大疆Dji pocket 一代研究（Dji Mimo) / 开普饭

我前些日子入了一台云台相机，小巧的机身，强大的机身，反正就是喜欢的不行，作为一个半吊子程序员当然是想写个程序来控制它了。但是逛遍全网，就发现一个写2代HDMI连接的。和我有啥关系呢~~~

哈哈哈，多花了点银子，把底座和波轮都买上了

Gopro的话，就有人已经破解出来了API，直接用就好。但是Dji就没有，我就觉得这么强大的硬件，有点拉跨。不过APP做的功能挺丰富的。但是我还是希望用PY写出来接口来控制的玩耍。但是我是一个逆向的菜鸡，经验不多，至于能不能做出来就是另一个事情了~

相机有两种方式来连接，可以通过AOA的协议连接手机来进行连接。这个技术难度太高，我果断放弃。

第二种就是下面的这个无线底座了，可以通过WIFI的方式来连接

就是这个东西

https://dl.djicdn.com/downloads/Osmo%20Pocket/Osmo_Pocket_Controller_Wheel_Wireless_Module_Accessory_Mount_User_Guide_mul.pdf

长这样的

后面的样子，其实这里看不出来什么玩的

我尝试连接了一下电脑，抓到了一些数据

就是可以看到名字，频带，IP等

https://www.intel.com/content/dam/www/public/us/en/documents/product-briefs/dual-band-wireless-ac-8260-brief-v2.pdf

https://downloadcenter.intel.com/product/86068/Intel-Dual-Band-Wireless-AC-8260

emmm，我以为是机器的芯片。原来是我的电脑网卡。

再看H.264的编码方式，盲猜是UDP

然后抓包

因为安卓系统从7开始就不可以VPN代理的方法来抓包了，只能root这样抓

一般来说，可以空中捕获，但是我一直也没有试，也懒得弄了，直接机器抓

然后在电脑上面分析包就好了

感兴趣的可以来看看

一开始就是抓到的这个，打开APP以后就开始寻找机器来认证了

但是只是wifi而已，其实是蓝牙先行。先不说这个了~

既然传输的信息太硬核，那我们就换个思路。从APP段入手，反编译的事情下次再说，我们先看这个日志法~尝试理清我们的思路。

这里我用了Android Killer的内置功能，直接ADB

抓取图

流程是先相机开机，初始化完成。而后开启日志抓取，手机开启app。对了，记得把所有的教程杀掉，避免无关变量。

因为我怕分析不明白，我把日志的等级拉满了。

先看这个，就是点击的一瞬间。安卓怎么响应的

开了一个进程给app

START u0 {act=android.intent.action.MAIN cat=[android.intent.category.LAUNCHER] flg=0x10200000 cmp=dji.mimo/.main.DJISplashActivity bnds=[843,90][1045,384]} from uid 10181

看这个日志，写的很清楚了。

接着wifi扫描了一次，试图发现设备，记得我上面抓包的哪个协议没有，就是对应的这个过程

Start proc 29117:dji.mimo/u0a248 for pre-top-activity {dji.mimo/dji.mimo.main.DJISplashActivity}

这个就是转载第一个活动了，可以看见这个页面的名字了。

在清单文件里面的定义

就是dji应该是用了flutter，然后这个地方是它的初始化

但是这个firebase，我记得是一个分析工具。。。

接下来都是同一个PID，系统在处理这个事情

还在进行初始化

继续

很长的一段日志，然后中间是执行了一些别的任务

再把线程切换回来，开启主线程

<activity android:configChanges="keyboard| keyboardHidden| layoutDirection |locale |orientation |screenSize" android:keepScreenOn="true" android:launchMode="singleTask" android:name="dji.lomo.main.activity.MainActivity" android:screenOrientation="portrait" android:theme="@style/Theme.AppCompat" android:windowSoftInputMode="adjustNothing" />

这个开启的第二个活动

这个地方两个服务不知是上面用途

是ping成功了，不知道是ping谁的
以及一个http的代理缓存服务

终于看到我们的蓝牙服务了。

GATT_Register d12344c7-76ae-d268-7af8-fdd8c0eef506

就不停的开关

[INFO:gatt_api.cc(946)] GATT_Register f29abc00-6323-ab26-6b55-4fd228074931

这个是为一个事件开始扫描

这段日志，应该是蓝牙完成了。开始交付给wifi

连接一个设备，就是我们的底座

下面的看不懂了

onConnectionUpdated() - Device=60:60:1F:F0:5F:ED interval=54 latency=0 timeout=500 status=0

UUID

服务和characteristic是通过UUID来进行识别的。

UUID是32位的，但那些被蓝牙技术联盟的标准中定义的UUID是以四个数字来表示的。UUID既有16位的也有128位的，我们需要了解的是16位的UUID是经过蓝牙组织认证的，是需要购买的，当然也有一些通用的16位UUID。

在这里，16位UUID

setCharacteristicNotification() - uuid: 0000fff4-0000-1000-8000-00805f9b34fb enable: true

registerApp() - UUID=1b3387fb-8500-4d5d-9ce4-5a4065bd391f

这个值在下面

我们看一看看到可以实时的发送电量，以及一个私有的定义

安装发包的时间将信号强度显示出来

蓝牙信息下载这个，好用详细

我们看看这个

是我们日志捕获的信息

这个

https://www.bluetooth.com/specifications/assigned-numbers/generic-access-profile/

