網(wǎng)絡(luò)限制及4G頻段破解方法概略 - 全文

　　對于很多水貨手機(jī)和運(yùn)營商定制機(jī)的用戶，為了使用不同的手機(jī)卡和4G，網(wǎng)絡(luò)模式和4G破解都是需要自行解決的問題，這是很多人走上安卓折騰路的開始。

　　這篇夾雜著教程的科普，也就權(quán)當(dāng)給剛?cè)肟訖C(jī)友的人文關(guān)懷吧。而寫這個的契機(jī)，是筆者入了一部Verzion版的S6 edge……

　　根據(jù)運(yùn)營商設(shè)立的封鎖方式不同，破解的方法也是千奇百怪，難度不一。這里粗略分為系統(tǒng)、build文件、高通調(diào)試工具和工程模式4類。

　　系統(tǒng)本身

　　部分系統(tǒng)的網(wǎng)絡(luò)軟屏蔽方式非常簡單，只是把開關(guān)頁面隱藏了。但安卓的activity機(jī)制（可以把它當(dāng)做頁面，所有界面就是由許多activity組成），讓第三方應(yīng)用可以挖出系統(tǒng)特意隱藏的界面。

　　
more shortcut，以及其調(diào)出的隱藏型快捷方式

　　在“more shortcut、nova桌面”等可以查看系統(tǒng)快捷方式/activity頁面的應(yīng)用中，可以發(fā)現(xiàn)很多散落的設(shè)定項(xiàng)，而且很可能會包括很多不應(yīng)該出現(xiàn)在某些機(jī)型的內(nèi)容。

　　
被隱藏的LTE開關(guān)、GSM/UMTS的頻段、漫游網(wǎng)絡(luò)設(shè)置頁面

　　例如V版S6 edge中可以調(diào)出一個LTE的開關(guān)，雖然這個開關(guān)不能點(diǎn)，但這絕逼不會屬于萬惡V版會加入的東西，它應(yīng)該是其他版本系統(tǒng)中沒被清理完的元素。

　　設(shè)定的開關(guān)可以控制GSM/UMTS的頻段、漫游網(wǎng)絡(luò)設(shè)置，另外還有個啟用4G的快捷方式，但，它，閃，退，了……

　　build.prop文件

　　
RE管理器及G925V的build.prop文件

　　很多人折騰安卓的開端，都是RE管理器和build.prop文件。這個文件雖然只有1-200行，但更改上面的參數(shù)值，就可以輕松更改機(jī)器型號、語言信息、系統(tǒng)DPI、網(wǎng)絡(luò)設(shè)定、系統(tǒng)虛擬內(nèi)存等眾多參數(shù)。

　　有些異常簡單的破解特例就是通過它完成的，例如三星S4 LTE-A（SHV-E330），其root后，將system/build.prop 中的機(jī)型由SHV-E330修改為SM-N9005（這是Note 3的其中一個版本），即可一口氣打開對FDD-LTE B1/3/5/7的支持。

　　
左為修改前，右為修改后的網(wǎng)絡(luò)選擇界面

　　另外，對于V版S6 edge 來說，在修改system/csc/sales_code.dat為CHN后，或者將build.prop中的型號和地區(qū)名更改為chn后，網(wǎng)絡(luò)模式選擇菜單和通知欄會出現(xiàn)不同的變化。港版和美版的系統(tǒng)界面在修改幾個字母之后互換，是不是頓時明白為什么三星的ROM都特別大呢？因?yàn)樗鼈兤鋵?shí)把N個版本的內(nèi)容都塞在里面了……

　　高通三大調(diào)試神器

　　因?yàn)槭謾C(jī)廠商一般都是直接買高通/MTK等芯片廠商的方案，而且很少會作深度的修改，所以芯片廠商的調(diào)試工具就為機(jī)友們留下了破解的空間。

　　因篇幅有限，這里以保有量最大，破解方法最成規(guī)模的高通SoC機(jī)型為例進(jìn)行說明。這些機(jī)型采用了高通的基帶和射頻芯片，可以通過經(jīng)典的“高通三件套”QXDM、QPST和DFS，進(jìn)行網(wǎng)絡(luò)破解。而它們?nèi)齻€也就是傳說中的寫號工具。

