我是如何Hack一个机器人的？

　　在Hack Day这样的伟大节日里，还是应该做一点Hack的事。很久没有干过这么刺激的事，想想也觉得有点小激动。

　　Blabla，当然这个Robot可能没有你想的那么高端，Hack的目的只是为了控制这个机器人。而这个所谓的机器的主要功能都集中在客户端上，我们可以在手机上通过BLE(蓝牙低功耗)来控制这个机器人。

　　所以，我们的目的其实很简单——自己写APP来控制这个机器人。而APP的主要功能都是通过蓝牙控制来实现的，而蓝牙协议的第一步就是连接。在最开始的时候我想的连接方式是PIN码 + AT指令，结果发现我完全错了，BLE实际上更简单。

　　因此，我觉得有PIN码的存在，所以第一步就是抓包。

　　蓝牙通讯抓包

　　为了做到这一步，我们需要一个大名鼎鼎的“WireShark”。不过，我们是要拿这个软件来分析日志。

　　第一步，我们需要在开发者选项中启用日志分析。在开发者选项中有一个功能， [Enable Bluetooth HCI snoop log/启用蓝牙 HCI 信息收集日志]。如下图所示：

　　第二步，我们我们就可以打开应用，做一些正常的操作，然后这些操作就会存储到一个日志文件里。而这个日志文件只能用WireShark打开。

　　第三步，就是用WireShark打开这个日志。从日志中找寻手机发往机器人的指令，发现里面都看不懂。

　　接着想起来，似乎可以反编译他们的代码。

　　反编译代码

　　开始尝试反编译代码，发现步骤也挺简单的：

　　用apktool反编译apk

　　用dex2jar将dex转为jar

　　用jd-gui查看反编译后的软件，并导出

　　查看代码

　　虽说原理很简单，但是实践起来就坑了。先反编译了最新的APK，然后发现这个APK被360加固了。。接着开始回溯这个软件的版本，360加固出得比这个软件晚，那么我应该可以找到这个软件的早期版本。

　　而事实是，我在国内都找不到这个APK的早期版本，只好拿包名去搜索，然后中奖了——找到了一个早期的版本，并且反编译成功了。

　　接着，我全局搜索PIN码等等的东西都没有结果，我的思路错了。。。

　　最后，我看到了代码里的:

　　既然，他可以打日志，那我应该是可以查看日志的。

　　日志记录

　　于是，我找到了Android的logcat命令，然后凑了一条指令出来。

　　运行软件，分析日志。从大量的数据里找到：

　　看着日志，看着日志。突然有一个瞬间，我意识到BLE是不需要PIN码的。我只需要找到对应的UUID，以及对应的Service就可以了。

　　现在，我可以写自己的应用了。

　　编写自己的APP

　　这一次，在网上简单地找了一个Cordova BLE的示例。(后面才发现这个坑挖得太深，以至于掉了进去。Cordova对WebSocket的支持不好，不过这和这个主题没有啥关系。。)

　　分析设备

　　按代码的逻辑，我们可以在连接上设备的时候查看设备的服务——并根据具体的服务及txCharacteristic，来做对应的发送数据。而依据write 数据的代码，我们需要两个东西一个是设备的UUID，一个Characteristic。一个蓝牙4.0的终端可以包含多个Service，一个 Service可以包含多个Characteristic。

　　如，我们要发送和接收数据都需要有对应的Characteristic。蓝牙技术联盟似乎定义了一些GATT(Generic Attribute Profile )，如下是一个设备的缩略数据：

　　如这个设备，提供了一个代码为1800的服务。这个服务里包含了一个characteristic为2a00的属性，我们只需要通过1800这个 Service UUID，以及characteristic 2a00就可以读取这个设备的Device Name——这个是蓝牙技术联盟定义的Characteristics。

　　而这时，就找到了UUID为fff0，TX Characteristic为fff1。

　　控制机器人

　　所以我们的设备信息便如下所示：

　　接着，继续看之前的反编译代码，发现他是这么控制的。

　　左转指令X2

　　右转指令X3

　　前进指令X1

　　后退指令X4

　　当然，他还有更多的指令，只是我不需要那么多。。。然后我找到了一个名为nipplejs的库，来当游戏手柄。

　　小结

　　现在，我们已经可以控制这个机器人了。

原文地址:https://hack.77169.com/201602/224658.shtm