前言

这两天为了破解魔百盒费了好大劲，看了好多帖子，好在最后破解成功了。为了让大家少走弯路，我把破解方法分享出来，希望能帮助到大家。

盒子型号

我的盒子型号是 CM201-2 长虹代工 (CH)，具体信息见图片：

板子上的硬件信息是：CPU 型号是 HI3890MV300，闪存是 emmc。机型编码和牌照方不同应该没太大关系，大家可以先尝试一下，不行再说。

破解方法

有两种破解方案，一种是保留原有系统，只解除无法安装软件的限制，另一种是是刷第三方系统。两种方式各有利弊：

第一种：

优点：步骤简单；
缺点：
- 如果按到遥控器上的主页，会跳到订阅关系失效的页面，只能重启，比较麻烦，特别是对于那些不会用机顶盒的老人家来说。
- 原装系统有一堆用不到的应用在后台运行，占用内存，影响运行速度。

第二种：

优点：
- 系统精简，第三方系统一般会把那些没用的系统应用去除掉，运行速度会有所提升；
- 不用担心按到主页需要重启盒子，第三方系统一般没这个问题；
缺点：刷机步骤略微复杂。

两种破解模式都需要拆机连电脑，如果你想不拆机，那这篇帖子可能对你没啥参考价值。我在网上找的所有的免拆方法都没有试成功，包括使用 ZANTI 中间人攻击替换 apk 来安装当贝桌面，以及通过遥控按键开启 adb。拆机方法是：撕开盒子底部的两个垫子，取下螺丝，再用指甲、卡片等工具把盒子拆开。接下来是具体的破解步骤。

第一种破解方案

准备工具：

U 盘（大小最好为 8G，文件系统格式化为 fat32）；
usb 转 ttl 模块，杜邦线（淘宝有售，我买的型号是 CH340G）；
串口通信工具（windows 上的 putty，mac 上的“串口调试助手”，这里以 putty 为例）;

破解步骤：
将 usb 转 ttl 模块插入到电脑的 usb 口，然后打开 windows 设备管理器，在端口分类里查看这个模块是在哪个 COM 口，我的是在 COM4。

用杜邦线把 CH340G 的 RXD、TXD 和 GND三个引脚接到板子上。板子上有四个孔，第一个孔没用，其他三个孔从左到右分别是 RXD、TXD、GND，分别和 CH340G 的 TXD、RXD、GND 相对应，顺序不能错，如下图所示。有的博主给那三个孔焊上了排插，然后用杜邦线直接插上去，如果和我一样没有工具，想办法让三根杜邦线和三个孔保持良好的接触也行。

打开 putty ，如下图所示：

把通信方式改成串口，Serial line 填写为上面查到的那个，我这里是 COM4，Speed 调整为 115200，Connection type 选择 Serial，其他的不用管，然后点击右下角的 open，此时会出现一个控制台窗口，打开盒子电源，这时应该能看到窗口上有日志输出：

等日志输出得差不多之后，按下回车键，这时候会显示命令提示符，这样我们就进入到 shell 中了（如果没有显示命令提示符，检查下那三根线是否接触良好，或者重新配置 putty 并打开窗口）。接下来把当贝桌面下载到 U 盘根目录，完后把 U 盘插到盒子靠近网口的 usb 口，执行如下命令：
1
2
3
4
#进入 U 盘
cd /mnt/sda/sda1
#安装 U 盘里的当贝桌面
pm install 当贝桌面apk文件名
结果如图：

然后启动当贝桌面：
1
am start com.dangbei.tvlauncher
如果当贝桌面没出来就重启一下盒子，不出意外的话，重启后就直接进入当贝桌面了，破解完成。当贝桌面里面可以下载当贝应用市场，然后就能安装任意 APP 了。

第二种破解方案

准备工具：

U 盘（大小最好为 8G，文件系统格式化为 fat32）；
usb 转 ttl 模块，杜邦线（淘宝有售，我买的型号是 CH340G）；
串口通信工具（windows 上的 putty，mac 上的 “串口调试助手”，这里以 putty 为例）；
hitool，搜关键字 “hitool 下载” 就能找到：https://ecoo.top/hitool.html。