它們是高通公司公司推出，對手機(jī)終端所發(fā)數(shù)據(jù)進(jìn)行跟蹤的工具，主要用途是網(wǎng)絡(luò)測試。即使機(jī)器沒解BL鎖，但只要能root，就有機(jī)會通過高通等芯片廠商的調(diào)試工具對系統(tǒng)的網(wǎng)絡(luò)配置文件/EFS分區(qū)等進(jìn)行修改，從而達(dá)到解開網(wǎng)絡(luò)限制的目的。

　　QXDM

　　QXDM 全稱The QUALCOMMExtensible Diagnostic Monitor，主要步驟其實(shí)只有3步：

　　打開被隱藏的USB模式設(shè)定界面，從撥號界面進(jìn)入工程模式

　　打開手機(jī)的CP模式（從原來的 MTP + ADB轉(zhuǎn)成RNDIS + DM + Modem）

　　在QXDM的NV Browser（NV值瀏覽/管理器）中對06828和06829中的值進(jìn)行修改為17592185995263（4G頻段全開），或2061584302149（包括國內(nèi)在用的band 1/3/7/38/39/40/41）

它里面還有個DBEditor，可以看到那里面好萬條設(shè)定的具體說明。破解汪看到這個分分鐘高潮，新手看到分分鐘嚇尿……

　　QPST

　　
QPST包括的組件

　　QPST（Qualcomm Product Support Tool）是一個針對高通芯片開發(fā)的傳輸軟件組。它包含資源管理器（EFS Explorer）、工廠測試模式（Factory Test Mode Application）、內(nèi)存調(diào)試模式（memory debug）、QPST配置（QPSTConfigruation）、NV項(xiàng)目管理（RF NV Item Manager）、服務(wù)程序（Service Programming）、軟件下載（Software Download）等若干組件，可以繞過系統(tǒng)，進(jìn)行鈴聲復(fù)制、更改手機(jī)功能參數(shù)等操作。

Service Programming 界面中，可以對網(wǎng)絡(luò)設(shè)定進(jìn)行超級詳細(xì)的修改，上圖紅框內(nèi)的標(biāo)簽足足有20幾個……

　　
EFS Explorer截圖

　　而對部分已經(jīng)有相關(guān)頻段支持，但因carrier_policy.xml文件差異而自動退出LTE狀態(tài)回落到3G/1x。對于這部分設(shè)備，就可以使用QPST中的EFS Explorer（EFS分區(qū)管理器）進(jìn)行相關(guān)文件的導(dǎo)入和修改（參考美版Nexus 6的破解）

　　DFS CDMA TOOL

　　它可以對幾乎整套網(wǎng)絡(luò)設(shè)定進(jìn)行修改，同樣以美版Nexus 6為參考，在當(dāng)中的DS QcMIP和Retries interval進(jìn)行修改即可完成和上面QPST添加carrier_policy.xml文件接近的效果

　　對部分機(jī)型來說，這甚至不需要root。而部分運(yùn)氣不佳，需要同時動用當(dāng)中2個甚至3個軟件的機(jī)友，或許就會發(fā)現(xiàn)它們之間的修改其實(shí)的互通的，在其中一邊修改參數(shù)后，另外一邊的參數(shù)值也會有對應(yīng)的變化。

　　無盡的工程模式

　　連上這3個偉大工具之前，需要打開手機(jī)的CP（modem調(diào)試）模式，這是破解路上最大的一道坎，因?yàn)檫@道坎橫在了比較冷門的工程模式之上（就是平時在撥號界面輸入一串字符后跳轉(zhuǎn)的界面）。

　　
左為工程模式代碼，右為USB Setting模式

　　不同廠商，甚至不同型號的機(jī)型，進(jìn)入工程模式的撥號代碼都會有些出入，例如HTC M8用的是入##3424#。部分沒反應(yīng)的機(jī)器，需要連接電腦輸入“adb shell - su- setprop sys.usb.diag.config diagon”（“-”在這里代指分行）的adb代碼。moto系列，則可以同時按著音量減和電源，到AP Fastboot 轉(zhuǎn)跳到BPTOOLS選項(xiàng)，一口氣跳到目標(biāo)的CP模式。

　　而三星則可以嘗試*#7284#*、*#0808#等代碼。如果失敗的話，則在root后，通過RE管理器進(jìn)入/EFS/carrier/目錄，將 HiddenMenu中的OFF為ON（一定要大寫）。如果還不行，那就進(jìn)入system文件夾修改build.prop，在其最下面加 sys.hiddenmenu.enable=1；再到system/csc/sales_code.dat，將CHN改為VZW。

