=60:60:1f:f0:5f:ec,
requestorUid=10248,
requestorPackageName=dji.mimo
]> Uid: 10248]
]
requestNetwork
对于uid / pid:10248/29117
网络请求
[REQUEST id = 234,
[
传输:WIFI功能:NOT_RESTRICTED&TRUSTED&NOT_VPN
说明符:<WifiNetworkSpecifier
[
,SSID匹配模式= PatternMatcher {文字:OsmoPocket-F05FEC},
BSSID匹配模式=对{60:60:1f:f0:5f:ec ff:ff:ff:ff:ff:ff},
SSID =“ OsmoPocket-F05FEC”,
BSSID = 60:60:1f:f0:5f:ec,
requestorUid = 10248,
requestorPackageName = dji.mimo
]> Uid:10248]
]
好了,活捉一段配对的代码,我们的蓝牙和wifi交汇的地方就是这个地方。
用Tello的时候,在用vpn的情况下就不能连接上。估计代码是一样的
Approved access point found in matching scan results.
Triggering connect SSID: OsmoPocket-F05FEC,
BSSID: 60:60:1f:f0:5f:ec,
capabilities: [WPA2-PSK-CCMP+TKIP][RSN-PSK-CCMP+TKIP][ESS],
level: -46,
frequency: 5745,
timestamp: 68237467033,
distance: ?(cm),
distanceSd: ?(cm),
passpoint: no,
ChannelBandwidth: 2,
centerFreq0: 5775,
centerFreq1: 0,
80211mcResponder: is not supported,
Carrier AP: no,
Carrier AP EAP Type: -1,
Carrier name: null,
Radio Chain Infos: []
在匹配的扫描结果中找到批准的访问点。
触发连接SSID:OsmoPocket-F05FEC,
BSSID:60:60:1f:f0:5f:ec,
功能:[WPA2-PSK-CCMP + TKIP] [RSN-PSK-CCMP + TKIP] [ESS],
等级:-46,
频率:5745
时间戳:68237467033,
距离:?(cm),
distanceSd:?(cm),
密码:不,
ChannelBandwidth:2
centerFreq0:5775,
centerFreq1:0,
80211mcResponder:不支持,
运营商AP:不,
运营商AP EAP类型:-1,
运营商名称:null,
无线电链信息:[]
这段就是进行了wifi的连接,上面的日志是打印了具体连接我们底座的精确信息
虽然是连接中,但是又有蓝牙的信息
那我就可以猜测,应该是用蓝牙传递的信息来连接WiFi的,因为没有输入密码的步骤,但是app里面有。所以是没有连接上,蓝牙继续去申请和连接
以b0:e2:35:c1:24:63作为mac地址连接
先是这个以太网的追踪线程,内部应该是一个循环,在等端口的连接状态改变
up变为真以后,接着就是连接wlan0,与60:1f:f0:5f:ec关联
我们看封包,2,4是相机发送的
命名一目了然,深圳大疆
这个是我的小米5
这段是鉴权的认证信息
wlan0:
WPA:
密钥协商以60:
60:
1f:
f0:
5f:
ec [PTK = CCMP GTK = TKIP]完成
wlan0: CTRL-EVENT-CONNECTED - Connection to 60:60:1f:f0:5f:ec
completed
[id=0
id_str=%7B%22
configKey %22%3A%22%5C%22O
smoPocket- F05FEC%5C%22
WPA_PSK %22%2C%22
creatorUid %22%3A%2210248%22%7D
]
NETD的作用
Netd是Android系统中专门负责网络管理和控制的后台daemon程序,其功能主要分三大块:
设置防火墙(Firewall)、网络地址转换(NAT)、带宽控制、无线网卡软接入点(Soft Access Point)控制,网络设备绑定(Tether)等。
Android系统中DNS信息的缓存和管理。
网络服务搜索(Net Service Discovery,简称NSD)功能,包括服务注册(Service Registration)、服务搜索(Service Browse)和服务名解析(Service Resolve)等。
Netd的工作流程和Vold类似[1],其工作可分成两部分:
- Netd接收并处理来自Framework层中NetworkManagementService或NsdService的命令。这些命令最终由Netd中对应的Command对象去处理。
- Net接收并解析来自Kernel的UEvent消息,然后再转发给Framework层中对应Service去处理。
Netd位于Framework层和Kernel层之间,它是Android系统中网络相关消息和命令转发及处理的中枢模块。
流程图
开始监听线程了
DHCP,自动获取IP
看我箭头
中间一段长日志,我不懂。然后app自己打了这个日志
H.264的SPS和PPS串,包含了初始化H.264解码器所需要的信息参数,包括编码所用的profile,level,图像的宽和高,deblock滤波器等.
最大帧数= 15,vui时间标度= 60000,vui数量单位= 1001
又是一堆,让我们看这个,和我们前面说的一样
是H.264的解码器
sps pps, width = 960, height = 720
至少我们知道了,预览传过来的视频的分辨率位960x720
在app的里面有很多的控件,我们主要分析云台的控件,我们来动一下控件
先响应这个控件
然后,解码线程
这个是netd的一些方法,我也看不懂
像是维护帧传输的准确性
在你摁下拍照的时候,会打印一个log
我写不下去了,虽然不是很高深,但是我写太久了。下次文章我们再见~