L-01E (Optimus G DOCOMO MODEL)攻略

[HomuHomu]

ついカっとなってL-01Eの白ROMを衝動買いした。
買った理由は
・Galaxy飽きた
・ネタが豊富（そう）なのに誰も弄ってなさそう
・Bootloaderアンロック出来るらしい。
・防水でLTEでお財布なNexus4が出来そう。
の４つ
また、日記がてら、こいつの攻略手順をチラ裏的に書いていきたいと思う。

[HomuHomu]

白ROMで今日届いた訳だが
ソフトウェアVersionは「10c」らしい。
とりあえず、
http://hogehoga.blogspot.jp/2013/01/opt ... eroot.html
ここに記載されているとおり、初期ROM(10a)をフラッシュしようと思うのだが
そのまえに、何はなくともPartition情報を確認。
これ大事、超大事、買ったらまずこれをやらなきゃ始まらない。

shell@android:/dev/block/platform/msm_sdcc.1/by-name $ ls -l
DDR -> /dev/block/mmcblk0p30
aboot -> /dev/block/mmcblk0p5
bnr -> /dev/block/mmcblk0p20
boot -> /dev/block/mmcblk0p7
cache -> /dev/block/mmcblk0p24
drm -> /dev/block/mmcblk0p15
eksst -> /dev/block/mmcblk0p22
encrypt -> /dev/block/mmcblk0p21
factory -> /dev/block/mmcblk0p19
felica -> /dev/block/mmcblk0p35
fota -> /dev/block/mmcblk0p31
fsg -> /dev/block/mmcblk0p29
grow -> /dev/block/mmcblk0p39
m9kefs1 -> /dev/block/mmcblk0p12
m9kefs2 -> /dev/block/mmcblk0p13
m9kefs3 -> /dev/block/mmcblk0p14
misc -> /dev/block/mmcblk0p18
mmbi -> /dev/block/mmcblk0p37
modem -> /dev/block/mmcblk0p1
modemst1 -> /dev/block/mmcblk0p10
modemst2 -> /dev/block/mmcblk0p11
mpt -> /dev/block/mmcblk0p32
pad -> /dev/block/mmcblk0p9
persist -> /dev/block/mmcblk0p26
recovery -> /dev/block/mmcblk0p28
reserved -> /dev/block/mmcblk0p38
rpm -> /dev/block/mmcblk0p6
rpmbak -> /dev/block/mmcblk0p34
sbl1 -> /dev/block/mmcblk0p2
sbl2 -> /dev/block/mmcblk0p3
sbl3 -> /dev/block/mmcblk0p4
seclog -> /dev/block/mmcblk0p36
sns -> /dev/block/mmcblk0p16
ssd -> /dev/block/mmcblk0p17
system -> /dev/block/mmcblk0p23
tombstones -> /dev/block/mmcblk0p27
tz -> /dev/block/mmcblk0p8
tzbak -> /dev/block/mmcblk0p33
userdata -> /dev/block/mmcblk0p25

[HomuHomu]

どうやら、さっきのURLを紐とくと
何かのバックドアを使って
mmcblk0p5(aboot）をddで書き換えるようだ。
いきなり尻ごみしている。
ええのか？これええのんか？

#!/system/bin/sh
/system/bin/rm /data/local/tmp/unlock.sh
/system/bin/dd if=/dev/zero of=/dev/block/mmcblk0p5
/system/bin/dd if=/data/local/tmp/lk.img of=/dev/block/mmcblk0p5
/system/bin/sleep 2
/system/bin/reboot bootloader

まずは何かのタイミングでddコマンドを使えるってことは
逆に言えば、そのタイミングで全パーティションを抜けるってことだよな。
そのタイミングでunlock.shを書き換え全パーティション（デカイ奴除く）を抜くことにする。

追記：BootloaderをUnlockしてない状態でadb reboot bootloaderをしても再起動がかかるだけだった。
とりあえずabootのダンプ抜かないことには始まらない。

[HomuHomu]

で、最初からつまずいた。
totで初期ROM焼こうと思ったのだが。
recoveryモードでLG Flash toolが認識しない。
全く以てFuckだった。
仕方ないから自力でroot取った。
https://github.com/HomuHomu/android_dev ... 2c8b1015b7
https://github.com/HomuHomu/libperf_eve ... f30aaa4b5f
https://github.com/HomuHomu/libdiagexpl ... f35ffcdb27

