[破解/提权教程] S610D纵横官方固件S-OFF及ROOT全教程（全网首发） 操作系统, 参考资料, 电脑, Windows7, 测试

0o冷雨o0

Recovery刷入已经成功，相关教程请移步这里：http://bbs.hiapk.com/thread-3189819-1-1.html


★★关于本教程的说明★★

第一、所发的操作过程，是本人亲手操作成功的全过程；

第二、成功之后的系统就是纵横自带的系统，也就是2.3.4的；

第三、本人操作的全过程是一次成功的，中间未出现过异常情况，但不保证大家按我说的过程来操作的时候完全不出问题；

第四、动手能力不强、计算机知识了解一般、对手机系统了解一般的人，本人不建议按我说的过程来操作，可以耐心等待高手们研究出一键ROOT的方法之后再操作。

第五、请一定认真、仔细看教程，一字一句都看清，严格按照步骤来做！(有几位没成功的朋友，都是看漏了或者看错了……)

第六、欢迎关注我的新浪微博：http://weibo.com/223555，ROOT过程中有什么问题，请回复本帖或者发新帖，我会及时回复。



※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※


★★★★常见问题解决办法收集★★★★


1、第四步2，命令行7执行之后出现“Permission denied”提示，如果出现这种情况，请参考6楼和15楼的内容来解决：

adb shell之后：

1. cd /data/local/tmp
   
2. rm *

复制代码

执行以上命令之后，再执行第四步2命令行7


2、提示“CID错误”：

这一般是金卡制作错误的原因导致；
首先要确保Reverse CID提取正确，如果运行GoldCard Helper之后显示出两个Reverse CID，你不知道哪个是你要做金卡的TF卡的话，最稳妥的办法是先把tf卡拨下来，运行一次helper，记住手机本身内存的路径符和cid。然后再插上tf卡（可热插拨），运行一次helper，多出来那个cid就是了。输入到网上生成IMG时，千万确保正确输入！
第二，在HxD Hex Editor里编辑时，要确保正确复制goldcard.img到卡里。

3、已经S-OFF了，但第六步就是ROOT不成功（或者第六步提示路径找不到）：

请检查一下，你的电脑上是不是安装了HTC Sync或者是豌豆荚之类的手机同步软件，如果是，请确保执行第六步的时候，完全退出了这些软件，简单的确认方法就是，执行第六步前，打开电脑的任务管理器，看里面有没有adb.exe这个进程，如果有，请一定干掉它；

关掉电脑上所有的安全软件和杀毒软件；

做好以上两点之后，再操作第六步，一般来说就会成功！

4、ROOT之后全键盘不能使用：

看到有不少人反映这个问题，但我自己反复ROOT操作过几遍，也没有碰到。如果碰到这样问题的朋友，重启下手机；如果还是不行，恢复出厂设置；仍然不行的话，我也帮不了你了。

另外，还有朋友反应，说“中/英”切换键不起作用，这个键只对官方自带输入法有用，目前还没有发现有哪个第三方输入法支持这个键进行输入法切换的。


※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※

★★S-Off和ROOT教程正文★★


郁闷了这么久，终于能吐一口气了，HTC S610D（Lexicon纵横）官方自带原版中文ROM终于root成功，下面我简单来写一下纵横的S-Off和Root教程。

注意：
1、这一过程会清除原手机中的一切信息；
2、本文所需要的文件均可在网上下载，本人已经收集并放在本人国内服务器上方便大家下载；
3、本人不保证下文介绍的方式完全可靠，由此带来的手机技术和保修问题请自己负责；
4、本人电脑操作系统为Windows7旗舰版，手机为官方原版rom，其它环境请自行测试；
5、参考资料：http://androidforums.com/3365539-post1.html、https://xueshu.info/archives/10383.html#more-10383

第一步：下载所需软件
1、miniadb_merge_updated
http://qqshop.vnet.me/download/s610d/miniadb_merge_updated.zip

2、VZW leak 1.23.605.1 ruu.zip
http://qqshop.vnet.me/download/s610d/low-rom.zip     MD5：6d37a0f3526295ebb779f4465a328c96

3、官方原版ROM，Android2.3.4
http://qqshop.vnet.me/download/s610d/rom.zip    MD5：51b6f8853242c29ffa7f0f062ff76f7f