　　如果機(jī)器對于上述方案都沒反應(yīng)，那就找同機(jī)型不同版本的機(jī)器，反編譯和移植IOTHiddenMenu，含ServiceMode、Test字樣的apk并塞到對應(yīng)位置。雖然現(xiàn)在deodex和反編譯都有比較簡單的一鍵工具，但這搞起來還是比較麻煩，這里就不展開了。

　　進(jìn)入工程模式的路或許湖是很艱辛蛋疼，但進(jìn)去之后，你會發(fā)現(xiàn)新世界的大門正在緩緩打開……

　　新世界的開端

　　撥號工程模式的代碼相當(dāng)多，對于不同機(jī)型，這個具體代碼也會有不一樣，這里列舉部分V版S6 edge的代碼：

　　*#0011# 工程模式ServiceMode（查看當(dāng)前頻段值）

　　*#06# imei

　　*#0228# 電池狀態(tài)測試

　　*#1234# 版本

　　*#1111# 工程模式

　　*#0*# 測試模式

　　*#7353# 快速測試菜單

　　*#12580*369#版本顯示

　　但關(guān)乎到我們折騰網(wǎng)絡(luò)的大概就是下面2個：

　　##3282# DATA programming界面

　　*#27663368378# 工程模式主菜單

　　第一次看到它們的時候，估計(jì)大多數(shù)人都會嚇呆，而破解汪的心中肯定燃燒起無盡的希望。

　　DATA programming界面

DATA programming界面

在QPST、DFS里調(diào)節(jié)的那堆看不懂的參數(shù)，在這里也可以直接輸入。

剛才千辛萬苦打開的HiddenMenu，居然在這里有現(xiàn)成的開關(guān)……

而系統(tǒng)中沒有的網(wǎng)絡(luò)模式，在這里也有更加詳細(xì)的選項(xiàng)提供。

工程模式主菜單頁面

　　*#27663368378# 工程模式主菜單更是嚇呆了，里面的層級和項(xiàng)目之多，輕松碾壓了系統(tǒng)本身的設(shè)定項(xiàng)。

里面還會發(fā)現(xiàn)很多有趣的東西，例如在這里就看到S6 edge被識別為了MSM8974，可能是因?yàn)橛昧烁咄ǖ腗DM9536M基帶。

4G 頻段的直接開關(guān)居然都出現(xiàn)在里面了，屏蔽網(wǎng)絡(luò)的選項(xiàng)等都有。部分運(yùn)營商就是通過在這里面進(jìn)行修改，通過MAIN MENU--［2］UE SETTING & INFO--［1］SETTING--［1］PROTOCOL--［2］NAS--［1］NETWORK CONTROL--［4］BAND SELECTION之后會出現(xiàn)這么一大堆選項(xiàng)，部分機(jī)型就是用這個達(dá)到屏蔽網(wǎng)絡(luò)的目的，點(diǎn)進(jìn)去把目標(biāo)網(wǎng)絡(luò)打開即可。

??????? 對于破解后，無法在3、4G之間自行回落的電信機(jī)型，可以在這里手動控制網(wǎng)絡(luò)模式，CS為CDMA，PS為4G模式。而對于無法從2/3G、CDMA跳回4G的機(jī)型，可以配合perfect LTE等app自動跳回4G。

　　在這個模式里，需要用 key input 手動輸入Q21182、Q211214等代碼對模式進(jìn)行更改。有激情的玩家可以在里面轉(zhuǎn)悠一下，或許會發(fā)現(xiàn)不少驚喜。

　　總結(jié)

　　上述都是市面上有先例的4G破解方法，但因安卓機(jī)型多而且廠商差異大，所以本文只能以美版S6 edge、Nexus6 作蜻蜓點(diǎn)水式的概略，讓剛?cè)肫平饪拥臋C(jī)友，對現(xiàn)在的破解方法有個大概的了解和印象。另外，再提醒一下，折騰和破解前請做好備份……

　　當(dāng)然，如果沒有折騰興趣的機(jī)友還可以等待系統(tǒng)升級，很多機(jī)器升級之后會自動解開對網(wǎng)絡(luò)的鎖定，例如V版S6 edge升級安卓5.1后就默認(rèn)打開了對國內(nèi)頻段的支持，可以直接使用聯(lián)通4G和電信4G，但代價是新系統(tǒng)無法自行回落到電信的3G（電信用戶受再次受到暴擊）。