逆向分析Android蓝牙HFP连接：用ADB抓包解读HF发起的协议握手过程

逆向分析Android蓝牙HFP连接：用ADB抓包解读HF发起的协议握手过程

你是否曾经好奇，当你按下车载蓝牙或蓝牙耳机的“连接”按钮时，手机和设备之间究竟“交谈”了什么？那些看不见的无线电波里，承载着怎样的握手、协商与确认？对于大多数开发者而言，蓝牙协议栈就像一个黑盒，我们调用BluetoothHeadsetClient.connect()，然后等待成功或失败的回调。但如果你和我一样，对底层交互的细节有近乎偏执的好奇，那么亲手捕获并解析这些协议报文，将是一次无与伦比的探索之旅。本文将从逆向工程的视角出发，面向那些不满足于API调用、渴望理解协议层真实对话的技术人员。我们将绕过代码跟踪的常规路径，直接使用ADB抓取蓝牙HFP（Hands-Free Profile）连接过程中的原始数据包，并借助Wireshark这把“手术刀”，逐层解剖从HF（Hands-Free，如车载设备）发起连接到协议栈建立的全过程。你会发现，协议规范文档中的状态图，在真实的空中接口数据中，是如何被精确地执行和演绎的。

1. 搭建逆向分析环境：从ADB到空中报文捕获

在进行任何协议分析之前，一个可靠的抓包环境是基石。与网络抓包不同，蓝牙抓取的是HCI（Host Controller Interface）层的指令和事件，这需要我们深入到Android系统的蓝牙控制器层面。

1.1 启用Android设备的蓝牙HCI日志

现代Android系统通常内置了蓝牙HCI报文记录功能，但默认是关闭的。我们需要通过ADB（Android Debug Bridge）来激活它。确保你的测试手机已开启开发者选项和USB调试。

首先，通过USB连接设备并获取shell权限：

adb shell

进入shell后，我们需要找到蓝牙服务并设置日志级别。不同Android版本路径可能略有差异，一个通用的方法是使用setprop命令：

su # 可能需要root权限
setprop persist.bluetooth.btsnoopenable true
setprop persist.bluetooth.btsnooppath /sdcard/btsnoop_hci.log
stop bluetooth
start bluetooth

注意：部分厂商定制系统可能修改了相关属性名或路径。如果上述命令不生效，可以尝试搜索bluetooth.btsnoop相关的属性。获取root权限是成功的关键，否则可能无法写入日志文件。

执行成功后，系统会在/sdcard/目录下生成（或覆盖）btsnoop_hci.log文件。这个文件就是标准的蓝牙HCI snoop日志，其格式与Wireshark兼容。

1.2 实时抓包与日志导出

在开始我们的HFP连接实验前，先启动日志记录。你可以通过一个简单的脚本来在连接动作前后进行控制：

#!/bin/bash
# 开始抓包
adb shell "su -c 'echo 1 > /sys/kernel/debug/bluetooth/hci0/amp'"
adb shell "su -c 'cat /sys/kernel/debug/bluetooth/hci0/snoop > /sdcard/realtime_hci.pcap &'"
echo "蓝牙HCI抓包已启动，后台运行..."

# 此时，在手机上手动操作HF设备发起连接
read -p "请在车载蓝牙或耳机上发起连接，完成后按回车键停止抓包..."

# 停止抓包并导出文件
adb shell "su -c 'pkill -f \"cat.*snoop\"'"
adb pull /sdcard/realtime_hci.pcap .
echo "抓包文件已导