S60智能手机证书破解原理分析.doc

S60 智能证书破解分析如果要说证书，那就不得不提到 Symbian 操作系统，以 Symbian 操作系统为基础的智能的用户界面有许多种，包括开放平台像 UIQ、诺基亚的 Series 60（S60）、Series 80、Series 90 系列等其中 Series 60 是智能中应用最广泛的系统版本，目前最常见的有第 2 版（2nd Edition）和第 3 版（3rd Edition）Series 60 第 3 版（以下简称 S60 3rd）作为第 2 版的升级，为了增强系统的安全性，加入了证书机制这就意味着 Symbian 对在系统中安装运行的第三方软件有更为严格的规定某些涉及软硬件安全、个人信息安全等方面的操作被做了特别的权限限制，比如随开机自动启动就是被限制的功能之一应用程序要实现这些被特别限制了的功能就必须获得“ 签名” ，也就是说要有人来为这些操作的安全性负责，未经 任何签名的程序不能安装运行而“ 签名”就是把需要签名的软件和“ 证书” 打包在一起的 过程，没有“证书 ”就无法签名，也就无法安装该软件了相关链接现在给软件签名的方式主要有三种：1.Symbian 签名Symbian 操作系统官方签名，想要获得 Symbian 的签名必须通过 Symbian 的安全认证。

而 该类软件有最高的安全级别，在上能正常安装、运行，且能实现软件提供的所有功能2.作者签名软件作者在发布软件的时候就对软件进行了签名这类软件可以在上安装运行（可能会遇到安全性警告，可跳过），但不能 实现那些被特别限制了的功能（如开机自启动），如果软件根本不涉及这类功能就完全没有影响3.用户签名严格来说这个应该是属于“开发者签名”因为 Symbian 为软件开发者提供了一种“开发证书 ”，原意本来是让软件开发者作软件测试用的这个“开发证书”是与作为测试用的机器的 IMEI 码挂钩的使用这种证书签名的软件只能在该 IMEI 码对应 的机器上使用，不能用于别的机器我们所谓的“ 自签名”其实就是利用了这个方式其实如果可以方便地申请到“开发证书”，那么我们在使用 S60 操作系统时就不会有太大的困难毕竟签名过程虽然比较复杂，但是并不影响智能的开放性但前段时间 Symbian signed 网站暂停 S60 第 3 版软件个人证书的申请，所以普通用户无法申请到证书给那些需要特殊权限的软件签名，致使一些重要的软件无法安装这令一些 S60 第 3 版系统的用户极为头疼，尤其是众多新买了诺基亚智能的用户。

2 月 21 日，当 Symbian signed 再次开放注册的时候，我们发现个人证书已经无法申请只有原本针对开发者（Publisher ID）用户的“Publisher 证书” （或叫“PID 证书”）可以申请，但要每年支付 200 美元的费用这样看来关于个人用户证书的使用问题还是没有得到很好的解决虽然 Symbian signed 在 3 月 20 日推出了签名的服务，在一定程度上缓解了证书问题给用户带来的影响，但由于签名操作比较复杂，所以并没有被广大用户接受而就在这个时候，网络上曝出 S60 证书系统的破解方法传言只要使用该方法破解后，安装任何软件都无需签名，且没有功能限制不 过这个消息是否真实，以及破解过程中是否暗藏什么“陷阱”，还有待我们进一步验证惊人！三步破解 S60 证书 系统比较让人意外的是，通过测试验证，居然 发现网 络上流传的这个方法确实可以破解 S60 的 证书系 统 虽然该破解方法有一定操作难度，但最终还是可以达到不用任何个人证书就可以对软件签名并正常安装的目的究竟是如何实现的呢？下面就为大家介绍一下验证的过程一、突破系统权限校验1.在上安装 X-plore_S60_3rd_1.21.sisx 程序，这是一个第三方的文件管理程序，以后的操作中会一直使用它。

将 Freepack.sisx 和 HelloCarbide.exe 两个软件复制到存储卡中启动 X-plore，选中 HelloCarbide.exe 并点击“ 菜单→编辑→移动”（图 1），然后使用向上方向 键将屏幕向上拉，选中“C:”，然后点击确定键即可将 HelloCarbide.exe 文件移动到 C 盘根目录中图 1小提示：如果 X-plore 安装完成后是英文界面，则 在 X-plore 主界面下按数字“0”键，将“Language”设置为“Chinese”即可一般情况下我们无法通过电脑或者是自带的文件管理器将 HelloCarbide.exe 文件直接移动到 C盘根目录中，所以必须通过 X-plore 这样的文件管理工具“ 曲线”解决问题2.在 X-plore 中找到 Freepack.sisx 并按确定键进行安装安装过程很简单，一路点击“继续 ”就可以了，过程中会弹出一系列“免责 声明” ，不用管它，按“确认”即可程序安装路径要选择 在“存储”上，安装完成后在程序列表中便会多出名为“TRK”和“HelloCarbide”的程序图标（图 2）图 23.将和电脑通过 USB 数据线连接，在 “选择模式”中选择“PC 套件” 。

运行刚才安装好的 TRK 程序，弹出“蓝牙现处于关 闭状态启动？”的提示框，选择“否”小提示：要完成此步操作请确保电脑上已经安装了“诺基亚 PC 套件”程序4.点击“选项 →Settings”，将“Connection” 设置为 “USB”，其他 选项不用修改设置完成后点击“ 返回” 5.点击“选项 →Connect” ，TRK 程序界面中会显 示“Status：Connected”即表示连接成功（图 3）图 36.在电脑上，右键点击“我的电脑→属性→硬件→设备管理”，在设备管理器中点击“端口（ COM 和 LPT）”，这里会看到类似“Nokia 6120 classic USB（COM4）”的选项（型号 视具体情况而定），记住型号后面显示的端口号，比如这里就是 COM4（图 4）图 4　　7.在电脑上运行 hacks60.exe，会弹出一个 DOS 窗口和名为“S60 3rd XX Tool”的 对话框，从中选择符合自己型号的选项 和端口号，比如这里小编就选择“Nokia 6120 classic” 和 “COM4”两个选项（图 5）确定选择无误后点击最下面的“XX” 按钮，随即就开始破解了。