くそっ初心者向けの指南書にしようと思ったが。いきなりハードル高くなってしまったわ。
明日からpartitoion抜く作業に入る。

[HomuHomu]

CM10.2にかまけていて、これの存在を忘れていた。
いや、忘れていた訳じゃないのだが、ブロガーじゃないので
こういうことをマメに更新したりするのは性に合わない。
（めんどくせぇ…）
で、次、baxkupの話しようかと思ったが
どうやってroot奪取したのかを書いたほうがいいなとは思ったが。
やっぱり、「書かない！」
一つ言えることは、今年(2013）上半期までに発売されたSnapdragon端末は
国産、海外もの問わず自力でtmp rootは取れるはずだから
root取りたいだけの中学生()は、Galaxyとか既に手法が固定化されているものに
拘らず、下の使って好きなの買え！！！！！国産買え！！！！！（発狂モード）
https://github.com/android-rooting-tools
https://github.com/fi01/backdoor_mmap_tools
どうしても手とり足とり腰とり教えて欲しいっていうなら、具体的な手順書いてやる。
自分でやらないで、ただ見てるだけのゴミどもに、この俺様がわざわざ
時間割いて書いてやる必然性なんて、なんら見出だせないわ。

じゃぁバックアップ取ってすすめる。
/data/local/tmp/busybox mkdir -p /sdcard/backup_V10c/
/data/local/tmp/busybox echo "Backup Start"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p1 of=/sdcard/backup_V10c/mmcblk0p1_modem bs=4096
/data/local/tmp/busybox echo "modem Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p2 of=/sdcard/backup_V10c/mmcblk0p2_sbl1 bs=4096
/data/local/tmp/busybox echo "sbl1 Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p3 of=/sdcard/backup_V10c/mmcblk0p3_sbl2 bs=4096
/data/local/tmp/busybox echo "sbl2 Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p4 of=/sdcard/backup_V10c/mmcblk0p4_sbl3 bs=4096
/data/local/tmp/busybox echo "sbl3 Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p5 of=/sdcard/backup_V10c/mmcblk0p5_aboot bs=4096
/data/local/tmp/busybox echo "aboot Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p6 of=/sdcard/backup_V10c/mmcblk0p6_rpm bs=4096
/data/local/tmp/busybox echo "rpm Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p7 of=/sdcard/backup_V10c/mmcblk0p7_boot bs=4096
/data/local/tmp/busybox echo "boot Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p8 of=/sdcard/backup_V10c/mmcblk0p8_tz bs=4096
/data/local/tmp/busybox echo "tz Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p9 of=/sdcard/backup_V10c/mmcblk0p9_pad bs=4096
/data/local/tmp/busybox echo "pad Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p10 of=/sdcard/backup_V10c/mmcblk0p10_modemst1 bs=4096
/data/local/tmp/busybox echo "modemst1 Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p11 of=/sdcard/backup_V10c/mmcblk0p11_modemst2 bs=4096
/data/local/tmp/busybox echo "modemst2 Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p12 of=/sdcard/backup_V10c/mmcblk0p12_m9kefs1 bs=4096
/data/local/tmp/busybox echo "m9kefs1 Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p13 of=/sdcard/backup_V10c/mmcblk0p13_m9kefs2 bs=4096
/data/local/tmp/busybox echo "m9kefs2 Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p14 of=/sdcard/backup_V10c/mmcblk0p14_m9kefs3 bs=4096
/data/local/tmp/busybox echo "m9kefs3 Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p15 of=/sdcard/backup_V10c/mmcblk0p15_drm bs=4096
/data/local/tmp/busybox echo "drm Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p16 of=/sdcard/backup_V10c/mmcblk0p16_sns bs=4096
/data/local/tmp/busybox echo "sns Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p17 of=/sdcard/backup_V10c/mmcblk0p17_ssd bs=4096
/data/local/tmp/busybox echo "ssd Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p18 of=/sdcard/backup_V10c/mmcblk0p18_misc bs=4096
/data/local/tmp/busybox echo "misc Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p19 of=/sdcard/backup_V10c/mmcblk0p19_factory bs=4096
/data/local/tmp/busybox echo "factory Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p20 of=/sdcard/backup_V10c/mmcblk0p20_bnr bs=4096
/data/local/tmp/busybox echo "bnr Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p21 of=/sdcard/backup_V10c/mmcblk0p21_encrypt bs=4096
/data/local/tmp/busybox echo "mencrypt Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p22 of=/sdcard/backup_V10c/mmcblk0p22_eksst bs=4096
/data/local/tmp/busybox echo "eksst Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p23 of=/sdcard/backup_V10c/mmcblk0p23_system bs=4096
/data/local/tmp/busybox echo "system Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p26 of=/sdcard/backup_V10c/mmcblk0p26_persist bs=4096
/data/local/tmp/busybox echo "persist Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p27 of=/sdcard/backup_V10c/mmcblk0p27_tombstones bs=4096
/data/local/tmp/busybox echo "tombstones Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p28 of=/sdcard/backup_V10c/mmcblk0p28_recovery bs=4096
/data/local/tmp/busybox echo "recovery Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p29 of=/sdcard/backup_V10c/mmcblk0p29_fsg bs=4096
/data/local/tmp/busybox echo "fsg Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p30 of=/sdcard/backup_V10c/mmcblk0p30_DDR bs=4096
/data/local/tmp/busybox echo "DDR Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p31 of=/sdcard/backup_V10c/mmcblk0p31_fota bs=4096
/data/local/tmp/busybox echo "fota Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p32 of=/sdcard/backup_V10c/mmcblk0p32_mpt bs=4096
/data/local/tmp/busybox echo "mpt Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p33 of=/sdcard/backup_V10c/mmcblk0p33_tzbak bs=4096
/data/local/tmp/busybox echo "tzbak Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p34 of=/sdcard/backup_V10c/mmcblk0p34_rpmbak bs=4096
/data/local/tmp/busybox echo "rpmbak Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p35 of=/sdcard/backup_V10c/mmcblk0p35_felica bs=4096
/data/local/tmp/busybox echo "felica Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p36 of=/sdcard/backup_V10c/mmcblk0p36_seclog bs=4096
/data/local/tmp/busybox echo "seclog Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p37 of=/sdcard/backup_V10c/mmcblk0p37_mmbi bs=4096
/data/local/tmp/busybox echo "mmbi Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p38 of=/sdcard/backup_V10c/mmcblk0p38_reserved bs=4096
/data/local/tmp/busybox echo "reserved Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p39 of=/sdcard/backup_V10c/mmcblk0p39_grow bs=4096
/data/local/tmp/busybox echo "grow Done"
/data/local/tmp/busybox echo "Backup Done"

