前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >大疆Dji pocket 一代研究(Dji Mimo)

大疆Dji pocket 一代研究(Dji Mimo)

作者头像
云深无际
发布2021-04-28 10:23:55
2.8K6
发布2021-04-28 10:23:55
举报
文章被收录于专栏:云深之无迹

我前些日子入了一台云台相机,小巧的机身,强大的机身,反正就是喜欢的不行,作为一个半吊子程序员当然是想写个程序来控制它了。但是逛遍全网,就发现一个写2代HDMI连接的。和我有啥关系呢~~~

哈哈哈,多花了点银子,把底座和波轮都买上了


Gopro的话,就有人已经破解出来了API,直接用就好。但是Dji就没有,我就觉得这么强大的硬件,有点拉跨。不过APP做的功能挺丰富的。但是我还是希望用PY写出来接口来控制的玩耍。但是我是一个逆向的菜鸡,经验不多,至于能不能做出来就是另一个事情了~

相机有两种方式来连接,可以通过AOA的协议连接手机来进行连接。这个技术难度太高,我果断放弃。

第二种就是下面的这个无线底座了,可以通过WIFI的方式来连接

就是这个东西

代码语言:javascript
复制
https://dl.djicdn.com/downloads/Osmo%20Pocket/Osmo_Pocket_Controller_Wheel_Wireless_Module_Accessory_Mount_User_Guide_mul.pdf

长这样的

后面的样子,其实这里看不出来什么玩的

我尝试连接了一下电脑,抓到了一些数据

就是可以看到名字,频带,IP等

代码语言:javascript
复制
https://www.intel.com/content/dam/www/public/us/en/documents/product-briefs/dual-band-wireless-ac-8260-brief-v2.pdf
代码语言:javascript
复制
https://downloadcenter.intel.com/product/86068/Intel-Dual-Band-Wireless-AC-8260

emmm,我以为是机器的芯片。原来是我的电脑网卡。

再看H.264的编码方式,盲猜是UDP

然后抓包

因为安卓系统从7开始就不可以VPN代理的方法来抓包了,只能root这样抓

一般来说,可以空中捕获,但是我一直也没有试,也懒得弄了,直接机器抓


然后在电脑上面分析包就好了

感兴趣的可以来看看

一开始就是抓到的这个,打开APP以后就开始寻找机器来认证了

但是只是wifi而已,其实是蓝牙先行。先不说这个了~


既然传输的信息太硬核,那我们就换个思路。从APP段入手,反编译的事情下次再说,我们先看这个日志法~尝试理清我们的思路。

这里我用了Android Killer的内置功能,直接ADB

抓取图


流程是先相机开机,初始化完成。而后开启日志抓取,手机开启app。对了,记得把所有的教程杀掉,避免无关变量。

因为我怕分析不明白,我把日志的等级拉满了。

先看这个,就是点击的一瞬间。安卓怎么响应的

开了一个进程给app

代码语言:javascript
复制
START 
u0 
{act=android.intent.action.MAIN 
cat=[android.intent.category.LAUNCHER] 
flg=0x10200000
 cmp=dji.mimo/.main.DJISplashActivity 
 bnds=[843,90][1045,384]} 
 from uid 10181

看这个日志,写的很清楚了。

接着wifi扫描了一次,试图发现设备,记得我上面抓包的哪个协议没有,就是对应的这个过程

代码语言:javascript
复制
Start proc 29117:dji.mimo/u0a248 
for
 pre-top-activity 
 {dji.mimo/dji.mimo.main.DJISplashActivity}

这个就是转载第一个活动了,可以看见这个页面的名字了。

在清单文件里面的定义

就是dji应该是用了flutter,然后这个地方是它的初始化

但是这个firebase,我记得是一个分析工具。。。

接下来都是同一个PID,系统在处理这个事情

还在进行初始化

继续

很长的一段日志,然后中间是执行了一些别的任务

再把线程切换回来,开启主线程

代码语言:javascript
复制
        <activity 
        android:configChanges="keyboard|
        keyboardHidden|
        layoutDirection
        |locale
        |orientation
        |screenSize"
         android:keepScreenOn="true"
         android:launchMode="singleTask" 
         android:name="dji.lomo.main.activity.MainActivity" 
         android:screenOrientation="portrait" 
         android:theme="@style/Theme.AppCompat" 
         android:windowSoftInputMode="adjustNothing"
         />

这个开启的第二个活动

这个地方两个服务不知是上面用途

  1. 是ping成功了,不知道是ping谁的
  2. 以及一个http的代理缓存服务

终于看到我们的蓝牙服务了。

代码语言:javascript
复制
GATT_Register d12344c7-76ae-d268-7af8-fdd8c0eef506

就不停的开关

代码语言:javascript
复制
[INFO:gatt_api.cc(946)] 
GATT_Register f29abc00-6323-ab26-6b55-4fd228074931