4、一键root程序
http://qqshop.vnet.me/download/s610d/1k-root.rar

5、GoldCard Helper
http://qqshop.vnet.me/download/s610d/GoldCard_Helper.rar

6、HxD Hex Editor
http://qqshop.vnet.me/download/s610d/HxDSetupCHS.zip

第二步：制作GoldCard
1、手机上安装第一步文件5；
2、准备一张2G以上的手机可用SD卡，以FAT32完全格式化，装入手机；
3、手机上运行GoldCard Helper，这时候手机应该装的是用来制作GoldCard的那张卡。算出Reverse CID，记录所显示的“Card:mmc2:xxxx”之后的Reverse CID（类似于“532600bd227d9c0347329407514d5420”）；
（如果不确定哪个是TF卡的CID的，可以按5楼朋友说的方法来确定！）


4、电脑上浏览器打开http://psas.revskills.de/?q=goldcard，填入Reverse CID之后，下载goldcard.img文件，保存在电脑上；
5、从手机取出SD卡，通过读卡器接入电脑；
6、电脑上安装第一步文件6；
7、电脑上以管理员模式运行Hxd Hex Editor，菜单“附加”-->“打开磁盘”，选择“物理磁盘”-->“可移除磁盘”（就是你的SD卡），去掉“以只读方式打开”前面的勾，打开，不要管提示；
8、菜单“附加”-->“打开磁盘镜像”，选择之前下载到电脑的goldcard.img文件，指定扇区大小为512，确定；
9、复制goldcard镜像的全部内容，然后到之前打开的“可移除磁盘”，选择offset 00000000 到offset 00000170 (包括00000170行)，然后点击菜单“编辑“-->“覆盖粘贴”；
10、点击菜单“文件”-->“保存”，接受弹出的提示。

第三步：准备降级
1、将第一步文件1解压到电脑C盘根目录下，解压之后目录名为miniadb_merge_updated，改一下目录名为miniadb_merge；
2、将第一步文件2复制到上一步制作的SD卡根目录下，并改名为：PD42IMG.zip
3、SD卡装回手机

第四步：降级
1、前提：确保手机电池电量足够（最好是100%），连接方式为“仅充电”，打开USB调试；电脑上已经安装好了所有手机驱动；
2、电脑上，开始、运行，输入“cmd”确认，打开命令提示符；
输入：cd c:\miniadb_merge，回车；（以下每行为一个命令，省略“输入”“回车”等字，括号内的汉字为命令运行情况说明，并不是命令！）

1. cd c:\miniadb_merge
   
2. adb devices
   
3. （正常情况下会显示你的手机设备号，表示adb工作正常）
   
4. adb push zergRush /data/local/
   
5. adb shell
   
6. chmod 755 /data/local/zergRush
   
7. /data/local/zergRush
   
8. （会显示 "found a gingerbread"）
   
9. adb push busybox /data/local
   
10. adb shell
    
11. chmod 0755 /data/local/busybox
    
12. dd if=/dev/block/mmcblk0p17 of=/sdcard/misc-stock.img bs=4096
    
13. /data/local/busybox md5sum /sdcard/misc-stock.img
    
14. /data/local/busybox md5sum /dev/block/mmcblk0p17
    
15. （这一步要确保 misc-stock.img与 /dev/block/mmcblk0p17的MD5值相同）
    
16. exit
    
17. adb push misc-downgrade.img /sdcard/
    
18. adb shell
    
19. dd if=/sdcard/misc-downgrade.img of=/dev/block/mmcblk0p17
    
20. sync
    
21. exit
    
22. adb reboot bootloader

复制代码

3、这时候手机会重启并进入fastboot界面，按“电源键”确认，系统会查找并且处理MicroSD卡中的PD42IMG.zip文件，一旦检验完毕，会提示是否更新，按“音量+”确认更新固件。中间手机可能会自己重启一次，重启后还会自动进入fastboot安装固件 。



第五步：s-off
刷新固件后，手机重启进入系统，（启动过程中如果看见红色verizon的LOGO，说明你的手机已经成功降级）略过设置过程，将手机连接方式变为“磁盘驱动器”，把第一步文件3更名为PD42IMG.zip复制到MicroSD卡根目录中覆盖原来的文件。
按照第四步的方法(连接方式改为“仅充电”，打开USB调试)，在电脑上打开命令提示符：

1. cd c:\miniadb_merge
   
2. adb push psneuter /data/local/
   
3. adb push busybox /data/local/
   
4. adb push wpthis /data/local/
   
5. adb push gfree /data/local/
   
6. adb shell
   
7. chmod 0755 /data/local/psneuter
   
8. chmod 0755 /data/local/wpthis
   
9. chmod 0755 /data/local/gfree
   
10. /data/local/psneuter
    
11. adb shell
    
12. /data/local/wpthis
    
13. /data/local/gfree -f
    
14. exit
    
15. adb reboot bootloader

复制代码

手机自动重启进入fastboot界面（注意仔细看下这时候屏幕第一行，最后面是不是显示“S-OFF”，如果不是，说明前面的步骤有错误），按”电源键” 选定bootloader。后面步骤同第四步 3。