/userdataと/cacheだけ除いて全部バックアップした。
次に最新ファームまで上げて、またアドレス特定してrooted化

[HomuHomu]

今OTAでアップデートしたらL01E20aだった。
今の最新firmがL01E20bだから、もう一回OTAアップデートできるが
どうせだから、このfirmでアドレス特定することにする。
そのための俺用メモ
必要なもの。
/proc/kallsyms　と　/system/build.prop
なので抜く
adb pull /proc/kallsyms
adb pull /system/build.prop
Android NDKを入れてない場合は
http://developer.android.com/tools/sdk/ ... #Downloads
ここから落として、どこかに解凍（めんどうだからいつも/home/hogehoge直下にしてる
で、そのディレクトリにパスを通す。
ex)
gedit .bashrc
PATH=/home/hoegode/android-ndk
として、閉じて再起動
次に
git clone --recursive git@github.com:fi01/backdoor_mmap_tools.git
なぜrun_root_shellではなくbackdoor_mmap_toolsを使っているかというと
こいつはTOMOYO入りなので、それを外すためにdisable_ccsecurityが最初から入っている
こっちの方を使う。（自分でrun_root_shellに組み込んでもいいがめんどくさい）
あと、今更ですが、この素敵なツールを作ってくれている fi01 氏に感謝。
じゃあ腹減ったので飯食ってくる。続きはその後。（フリーダム）

[HomuHomu]

飯食いにいくまえに
次に必要なIDやアドレスを探すためのメモ。

build.propからは
product.model（L-01E）
build.id（JZO54K）
ソフトウェアバージョンの名前と値
（LGの場合はlge.swversionで、今回はL01E20a）

kallsymsからは
prepare_kernel_credアドレス
commit_credsアドレス
remap_pfn_rangeアドレス
ptmx_fopsアドレス
delayed_rsp_idアドレス
perf_swevent_enabledアドレス
の６つ。
gedit kallsyms
で抜いたものを開く（すげぇ重い）
で、それぞれのアドレスを覗こうと思ったら…
オールゼロだった…

