个人加装帖子列表：：

自己动手加装定速巡航按键与RDC胎压监测并添加VO码与刷隐藏总结：
https://club.autohome.com.cn/bbs/thread/88817c586d295c8c/60886226-1.html

?主机升级EVO+8.8触摸屏+?旋钮并开通Carplay的升级换代之路：
https://club.autohome.com.cn/bbs/thread/3df214549cc1795e/87677746-1.html

自己动手维修BMW?代原装行车记录仪触摸屏失灵：
https://club.autohome.com.cn/bbs/thread/0aef9bbaba519eba/87940802-1.html


个人以前没事的时候经常关注EVO主机升级，以及Carplay的功能，积累了不少原理、概念、方法，才开始真正的自己动手，丰衣足食，真正纯粹的自己改装EVO主机并刷Carplay，确实是抱着学习与研究技术的想法，不为省钱，只为自己折腾的乐趣，经历了几个月的时间（春节时的疫情导致间隔了好久，加上二次从国外买配件），基本都完成并使用一段时间了。

是的，你没看错，加上春节疫情影响的几个月，其次淘宝多次购买各种接头零件，还有国外采购几个星期才到货等，确实是好几个月的时间才慢慢搞定的（主要时间就是周六日没事干时倒腾倒腾，其他时间都扔一边不管），然后自己挨个挨个一根一根接线、焊接、调试，学习摸索，并不断在国外论坛请教，反复试验等，纯自己倒腾的乐趣，并非为了快速刷Carplay而期望短期就直接搞定，也并非为了省几百块钱刷机费而直接让人帮忙搞定，相反是花费了比几百块钱刷机费更多更贵的各种购买成本与学习时间投入（都在之前的预期范围之内），也确实做好了充足的准备才这么干的。


1. 改装与学习的源头，还是因为最新版Carplay的吸引力，iOS13最新版的Carplay是神一般的存在，可以直接将车机虚拟成第二个手机，原iOS手机和车机虚拟出来的Carplay互不影响，二者各自运行自己独立的APP，这个实在太具有吸引力和诱惑力了，直接将老破旧的车机瞬间升级为最新款iOS的所有常用功能，Siri语音助手自然也是毫无压力的……


2. Android目前还做不到iOS13上Carplay虚拟手机功能（未来估计也会更进），只能和以前的Carplay一样，实现屏幕镜像功能，手机显示啥，车机屏幕就同步显示啥，这就大大缺乏实用性了，所以以前的老款Carplay镜像功能也就没怎么太强烈的改装意愿……


3. 首先请您务必明确：所有的加装改装，都需要破解，或者外挂激活器模块进行信号屏蔽等，都属于灰色产业，就像iPhone越狱，手机root，黑苹果，Windows激活等，不存在第三方可以使用官方服务的说法，这是违背基本常理的，相信聪明的你仔细一想，就能明白其背后的原理和原因，BMW也不傻。


4. 不仅仅个人在尝试，腾讯某安全实验室在2018年就给该BMW车机系统官方反馈并提交过8个不同功能模块的CVE漏洞（2018-CVE-xxxx），因此新版本中都被BMW成功修补过这些漏洞了。这就是所有改装车在18-11之后的版本不能直接使用USB破解文件的核心原因所在，你没看错，腾讯安全实验室给BMW提交的漏洞测试报告，相信改装店老板们一看就懂了。


5. 改装，加装，升级等情况各不相同，官方的Rheingold/ISTA/ETK等各种软件能查到很多详细电路和可适用的配件详细信息，基本上上通过每辆车唯一的VIN后七位即可，稍有经验就能掌握，国外也有很多现成的介绍，其次就是通过esys软件直接OBD接口连车辆查看实际型号，最简单粗暴的就是拆开出风口和空调面板看主机以及实际的接口。EVO主机其实类型很多，不同的硬件区域，不同的软件版本，更重要的是有不同的硬件接口（不同的国家会有特殊的接口要求，例如美国的DAB接口，AM/FM收音机频段差异等，属于单独外挂），可以说五花八门，而且还是有少部分后焊接GPS模块和接口的主机，如果是改装店都替你写好数据，刷好软件，理论上来说也是都能用，虽然不是原配，反正都是破解了，而且连最老的ID4 EVO 2G内存主机都基本能解决重启问题可以使用全屏Carplay（绝大部分人不关注，只需要结果符合预期即可），另外例如触摸屏，液晶仪表盘等，也并不是所有的EVO主机都支持