破解步骤：

因为刷机风险比较大，建议刷机前先备份下系统，不要怕麻烦，万一失败了呢。备份方法如下：

前面的步骤和上面一样，用 CH340G 连接好板子，打开 putty，等日志输出完毕之后，按下回车，进入 shell。然后输入以下命令先进入到分区目录：

1	cd /dev/block/platform/soc/by-name

接下来用以下命令对各个分区进行备份（除了 userdata 分区，其他分区都备份一下）。/mnt/sda/sda1 对应的是 U 盘的根目录，system 是根目录下新建的子目录，这个目录需提前创建，否则可能会报错。时间可能会有点久，但是多花点时间也值得，万一刷成砖也有挽救的方法，免得到处求别人要原厂镜像。

dd if=baseparam of=/mnt/sda/sda1/system/baseparam.img
dd if=bootargs of=/mnt/sda/sda1/system/bootargs.img
dd if=deviceinfo of=/mnt/sda/sda1/system/deviceinfo.img
dd if=fastboot of=/mnt/sda/sda1/system/fastboot.img
dd if=fastplay of=/mnt/sda/sda1/system/fastplay.img
dd if=kernel of=/mnt/sda/sda1/system/kernel.img
dd if=logo of=/mnt/sda/sda1/system/logo.img
dd if=misc of=/mnt/sda/sda1/system/misc.img
dd if=pqparam of=/mnt/sda/sda1/system/pqparam.img
dd if=private of=/mnt/sda/sda1/system/private.img
dd if=recovery of=/mnt/sda/sda1/system/recovery.img
dd if=securestore of=/mnt/sda/sda1/system/securestore.img
dd if=system of=/mnt/sda/sda1/system/system.img
dd if=trustedcore of=/mnt/sda/sda1/system/trustedcore.img

现在轮到 hitool 上场了，用 hitool 的目的是把官方的 recovery 替换掉，这样刷第三方系统的时候就不会报校验失败的错误，这是很多人刷机失败的原因。

保持盒子和电脑的连接，关闭 putty（会和 hitool 冲突）。打开 hitool，选择 HiBurn 视图，如图：

PC 与板端配置如图所示：串口填 CH340G 所在端口，传输方式选串口，其他的不用管。（有的教程使用的是网口，速度会快点，但是需要网线连接，还需要配置 ip 地址，简单起见，我直接使用串口，速度慢一点也还好，反正 recovery 分区也不是很大）选择烧写eMMC 页面，这里要填分区表，这个表我已经写好了，大家可以直接拿来用：

CM201-2-CH4_HUNAN分区表文件.xml （访问码：1ift）

这个分区表只适用于我这个型号的盒子，其他盒子可能会有差异。如果你的盒子型号和我的不一样，你可以先导入我的分区表，然后进行修改。还记得连接 putty 的时候会有一堆日志输出吗？这里面就有修改分区表所需的信息：

红框中的日志描述了每个分区的大小，大家先导入上面的分区表文件，然后把各个分区的长度修改成日志所示。直接修改长度那一列就行，开始地址会自动更改。如果分区不一样，还需要添加或者删除分区，总之以你自己盒子的日志为准，注意分区顺序和日志中的保持一致。

修改完分区表之后，可以点击保存，这样你就拥有了属于自己盒子的分区表了（备份好这个分区表，救砖的时候还有用）。接下来导入 recovery 分区：在 recovery 那一行的文件一列，将 recovery 文件导入进去。recovery 我这也准备好了：

Hi3798MV300H芯片强刷引导（访问码：ts2l）

你可能会感到困惑，我的芯片不是 Hi3789MV300 吗，板子上写的也是这个，为啥这里用的引导是 Hi3789MV300H 的？我最开始用的 recovery 也是 Hi3789MV300 的，结果刷机失败，后来才从日志里发现了问题：

这是 HiBurn 烧写 Recovery 时的日志输出（putty 输出的日志里也有，但我之前忘记截图了，所以用了 HiBurn 里的日志），里面写着 CPU 型号是 Hi3789MV300H,不知道为啥会出现这种情况。如果你日志中的 CPU 型号是 Hi3789MV300，那你应该使用 Hi3789MV300 的引导：

Hi3798MV300芯片强刷引导（访问码：bo1f）

这个文件夹里有三个文件，实测只刷 recovery.img 文件就行，如果失败了，那把另外两个也刷一下吧。

导入 recovery 后，把其他分区取消勾选，只保留 recovery 分区，因为我们只刷 recovery 分区。最后点击烧写，将 recovery 刷到盒子里去：