这个是为一个事件开始扫描

这段日志,应该是蓝牙完成了。开始交付给wifi

连接一个设备,就是我们的底座

下面的看不懂了

代码语言:javascript
复制
onConnectionUpdated() - Device=60:60:1F:F0:5F:ED interval=54 latency=0 timeout=500 status=0

UUID

服务和characteristic是通过UUID来进行识别的。

UUID是32位的,但那些被蓝牙技术联盟的标准中定义的UUID是以四个数字来表示的。UUID既有16位的也有128位的,我们需要了解的是16位的UUID是经过蓝牙组织认证的,是需要购买的,当然也有一些通用的16位UUID。

在这里,16位UUID

代码语言:javascript
复制
setCharacteristicNotification() - uuid: 
0000fff4-0000-1000-8000-00805f9b34fb 
enable: true
代码语言:javascript
复制
registerApp() - 
UUID=1b3387fb-8500-4d5d-9ce4-5a4065bd391f

这个值在下面

我们看一看看到可以实时的发送电量,以及一个私有的定义

安装发包的时间将信号强度显示出来

蓝牙信息下载这个,好用详细

我们看看这个

是我们日志捕获的信息

这个

代码语言:javascript
复制
https://www.bluetooth.com/specifications/assigned-numbers/generic-access-profile/
代码语言:javascript
复制
Generic Access 0x1800

懂我的意思没有?


这东西是ESP32做的,,,,,毕竟TT扩展件也是ESP32做的~

代码语言:javascript
复制
https://www.esp32.com/viewtopic.php?p=17984

看这群人讨论的是,这个码是固定的。是ESP32就是这个,awesome!

代码语言:javascript
复制
Tag: ConnectivityService
Message: requestNetwork for uid/pid:10248/29117 NetworkRequest [ REQUEST id=234, [ Transports: WIFI Capabilities: NOT_RESTRICTED&TRUSTED&NOT_VPN Specifier: <WifiNetworkSpecifier [, SSID Match pattern=PatternMatcher{LITERAL: OsmoPocket-F05FEC}, BSSID Match pattern=Pair{60:60:1f:f0:5f:ec ff:ff:ff:ff:ff:ff}, SSID="OsmoPocket-F05FEC", BSSID=60:60:1f:f0:5f:ec, requestorUid=10248, requestorPackageName=dji.mimo]> Uid: 10248] ]
代码语言:javascript
复制
requestNetwork
for uid/pid:10248/29117 
NetworkRequest 

[ REQUEST id=234, 
[ 
    Transports: WIFI Capabilities: NOT_RESTRICTED&TRUSTED&NOT_VPN 
    Specifier: <WifiNetworkSpecifier 
    [
        , SSID Match pattern=PatternMatcher{LITERAL: OsmoPocket-F05FEC}, 
          BSSID Match pattern=Pair{60:60:1f:f0:5f:ec ff:ff:ff:ff:ff:ff}, 
          SSID="OsmoPocket-F05FEC", 
          BSSID=60:60:1f:f0:5f:ec, 
          requestorUid=10248, 
          requestorPackageName=dji.mimo
    ]> Uid: 10248] 
]
代码语言:javascript
复制
requestNetwork
对于uid / pid:10248/29117
网络请求

[REQUEST id = 234,
[
     传输:WIFI功能:NOT_RESTRICTED&TRUSTED&NOT_VPN
     说明符:<WifiNetworkSpecifier
     [
         ,SSID匹配模式= PatternMatcher {文字:OsmoPocket-F05FEC},
           BSSID匹配模式=对{60:60:1f:f0:5f:ec ff:ff:ff:ff:ff:ff},
           SSID =“ OsmoPocket-F05FEC”,
           BSSID = 60:60:1f:f0:5f:ec,
           requestorUid = 10248,
           requestorPackageName = dji.mimo
     ]> Uid:10248]
]

好了,活捉一段配对的代码,我们的蓝牙和wifi交汇的地方就是这个地方。

用Tello的时候,在用vpn的情况下就不能连接上。估计代码是一样的

代码语言:javascript
复制
Approved access point found in matching scan results.