第六步：root
1、刷新固件后，手机重启进入系统，略过设置过程，打开USB调试模式，连接选“仅充电”，允许“未知源”（在“设置”-->“应用程序”），数据线连接电脑。
2、解压第一步文件4，将文件夹"files"及文件“右键管理员模式运行我.bat”放至电脑C盘根目录下；
3、右键单击“右键管理员模式运行我.bat”,选择以管理员模式运行；
4、按提示操作即可，操作完手机自动重启，如果手机上已经安装了“superuser”应用程序，那么恭喜你，root成功，如果没有，重复第 六步；  




附：命令提示符窗口会话过程参考

注意：会话过程只是参考，不同手机、不同电脑环境下，会话过程中的某些数值会有不同，请自行判断。

第四步

1. Microsoft Windows [版本 6.1.7601]
   
2. 版权所有 (c) 2009 Microsoft Corporation。保留所有权利。
   
3. 
   
4. C:\Users\xibama>cd c:\miniadb_merge
   
5. 
   
6. c:\miniadb_merge>adb devices
   
7. List of devices attached
   
8. HT18YM800022    device
   
9. 
   
10. c:\miniadb_merge>adb push zergRush /data/local/
    
11. 1324 KB/s (23060 bytes in 0.017s)
    
12. 
    
13. c:\miniadb_merge>adb shell
    
14. $ chmod 755 /data/local/zergRush
    
15. chmod 755 /data/local/zergRush
    
16. $ /data/local/zergRush
    
17. /data/local/zergRush
    
18. 
    
19. [**] Zerg rush - Android 2.2/2.3 local root
    
20. [**] (C) 2011 Revolutionary. All rights reserved.
    
21. 
    
22. [**] Parts of code from Gingerbreak, (C) 2010-2011 The Android Exploid Crew.
    
23. 
    
24. [+] Found a GingerBread ! 0x00000118
    
25. Scooting ...
    
26. Sending 149 zerglings ...
    
27. [+] Zerglings found a way to enter ! 0x10
    
28. [+] Overseer found a path ! 0x000161e0
    
29. Sending 149 zerglings ...
    
30. [+] Zerglings caused crash (good news): 0x401219c4 0x0054
    
31. Researching Metabolic Boost ...
    
32. [+] Speedlings on the go ! 0xafd1997b 0xafd39a97
    
33. Popping 24 more zerglings
    
34. Sending 173 zerglings ...
    
35. 
    
36. [+] Rush did it ! It's a GG, man !
    
37. [+] Killing ADB and restarting as root... enjoy!
    
38. 
    
39. c:\miniadb_merge>adb push busybox /data/local
    
40. 1272 KB/s (1062992 bytes in 0.816s)
    
41. 
    
42. c:\miniadb_merge>adb shell
    
43. # chmod 0755 /data/local/busybox
    
44. chmod 0755 /data/local/busybox
    
45. # dd if=/dev/block/mmcblk0p17 of=/sdcard/misc-stock.img bs=4096
    
46. dd if=/dev/block/mmcblk0p17 of=/sdcard/misc-stock.img bs=4096
    
47. 64+0 records in
    
48. 64+0 records out
    
49. 262144 bytes transferred in 0.024 secs (10922666 bytes/sec)
    
50. # /data/local/busybox md5sum /sdcard/misc-stock.img
    
51. /data/local/busybox md5sum /sdcard/misc-stock.img
    
52. 16321e08ca123985657d70d152131f6a  /sdcard/misc-stock.img
    
53. # /data/local/busybox md5sum /dev/block/mmcblk0p17
    
54. /data/local/busybox md5sum /dev/block/mmcblk0p17
    
55. 16321e08ca123985657d70d152131f6a  /dev/block/mmcblk0p17
    
56. # exit
    
57. exit
    
58. 
    
59. c:\miniadb_merge>adb push misc-downgrade.img /sdcard/
    
60. 1153 KB/s (262144 bytes in 0.222s)
    
61. 
    
62. c:\miniadb_merge>adb shell
    
63. # dd if=/sdcard/misc-downgrade.img of=/dev/block/mmcblk0p17
    
64. dd if=/sdcard/misc-downgrade.img of=/dev/block/mmcblk0p17
    
65. 512+0 records in
    
66. 512+0 records out
    
67. 262144 bytes transferred in 0.130 secs (2016492 bytes/sec)
    
68. # sync
    
69. sync
    
70. # exit
    
71. exit
    
72. 
    