当 DOS 窗口中显 示“>End+Exit”即表示破解成功了，此时可以关闭“S60 3rd XX Tool”对话框了图 5小提示：如果 DOS 窗口中的 显示停在了“sending message number 00”， 则是因为没有安装“ 诺基亚 PC 套件”程序或者没有正确移 动 HelloCarbide.exe 到相应位置那么如何确定此时已经成功破解系统了呢？在上启动 X-plore，点击“ 菜单→工具→设置” ，将其中的“显示隐藏文件”和“ 显 示系统文件/ 文件夹” 两项全部勾上，设 置好后按“返回” 进入到 C 盘中，此 时 我们可以查看 C 盘 sys 目录中的文件夹和文件了，如果没有破解成功是不能显示的还有一种更为直观的检验方法，我们都知道由于权 限的问题， A4 输入法只能在短信中使用而无法在记事本等程序中使用，但通过 上述步骤破解后就可以在记事本等程序中使用 A4 输入法输入文字，这也表示破解成功，突破了系 统权限限制二、永久性突破系统权限校 验刚才我们对权限限制的突破只是暂时的，因为一旦重启后一切又会恢复到未破解的状态要想保持重启后还是处在破解状态，就要继续下面的操作。

　　在进行这一操作前，首先要确认自己的是属于 FP1 机型还是非 FP1 机型，因为它们对应了不同的破解程序和文件小知识：这里所说的 FP1 即指 Series　60 于 2006 年 6 月初正式发布的针对于 S60 第 3 版平台的第一个补丁包 Feature Pack 1（简称为 FP1）这个补丁包增加了老平台所不具备的一些特性，如支持 VGA 分辨率的屏幕、支持更高规格的中央处理器、支持屏幕旋转 以及缓存优化等特性测试使用的是 6120c，对应 FP1 机型，所以使用“FP1_CapsOnOff”文件夹下的文件和程序，如果你的属于非 FP1 机型，则使用 “非 FP1_CapsOnOff” 文件夹下的文件和程序两者只有选择的文件有所区别，操作还是一致的1.完成第一步破解操作后不要重启，保证依然处于破解状态将“FP1_CapsOnOff”文件夹下的 CProfDriver_SISX.ldd 文件复制到“c:\sys\bin”目录中，方法依然是先将 CProfDriver_SISX.ldd 文件复制到存储卡中，然后使用 X-plore 程序将其移动 到“c:\sys\bin” 目录中。

2.在上安装 CapsOff.sisx 和 CapsOn.sisx 两个程序，程序列表中会多出“CapsOff”和“CapsOn”两个程序图标（图 6），然后重启图 63.重启后默认情况下系统已经恢复到了原始状态，也就是非破解状态找到刚才安装好的“CapsOff”程序，点击运行，屏幕会闪烁一下但是不会出现任何界面此时就又实现了突破权限限制，不信？打开记事本看看 A4 输入法是否可用，肯定是可以使用的啦小提示：在完成了上述操作后就可以将“TRK”和“HelloCarbide” 两个程序从上删除了要注意的是即使有了“CapsOff”程序，重启以后还是会恢复原状，但是只要运行一次“CapsOff” 程序就可以迅速进入无权限限制状态，还是比较方便的运行“CapsOn”程序就可即时关闭破解状态有了 “CapsOff”和“CapsOn”就相当于我们拥有了系统权限的钥匙和锁，想开就开想关就关三、替换根证书至此，我们已经实现了对系统权限校验的破解，但是离最后对证书校验的破解还差一步为了加深大家对这两个概念的理解，破解者给出了一个恰当的比喻：S60 第 3 版系统就如一 间大屋，而 20 个权限代表大屋里的 20 个房间，平时一些敏感权限房间是被锁住的，而我们前面所做的破解相当于把这些房间全部打开，使得进入了这间大屋子的程序可以畅通无阻，这也是为什么破解后 A4 输入法可以在记事本等原本不支持的程序中使用的原因。

但一个程序要进入这间大房子，还必须通过大屋的大门，而证书就像大门的钥匙要进入这间大屋，钥匙是不可少的但是没有证书这把钥匙，程序应该如何通过大门呢？那只有将大门的锁换掉，这便是根证书的替换了同时我们用此根证书生成配对证书（钥匙），交给程序，程序就可以进入这间大屋了，也就达到了软件免签的目的下面我们就来看看如何替换根证书1.在上安装好 signsis.sisx 程序，安装路径 选择“存储”安装完成后程序列表中会有一个名为“ 签名” 的程序运行一下“CapsOff”程序确保处于破解状态，否则后面将无法访问 C 盘的 sys 和 resource 文件夹2.在电脑上将“keycer.rar”解压，得到名为“cert.cer”和“key.key” 的两个文件，并将它们复制到存储卡中，然后通过 X-plore 将它们复制到“c:\private\EC696702”目录下，会提示“ 文件已存在” ，选择“全部覆盖”即可3.使用 X-plore 打开 C 盘，并定位到 resource 文件夹下，点击“菜单→文件→新建文件夹” ，并命名为“swicertstore”，接着在“swicertstore”文件夹下按上述操作新建名为“dat”的文件夹，如果已经有这两个文件夹的话就不用。