6. 获取root权限是所有破解的根源，相信很多人对这个非常感兴趣，不同的时期，不同的版本，会有很多种方法，例如之前被封的usb方案，利用xml配置和lib，跨权限调用shell来开启debug模式，从而获取ssh权限，也有很多简单粗暴的办法，回退老版本，利用老版本开权限，清除主机锁定，再升级回新系统，各种方法都有，但不是人人都懂其背后的技术原理，新的可能还有更流弊的方法，例如利用Level 5级RSA密钥对可直接开ssh/debug服务，但这些只被少部分人所掌握（国外几款改装软件基本都集成了）


7. 有了root权限的Linux系统，几乎就是裸奔了，剩下的就是看你怎么去玩，会不会玩，以及你怎么破解了，怎么开通并加装改装各种需要的软件功能，这也算非常大的难点了，QNX 6.5操作系统也并不是那么容易被破解，BMW也不希望主机被随意调换或者改装，这类获取root权限和软件破解技术，基本都属于专业级的信息安全和系统安全的领域，并非汽车改装店的强项或汽修大佬们的强项，术业有专攻，并不是贬低改装店大佬们（我也一样菜鸟，只是学习并试图利用已知和公开的），因为您们的强项是在汽修专业，在车辆零配件或维修领域，但是专业的计算机系统反编译与破解技术方面，确实是需要非常专业的软件、系统与安全领域的各种知识，但这种业务又只有汽车改装店来做，所以很多改装店不得不做自己不擅长的领域，客户有需求啊，解决办法也很简单，只需要站在巨人的肩膀上，直接购买并使用成熟的改装软件和封装以后的自动化破解技术（教程）即可，而不必去研究其底层的技术原理和漏洞细节，掌握基本概念和原理，熟练利用工具即可，以上一切改装操作都不是难事，但个人用户不一定具备这个经济条件和技术能力（HU TOOL 2.6堪称经典，接近免费，至今依然被绝大部分改装在使用，新版虽不能直接使用，但还是可以间接使用很大一部分功能的）


8. 个人有技术学习或者折腾的想法，相信都很正常，很多人都有，包括很多改装店老板，但是这方面的技术门槛和难度确实是不低的，并不是像部分傻瓜刷Carplay文档里所描述的几行代码就能搞定，那仅仅是因为对方已经帮你自动化并封装好了绝大部分的底层破解操作，所以才让你误以为很简单，实际技术原理和所利用的漏洞，又有几个人真正清楚？如果没有这个工具，或者BMW升级修补了漏洞，估计能搞定的人数量并不多……
因此这就注定了这方面的技术细节和信息不能被轻易公开或共享，尽可能的掌握在少数人手中，才能保证安全可靠性以及长期能够利用来改装，一旦遍地都是免费的信息或者很多普通人都掌握了，相信这个漏洞也离死不远……BMW才是背后真正的大boss


9. 最后，什么是最坏的打算以及最悲剧的收场。就是EVO主机刷死了，拆开重写BootLoader和系统文件，即可重新恢复（很多时候不一定是真正的刷死，EVO是有2个BootLoader的），但是重写芯片可能就类似重装系统的必杀技了（不完全是）。我在自己瞎倒腾之前, 已经在国外论坛找人共享了完整的EVO主机文件备份，以备彻底刷死之后，拆机上console或拆芯片重写恢复，不过并未用到，只是折腾前的准备工作，你如果做好最坏的心理准备和预期了，还有什么不敢尝试的呢？即使自己不具备能力，花钱让具备能力的人解决即可。
题外话：如果你能直接拆开主机了，那么直接console线到主板上，获取roo权限可能没有比这个更简单的了，只不过拆机会麻烦，真刷挂了，拆机又怕啥。