73. c:\miniadb_merge>adb reboot bootloader
    
74. 
    
75. c:\miniadb_merge>

复制代码

第五步

1. c:\miniadb_merge>adb devices
   
2. List of devices attached
   
3. HT18YM800022    device
   
4. 
   
5. c:\miniadb_merge>adb push psneuter /data/local/
   
6. 1147 KB/s (585731 bytes in 0.498s)
   
7. 
   
8. c:\miniadb_merge>adb push busybox /data/local/
   
9. 1614 KB/s (1062992 bytes in 0.643s)
   
10. 
    
11. c:\miniadb_merge>adb push wpthis /data/local/
    
12. 1556 KB/s (679475 bytes in 0.426s)
    
13. 
    
14. c:\miniadb_merge>adb push gfree /data/local/
    
15. 972 KB/s (134401 bytes in 0.135s)
    
16. 
    
17. c:\miniadb_merge>adb shell
    
18. $ chmod 0755 /data/local/psneuter
    
19. chmod 0755 /data/local/psneuter
    
20. $ chmod 0755 /data/local/wpthis
    
21. chmod 0755 /data/local/wpthis
    
22. $ chmod 0755 /data/local/gfree
    
23. chmod 0755 /data/local/gfree
    
24. $ /data/local/psneuter
    
25. 
    
26. c:\miniadb_merge>adb shell
    
27. # /data/local/wpthis
    
28. /data/local/wpthis
    
29. Build: 25
    
30. Section header entry size: 40
    
31. Number of section headers: 45
    
32. Total section header table size: 1800
    
33. Section header file offset: 0x00014e90 (85648)
    
34. Section index for section name string table: 42
    
35. String table offset: 0x00014cc7 (85191)
    
36. Searching for .modinfo section...
    
37. - Section[16]: .modinfo
    
38. -- offset: 0x00000f80 (3968)
    
39. -- size: 0x000000c4 (196)
    
40. Kernel release: 2.6.32.17-g788be6b3
    
41. New .modinfo section size: 204
    
42. Loading module... OK.
    
43. Write protect disabled.
    
44. Searching for mmc_blk_issue_rq symbol...
    
45. - Address: c02a2884, type: t, name: mmc_blk_issue_rq, module: N/A
    
46. Kernel map base: 0xc02a2000
    
47. Kernel memory mapped to 0x40001000
    
48. Searching for brq filter...
    
49. - Address: 0xc02a2884 + 0x34c
    
50. - 0x2a000012 -> 0xea000012
    
51. Done.
    
52. # /data/local/gfree -f
    
53. /data/local/gfree -f
    
54. --secu_flag off set
    
55. --cid set. CID will be changed to: 11111111
    
56. --sim_unlock. SIMLOCK will be removed
    
57. Section header entry size: 40
    
58. Number of section headers: 44
    
59. Total section header table size: 1760
    
60. Section header file offset: 0x000138b4 (80052)
    
61. Section index for section name string table: 41
    
62. String table offset: 0x000136fb (79611)
    
63. Searching for .modinfo section...
    
64. - Section[16]: .modinfo
    
65. -- offset: 0x00000a14 (2580)
    
66. -- size: 0x000000cc (204)
    
67. Kernel release: 2.6.32.17-g788be6b3
    
68. New .modinfo section size: 204
    
69. Attempting to power cycle eMMC... OK.
    
70. Searching for mmc_blk_issue_rq symbol...
    
71. - Address: c02a2884, type: t, name: mmc_blk_issue_rq, module: N/A
    
72. Kernel map base: 0xc02a2000
    
73. Kernel memory mapped to 0x40000000
    
74. Searching for brq filter...
    
75. - Address: 0xc02a2884 + 0x34c
    
76. - ***WARNING***: Found fuzzy match for brq filter, but conditional branch isn't
    
77. . (0xea000012)
    
78. Patching and backing up partition 7...
    
79. patching secu_flag: 0
    
80. Done.
    
81. # exit
    
82. exit
    
83. 
    
84. c:\miniadb_merge>adb reboot bootloader
    
85. 
    