対策されていた（笑）これのboot.imgもないからobjdumpもできないしな。
ちょっと飯食いに行きながら、アドレス指定なしでも抜ける手順を考える。

[HomuHomu]

飯食い終わったし、バルスも終わったので
モチベ下がらないうちにメモっておく。
アドレス解らないんで、とりあえずfb_memの脆弱性を突けるものならいけるよーってことなので
break_setresuidを使った。
git clone --recursive　git@github.com:android-rooting-tools/break_setresuid.git
これにL-01E_V20aのデータベースを追加
https://github.com/android-rooting-tool ... ase.c#L560
らへんに
{
.device_id = DEVICE_L01E_V20a,
.device = "L-01E",
.build_id = "JZO54K",
.check_property_name = "ro.lge.swversion",
.check_property_value = "L01E20a",
},
https://github.com/android-rooting-tool ... base.h#L62
らへんに
DEVICE_L01E_V20a,
を追加してビルド
$ ndk-build NDK_PROJECT_PATH=. APP_BUILD_SCRIPT=./Android.mk
で、break_setresuid/libs/armeabi/以下にbreak_setresuidが出来上がるから
adb push break_setresuid /data/local/tmp/ && adb shell chmod 777 /data/local/tmp/break_setresuid
adb shell
shell@android:/ $ /data/local/tmp/break_setresuid
で#に落ちた。
で、さっさとddで抜こうと思ったが、いくつかのパーティションが抜けない。
fi01に聞いたら、TOMOYOの制限が解除出来てないから、完全に権限奪取はされていないとの事
でもTOMOYO解除するには結局南極アドレスが必要だし、どうすんのよ。と思ったら
ddに抜く前にデバイス作り直せば、block名しか見てないのでそこ利用して抜けますよとのこと。
でバックアップスクリプトを次のように修正。