Triggering connect SSID: OsmoPocket-F05FEC, 
BSSID: 60:60:1f:f0:5f:ec, 
capabilities: [WPA2-PSK-CCMP+TKIP][RSN-PSK-CCMP+TKIP][ESS],
 level: -46, 
 frequency: 5745, 
 timestamp: 68237467033, 
 distance: ?(cm), 
 distanceSd: ?(cm), 
 passpoint: no, 
 ChannelBandwidth: 2, 
 centerFreq0: 5775, 
 centerFreq1: 0, 
 80211mcResponder: is not supported, 
 Carrier AP: no, 
 Carrier AP EAP Type: -1, 
 Carrier name: null, 
 Radio Chain Infos: []
代码语言:javascript
复制
在匹配的扫描结果中找到批准的访问点。

触发连接SSID:OsmoPocket-F05FEC,
BSSID:60:60:1f:f0:5f:ec,
功能:[WPA2-PSK-CCMP + TKIP] [RSN-PSK-CCMP + TKIP] [ESS],
  等级:-46,
  频率:5745
  时间戳:68237467033,
  距离:?(cm),
  distanceSd:?(cm),
  密码:不,
  ChannelBandwidth:2
  centerFreq0:5775,
  centerFreq1:0,
  80211mcResponder:不支持,
  运营商AP:不,
  运营商AP EAP类型:-1,
  运营商名称:null,
  无线电链信息:[]

这段就是进行了wifi的连接,上面的日志是打印了具体连接我们底座的精确信息

虽然是连接中,但是又有蓝牙的信息

那我就可以猜测,应该是用蓝牙传递的信息来连接WiFi的,因为没有输入密码的步骤,但是app里面有。所以是没有连接上,蓝牙继续去申请和连接

以b0:e2:35:c1:24:63作为mac地址连接

先是这个以太网的追踪线程,内部应该是一个循环,在等端口的连接状态改变

up变为真以后,接着就是连接wlan0,与60:1f:f0:5f:ec关联

我们看封包,2,4是相机发送的

命名一目了然,深圳大疆

这个是我的小米5

这段是鉴权的认证信息


wlan0:

WPA:

密钥协商以60:

60:

1f:

f0:

5f:

ec [PTK = CCMP GTK = TKIP]完成

代码语言:javascript
复制
wlan0: CTRL-EVENT-CONNECTED - Connection to 60:60:1f:f0:5f:ec 
completed 
[id=0 
id_str=%7B%22
configKey %22%3A%22%5C%22O
smoPocket- F05FEC%5C%22
WPA_PSK %22%2C%22
creatorUid %22%3A%2210248%22%7D
]

NETD的作用

Netd是Android系统中专门负责网络管理和控制的后台daemon程序,其功能主要分三大块:

设置防火墙(Firewall)、网络地址转换(NAT)、带宽控制、无线网卡软接入点(Soft Access Point)控制,网络设备绑定(Tether)等。 Android系统中DNS信息的缓存和管理。 网络服务搜索(Net Service Discovery,简称NSD)功能,包括服务注册(Service Registration)、服务搜索(Service Browse)和服务名解析(Service Resolve)等。 Netd的工作流程和Vold类似[1],其工作可分成两部分: - Netd接收并处理来自Framework层中NetworkManagementService或NsdService的命令。这些命令最终由Netd中对应的Command对象去处理。 - Net接收并解析来自Kernel的UEvent消息,然后再转发给Framework层中对应Service去处理。

Netd位于Framework层和Kernel层之间,它是Android系统中网络相关消息和命令转发及处理的中枢模块。

流程图

开始监听线程了

DHCP,自动获取IP

看我箭头

中间一段长日志,我不懂。然后app自己打了这个日志


H.264的SPS和PPS串,包含了初始化H.264解码器所需要的信息参数,包括编码所用的profile,level,图像的宽和高,deblock滤波器等.


最大帧数= 15,vui时间标度= 60000,vui数量单位= 1001

又是一堆,让我们看这个,和我们前面说的一样

是H.264的解码器

代码语言:javascript
复制
 sps pps, width = 960, height = 720

至少我们知道了,预览传过来的视频的分辨率位960x720

在app的里面有很多的控件,我们主要分析云台的控件,我们来动一下控件

先响应这个控件

然后,解码线程

这个是netd的一些方法,我也看不懂

像是维护帧传输的准确性

在你摁下拍照的时候,会打印一个log

我写不下去了,虽然不是很高深,但是我写太久了。下次文章我们再见~

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2021-04-23,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 云深之无迹 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
VPN 连接
VPN 连接(VPN Connections)是一种基于网络隧道技术,实现本地数据中心与腾讯云上资源连通的传输服务,它能帮您在 Internet 上快速构建一条安全、可靠的加密通道。VPN 连接具有配置简单,云端配置实时生效、可靠性高等特点,其网关可用性达到 99.95%,保证稳定、持续的业务连接,帮您轻松实现异地容灾、混合云部署等复杂业务场景。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档