Generic Access 0x1800

懂我的意思没有？

这东西是ESP32做的，，，，，毕竟TT扩展件也是ESP32做的~

https://www.esp32.com/viewtopic.php?p=17984

看这群人讨论的是，这个码是固定的。是ESP32就是这个，awesome！

Tag: ConnectivityService

Message: requestNetwork for uid/pid:10248/29117 NetworkRequest [ REQUEST id=234, [ Transports: WIFI Capabilities: NOT_RESTRICTED&TRUSTED&NOT_VPN Specifier: <WifiNetworkSpecifier [, SSID Match pattern=PatternMatcher{LITERAL: OsmoPocket-F05FEC}, BSSID Match pattern=Pair{60:60:1f:f0:5f:ec ff:ff:ff:ff:ff:ff}, SSID="OsmoPocket-F05FEC", BSSID=60:60:1f:f0:5f:ec, requestorUid=10248, requestorPackageName=dji.mimo]> Uid: 10248] ]

requestNetworkfor uid/pid:10248/29117 NetworkRequest

[ REQUEST id=234, [ Transports: WIFI Capabilities: NOT_RESTRICTED&TRUSTED&NOT_VPN Specifier: <WifiNetworkSpecifier [ , SSID Match pattern=PatternMatcher{LITERAL: OsmoPocket-F05FEC}, BSSID Match pattern=Pair{60:60:1f:f0:5f:ec ff:ff:ff:ff:ff:ff}, SSID="OsmoPocket-F05FEC", BSSID=60:60:1f:f0:5f:ec, requestorUid=10248, requestorPackageName=dji.mimo ]> Uid: 10248] ]

requestNetwork对于uid / pid：10248/29117网络请求

[REQUEST id = 234，[ 传输：WIFI功能：NOT_RESTRICTED＆TRUSTED＆NOT_VPN 说明符：<WifiNetworkSpecifier [ ，SSID匹配模式= PatternMatcher {文字：OsmoPocket-F05FEC}， BSSID匹配模式=对{60：60：1f：f0：5f：ec ff：ff：ff：ff：ff：ff}， SSID =“ OsmoPocket-F05FEC”， BSSID = 60：60：1f：f0：5f：ec， requestorUid = 10248， requestorPackageName = dji.mimo ]> Uid：10248]]

好了，活捉一段配对的代码，我们的蓝牙和wifi交汇的地方就是这个地方。

用Tello的时候，在用vpn的情况下就不能连接上。估计代码是一样的

Approved access point found in matching scan results.

Triggering connect SSID: OsmoPocket-F05FEC, BSSID: 60:60:1f:f0:5f:ec, capabilities: [WPA2-PSK-CCMP+TKIP][RSN-PSK-CCMP+TKIP][ESS], level: -46, frequency: 5745, timestamp: 68237467033, distance: ?(cm), distanceSd: ?(cm), passpoint: no, ChannelBandwidth: 2, centerFreq0: 5775, centerFreq1: 0, 80211mcResponder: is not supported, Carrier AP: no, Carrier AP EAP Type: -1, Carrier name: null, Radio Chain Infos: []

在匹配的扫描结果中找到批准的访问点。

触发连接SSID：OsmoPocket-F05FEC，BSSID：60：60：1f：f0：5f：ec，功能：[WPA2-PSK-CCMP + TKIP] [RSN-PSK-CCMP + TKIP] [ESS]， 等级：-46， 频率：5745 时间戳：68237467033， 距离：？（cm）， distanceSd：？（cm）， 密码：不， ChannelBandwidth：2 centerFreq0：5775， centerFreq1：0， 80211mcResponder：不支持， 运营商AP：不， 运营商AP EAP类型：-1， 运营商名称：null， 无线电链信息：[]

这段就是进行了wifi的连接，上面的日志是打印了具体连接我们底座的精确信息

虽然是连接中，但是又有蓝牙的信息

那我就可以猜测，应该是用蓝牙传递的信息来连接WiFi的，因为没有输入密码的步骤，但是app里面有。所以是没有连接上，蓝牙继续去申请和连接

以b0：e2：35：c1：24：63作为mac地址连接

先是这个以太网的追踪线程，内部应该是一个循环，在等端口的连接状态改变

up变为真以后，接着就是连接wlan0，与60：1f：f0：5f：ec关联

我们看封包，2，4是相机发送的

命名一目了然，深圳大疆

这个是我的小米5

这段是鉴权的认证信息

wlan0：

WPA：

密钥协商以60：

60：

1f：

f0：

5f：

ec [PTK = CCMP GTK = TKIP]完成

wlan0: CTRL-EVENT-CONNECTED - Connection to 60:60:1f:f0:5f:ec completed [id=0 id_str=%7B%22configKey %22%3A%22%5C%22OsmoPocket- F05FEC%5C%22WPA_PSK %22%2C%22creatorUid %22%3A%2210248%22%7D]

NETD的作用

Netd是Android系统中专门负责网络管理和控制的后台daemon程序，其功能主要分三大块：

设置防火墙（Firewall）、网络地址转换（NAT）、带宽控制、无线网卡软接入点（Soft Access Point）控制，网络设备绑定（Tether）等。
Android系统中DNS信息的缓存和管理。
网络服务搜索（Net Service Discovery，简称NSD）功能，包括服务注册（Service Registration）、服务搜索（Service Browse）和服务名解析（Service Resolve）等。
Netd的工作流程和Vold类似[1]，其工作可分成两部分：
- Netd接收并处理来自Framework层中NetworkManagementService或NsdService的命令。这些命令最终由Netd中对应的Command对象去处理。
- Net接收并解析来自Kernel的UEvent消息，然后再转发给Framework层中对应Service去处理。

Netd位于Framework层和Kernel层之间，它是Android系统中网络相关消息和命令转发及处理的中枢模块。