/data/local/tmp/busybox mkdir -p /sdcard/backup_V20a/
/data/local/tmp/busybox echo "Backup Start"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p1 of=/sdcard/backup_V20a/mmcblk0p1_modem bs=4096
/data/local/tmp/busybox echo "modem Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p2 of=/sdcard/backup_V20a/mmcblk0p2_sbl1 bs=4096
/data/local/tmp/busybox echo "sbl1 Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p3 of=/sdcard/backup_V20a/mmcblk0p3_sbl2 bs=4096
/data/local/tmp/busybox echo "sbl2 Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p4 of=/sdcard/backup_V20a/mmcblk0p4_sbl3 bs=4096
/data/local/tmp/busybox echo "sbl3 Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p5 of=/sdcard/backup_V20a/mmcblk0p5_aboot bs=4096
/data/local/tmp/busybox echo "aboot Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p6 of=/sdcard/backup_V20a/mmcblk0p6_rpm bs=4096
/data/local/tmp/busybox echo "rpm Done"
/data/local/tmp/busybox mknod /dev/block/boot b 179 7
/data/local/tmp/busybox dd if=/dev/block/boot of=/sdcard/backup_V20a/mmcblk0p7_boot bs=4096
/data/local/tmp/busybox echo "boot Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p8 of=/sdcard/backup_V20a/mmcblk0p8_tz bs=4096
/data/local/tmp/busybox echo "tz Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p9 of=/sdcard/backup_V20a/mmcblk0p9_pad bs=4096
/data/local/tmp/busybox echo "pad Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p10 of=/sdcard/backup_V20a/mmcblk0p10_modemst1 bs=4096
/data/local/tmp/busybox echo "modemst1 Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p11 of=/sdcard/backup_V20a/mmcblk0p11_modemst2 bs=4096
/data/local/tmp/busybox echo "modemst2 Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p12 of=/sdcard/backup_V20a/mmcblk0p12_m9kefs1 bs=4096
/data/local/tmp/busybox echo "m9kefs1 Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p13 of=/sdcard/backup_V20a/mmcblk0p13_m9kefs2 bs=4096
/data/local/tmp/busybox echo "m9kefs2 Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p14 of=/sdcard/backup_V20a/mmcblk0p14_m9kefs3 bs=4096
/data/local/tmp/busybox echo "m9kefs3 Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p15 of=/sdcard/backup_V20a/mmcblk0p15_drm bs=4096
/data/local/tmp/busybox echo "drm Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p16 of=/sdcard/backup_V20a/mmcblk0p16_sns bs=4096
/data/local/tmp/busybox echo "sns Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p17 of=/sdcard/backup_V20a/mmcblk0p17_ssd bs=4096
/data/local/tmp/busybox echo "ssd Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p18 of=/sdcard/backup_V20a/mmcblk0p18_misc bs=4096
/data/local/tmp/busybox echo "misc Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p19 of=/sdcard/backup_V20a/mmcblk0p19_factory bs=4096
/data/local/tmp/busybox echo "factory Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p20 of=/sdcard/backup_V20a/mmcblk0p20_bnr bs=4096
/data/local/tmp/busybox echo "bnr Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p21 of=/sdcard/backup_V20a/mmcblk0p21_encrypt bs=4096
/data/local/tmp/busybox echo "encrypt Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p22 of=/sdcard/backup_V20a/mmcblk0p22_eksst bs=4096
/data/local/tmp/busybox echo "eksst Done"
/data/local/tmp/busybox mknod /dev/block/system b 179 23
/data/local/tmp/busybox dd if=/dev/block/system of=/sdcard/backup_V20a/mmcblk0p23_system bs=4096
/data/local/tmp/busybox echo "system Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p26 of=/sdcard/backup_V20a/mmcblk0p26_persist bs=4096
/data/local/tmp/busybox echo "persist Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p27 of=/sdcard/backup_V20a/mmcblk0p27_tombstones bs=4096
/data/local/tmp/busybox echo "tombstones Done"
/data/local/tmp/busybox mknod /dev/block/recovery b 179 28
/data/local/tmp/busybox dd if=/dev/block/recovery of=/sdcard/backup_V20a/mmcblk0p28_recovery bs=4096
/data/local/tmp/busybox echo "recovery Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p29 of=/sdcard/backup_V20a/mmcblk0p29_fsg bs=4096
/data/local/tmp/busybox echo "fsg Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p30 of=/sdcard/backup_V20a/mmcblk0p30_DDR bs=4096
/data/local/tmp/busybox echo "DDR Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p31 of=/sdcard/backup_V20a/mmcblk0p31_fota bs=4096
/data/local/tmp/busybox echo "fota Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p32 of=/sdcard/backup_V20a/mmcblk0p32_mpt bs=4096
/data/local/tmp/busybox echo "mpt Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p33 of=/sdcard/backup_V20a/mmcblk0p33_tzbak bs=4096
/data/local/tmp/busybox echo "tzbak Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p34 of=/sdcard/backup_V20a/mmcblk0p34_rpmbak bs=4096
/data/local/tmp/busybox echo "rpmbak Done"
/data/local/tmp/busybox mknod /dev/block/felica b 259 3
/data/local/tmp/busybox dd if=/dev/block/felica of=/sdcard/backup_V20a/mmcblk0p35_felica bs=4096
/data/local/tmp/busybox echo "felica Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p36 of=/sdcard/backup_V20a/mmcblk0p36_seclog bs=4096
/data/local/tmp/busybox echo "seclog Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p37 of=/sdcard/backup_V20a/mmcblk0p37_mmbi bs=4096
/data/local/tmp/busybox echo "mmbi Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p38 of=/sdcard/backup_V20a/mmcblk0p38_reserved bs=4096
/data/local/tmp/busybox echo "reserved Done"
/data/local/tmp/busybox dd if=/dev/block/mmcblk0p39 of=/sdcard/backup_V20a/mmcblk0p39_grow bs=4096
/data/local/tmp/busybox echo "grow Done"
/data/local/tmp/busybox echo "Backup Done"

上のとおり
/boot /system /recovery /felica が権限ないよと言われて取れなかったので
mknodでdev/block/に貼り直して、抜いた感じ。
で、全部抜き終わったので次のステップv20b（最新ファームウェア）アプデと思ったが
せっかくboot抜いたのでこれ使ってアドレスサーチし、TOMOYOを解除したいと思う。

なんかAOSP化するだけのつもりが、完全にrooting職人の作業になってきた…