所以，如果你不具备相应的技术和经验，以及没有充足的心理准备，最好还是选择完善的收费服务，让改装店利用成熟的技术来帮你解决问题即可，既节省时间还达到了目的。

阶段1： 尝试各种刷机方法，瞎摸索阶段

首先得开机，联网，因为没有所谓的开机盒子，那就纯手工焊线DIY，实现所谓的开机平台吧，一根一根焊电源线，CAN信号线，网线等各种转接头，万能的淘宝都能买到，CAN开机盒也没有啊，原计划是准备直接买个USB转CAN的，不过看老外用arduino外挂一个MCP2515实现CAN，源码和线序等啥都提供了，而我手头正好有个树莓派，然后就顺手也用树莓派一样外挂一个十块钱包邮的MCP2515，实现SPI转CAN：

```
ubuntu@raspberrypi:~$ dmesg | grep -i '\(can\|spi\)'
[    0.000000] Linux version 5.3.0-1014-raspi2 (buildd@bos02-arm64-074) (gcc version 9.2.1 20191008 (Ubuntu 9.2.1-9ubuntu2)) #16-Ubuntu SMP Tue Nov 26 11:18:23 UTC 2019 (Ubuntu 5.3.0-1014.16-raspi2 5.3.10)
[    1.346769] spi-bcm2835 fe204000.spi: could not get clk: -517
[    1.350035] usb usb1: Manufacturer: Linux 5.3.0-1014-raspi2 xhci-hcd
[    1.351724] usb usb2: Manufacturer: Linux 5.3.0-1014-raspi2 xhci-hcd
[    1.759799] usb usb3: Manufacturer: Linux 5.3.0-1014-raspi2 dwc_otg_hcd
[   10.145170] CAN device driver interface
[   10.240602] mcp251x spi0.0 can0: MCP2515 successfully initialized.
ubuntu@raspberrypi:~$ sudo ip link set can0 up type can bitrate 50000
```

开机，通讯以后，就是获取root权限，买的主机很新，老的usb方法和国内的文件替换法还不一定行，就使用最笨最原始的办法呗，清空v8xx数据开ssh，然后挨个尝试各种刷机办法呗（因为不懂，那就挨个试呗，管他行不行），什么文件替换法，什么纯shell纯代码法，确实是挨个挨个都折腾的试了一遍，虽然一顿操作猛如虎啊，哈哈，结果自然也是错了呗，开机肯定是不能用的，而且不仅开机蓝屏幕变个黑屏，连特么ssh都开机几秒就断了，以为搞挂了，但仔细一想，又不对，它能开机几秒啊，说明主机没死，能通讯啊，于是去论坛请教了一下老外，果然没啥大毛病，切换boot模式就稳定了，后面瞎折腾也无效，还得刷机恢复正确的文件系统和文件结构……


阶段2：
车里尝试重新刷机，小主机需要改线，否则不能通讯（小主机不改线是可以使用的，但不能OBD刷隐藏或刷机），先剪断原来的旧线，调试ok后再重新焊接头，进行跳线，修复破线头，实现任意主机切换和后期可OBD刷机刷隐藏。
春节疫情休息好几个月，车就没动过，电量各种告警，不敢车里刷，如果刷BootLoader时断电就给自己添加更多麻烦，索性再买个网关接着刷的玩吧，反正在家里瞎倒腾，多花点钱呗，但是能方便很多，不用去黑乎乎的地库接220V电源线，憋车里连笔记本各种摸索尝试。


阶段3：
为了继续学习摸索，重新在ebay买了一个刷机的ZGW网关，也是好几百块钱，不比刷车便宜，主要就是娱乐，所以再次重新改线，焊接ZGW网关的电源、CAN信号到主机，大旋钮等各种接头，以及ZGW到主机和OBD的网线等，依然得纯手工焊线，实现网上卖的很贵的所谓的编程平台。

后面的刷机啥的都是反复摸索，请假，还有BootLoader更新的问题，也是慢慢摸索的好不容易才搞定

阶段4：
还故意刷了个18-11的版本，不能直接用usb破解的，有ssh了也可以间接去搞定，刚刷完总得挨个挨个试一试，学习尝试而已，这里可能会有很多问题，不管是复制文件还是shell代码来自定义恢复原有版本的SVT逻辑结构数据，code数据，甚至改写硬件序列号和配置等，最终目的的都是为了破解。
难点的还是国外主机解区域锁，例如欧洲主机或者美洲主机到国内，不能直接用，必须得先解区域锁，也有类似mount debug文件的办法，都是拜大佬们所赐。
其次国内主机到国内其他车也得解锁，相对来说这个还是简单点，HU TOOL 2.6配合刷个老版本就能轻松搞定或新版里面使用类似的方法通过ssh去实现同样的效果，也就是所谓的免U盘方案。
刷完验证所有功能，刚开始就是iDrive 5.0的界面，确定功能都ok了，再刷id6界面，刷Carplay，先试试半屏Carplay到底啥样，不试怎么知道啥区别呢，所以不着急，慢慢来，挨个挨个试呗，


试了一段时间还是改到全屏Carplay了，也知道了大概区别，不改文件分辨率，右边就会显示个空白……

最后再加个GPS天线，虽然自带导航不怎么用，不过GPS不仅仅可以作为备胎导航，还能实现自动GPS授时，自带校正时间，再说了，更重要的还是得折腾的玩一玩嘛，所以就继续倒腾