86. c:\miniadb_merge>

复制代码

___jin

沙发~~感谢楼主，ROOT成功

___jin

第四步骤 应该是 cd\ 才对

然后后面代码中（会显示 "found a gingerbread"）这步显示 没找到。我郁闷了

___jin

感谢LZ和5楼~~

aMinx

4# 5319734@qq.com
如果出现多卡提示，最稳妥的办法是先把tf卡拨下来，运行一次helper，记住手机本身内存的路径符和cid。然后再插上tf卡（可热插拨），运行一次helper，多出来那个cid就是了。

你的情况我估计是这样的，第一次在zergRush时，你的卡并没有成为goldcard，所以出错，而zergRush多次运行时，就会出现权限错误，解决方式是把zergRush和temp删掉再运行。

稍等我研究一下具体方法。

aMinx

没看到你的图片，但我估计出错是是permission denied。如果是，那么：
在第四步06命令（chmod 755 /data/local/zergRush）之后运行如下命令，删除临时文件：
$ rm /data/local/tmp/booms
$ rm /data/local/tmp/sh

再运行zergRush
$ /data/local/zergRush

goldcard可以重复制作，所以不妨在此之前重新做一次，一定要保证用FAT32格式化，一定要保证helper算出的cid是tf卡而不是手机内存的。

___jin

6# vanmae


没用啊。我还特意去装了WIN7系统。结果还是到了那个步骤显示 允许被拒绝。。我晕死了啊。
我金卡按照你说的方法才测试出MMC2下面 的才是TF卡的。
而且我TF卡格式化也是FAT32格式的
我把那个miniadb_merge放C盘根目录下。
然后复制PD42IMG.zip到TF卡上。最后选择充电 +调试

运行CMD。然后输入代码，。结果到了第六步那还是显示允许被拒绝。
按照你说的清除了临时文件也没用。
求解

所要补充的是，我没读卡器。我直接用手机上的TF卡。先格式到FAT32.然后制作金卡。把那个miniadb_merge放C盘根目录下。最后把PD42IMG.zip放进去。才选择充电+调试。

aMinx

7# 5319734@qq.com
能把错误提示复制文本贴出来么？

一般这种错误与操作系统没有关系，adb shell后，进入的是手机系统进行工作了。

或者，你再把第04至06步骤改成这样试试：

adb push zergRush /data/local/tmp

adb shell

chmod 755 /data/local/tmp/zergRush

/data/local/tmp/zergRush

18721216146@sin

好像蛮复杂的 我还是等一键好了

___jin

8# vanmae


错误代码如下：
Zerg rush - Android 2.2/2.3 local root
<C> 2011 Revolutionary. All rights reserved.

Part of code from Gingerbreak, <C> 2010-2011 The Android Exploid Crew.

Cannot copy boomsh.:Permission denied


纯属手打

0o冷雨o0

请问 有个步骤不是说降级吗。
为什么还要用到2.3.4版本。我看应该是2.2或者2.3的才对吧。
按照你说的那样，最后出来的系统是多少的？2.3.4？
5319734@qq.com 发表于 2011-12-10 10:53

中间有一次降级过程，最后出来的就是自带的原生ROM，2.3.4

0o冷雨o0

第四步骤 应该是 cd\ 才对

然后后面代码中（会显示 "found a gingerbread"）这步显示 没找到。我郁闷了
5319734@qq.com 发表于 2011-12-10 11:43

win7下的命令提示符，cd/和cd\，作用是一样的

0o冷雨o0

8# vanmae  


错误代码如下：
Zerg rush - Android 2.2/2.3 local root
2011 Revolutionary. All rights reserved.

Part of code from Gingerbreak,  2010-2011 The Android Exploid Crew.

Cannot cop ...
5319734@qq.com 发表于 2011-12-10 21:03

chmod 755 /data/local/zergRush    这一步，你有没有掉？是不是正确运行了？

aMinx

Cannot copy boomsh.:Permission denied

T_T 这个典型问题理论上很容易解决啊……

要不这样：
adb shell之后

cd /data/local/tmp
rm *

然后重新把zergRush push到某一目录运行试试，当然chmod这一步骤不要省掉。

所谓的降级是s-off需要，s-off之后可以刷各种版本rom。

0o冷雨o0

Cannot copy boomsh.:Permission denied

T_T 这个典型问题理论上很容易解决啊……

要不这样：
adb shell之后

cd /data/local/tmp
rm *

然后重新把zergRush push到某一目录运行试试，当然chmod这一步骤 ...
vanmae 发表于 2011-12-10 22:43

“___jin ”已经按你说的这样操作成功，昨天晚上他在QQ上联系了我，他的机器已经成功ROOT！祝贺……

昨天也同时还有另一位朋友在QQ上联系我，他也碰到了这个“Permission denied”，rm之后也正常进行了

第二位朋友出现这个问题是因为他自执行了两次zergRush，第一次是正常的，但第二次就出现了Permission denied