Profile Download
提供一种机制， 让ME告诉UICC自己有什么能力
在UICC初始化过程（在 ETSI TS 131 101 定义） 中，该指令 由ME发送给UICC.
通过AT命令访问USAT的TE设备连接或者断开时，ME也会发送profile download命令给UICC

如果UICC在UST服务标中表明自己支持“在UICC激活后额外的Terminal Profile”, 那么ME应该按照 ETSI TS 102 223中规定的处理profile download

第1个字节
bit8 — 呼叫控制
bit7 — 在呼叫控制中支持 USSD 字符串数据对象(USSD string data object  support in Call Control by USIM)
bit6 — Timer expiration
bit5 —- SMS-PP 数据下载
bit4 — 菜单选择
bit3 — 小区广播数据下载
bit2 — SMS-PP 数据下载
bit1 — Profile download

第2个字节
bit8 — 显示文字
bit7 — UCS2显示支持
bit6 — UCS2 菜单条目支持
bit5 —- 呼叫控制 Call Control by USIM
bit4 — 发送短信控制 MO short message control by USIM
bit3 — 呼叫控制
bit2 — 呼叫控制         ****一般判断这个位，是否支持呼叫控制
bit1 — Command result

第3个字节
bit8 — 主动命令： REFRESH
bit7 — 主动命令：POLLING OFF
bit6 — 主动命令：POLL INTERVAL
bit5 —- 主动命令：PLAY TONE
bit4 — 主动命令：MORE TIME
bit3 — 主动命令：GET INPUT
bit2 — 主动命令：GET INKEY
bit1 — 主动命令： DISPLAY TEXT

第4个字节
bit8 — 主动命令 PROVIDE LOCAL INFORMATION (NMR/GERAN)
bit7 — 主动命令：PROVIDE LOCAL INFORMATION (MCC, MNC, LAC, Cell ID & IMEI)
bit6 — 主动命令：SET UP MENU
bit5 —- 主动命令：SET UP CALL
bit4 — 主动命令：SEND USSD
bit3 — 主动命令：SEND SS
bit2 — 主动命令：SEND SHORT MESSAGE with 3GPP-SMS-TPDU
bit1 — 主动命令： SELECT ITEM

第5个字节
bit8 — 事件：Card reader status
bit7 — 事件：Idle screen available
bit6 — 事件：User activity
bit5 —- 事件：Location status
bit4 — 事件：Call disconnected
bit3 — 事件：Call connected
bit2 — 事件：MT call
bit1 — 主动命令： SET UP EVENT LIST

第6个字节
bit8 — 事件：Network Search Mode Change
bit7 — 事件： Local Connection
bit6 — 事件： Display parameters changed
bit5 —- 事件： Access Technology Change
bit4 — 事件：Channel status
bit3 — 事件：Data available
bit2 — 事件：Browser Termination
bit1 — 事件： Language selection

第7个字节
bit8 — RFU
bit7 — RFU
bit6 — RFU
bit5 —- GET READER STATUS (Card reader identifier)
bit4 — GET READER STATUS (Card reader status)
bit3 — PERFORM CARD APDU
bit2 — POWER OFF CARD
bit1 — POWER ON CARD

第8个字节
bit8 — Call Control
bit7 — SETUP CALL
bit6 — RUN AT COMMAND
bit5 —- SET UP IDLE MODE TEXT
bit4 — GET INKEY
bit3 — 主动命令： PROVIDE LOCAL INFORMATION (date, time and time zone)
bit2 — 主动命令： TIMER MANAGEMENT (get current value）
bit1 — 主动命令： TIMER MANAGEMENT (start, stop)

第9个字节
bit8 — 主动命令： PROVIDE LOCAL INFORMATION (Access Technology)
bit7 — 主动命令：LAUNCH BROWSER (i.e. class “ab” is supported)
bit6 — 主动命令：LANGUAGE NOTIFICATION
bit5 —- 主动命令：PROVIDE LOCAL INFORMATION, Timing Advance
bit4 — 主动命令： PROVIDE LOCAL INFORMATION (language)
bit3 — 主动命令： PROVIDE LOCAL INFORMATION (NMR)
bit2 — SEND DTMF command
bit1 — DISPLAY TEXT

第10个字节(软键支持)
b8-b3 RFU
b2 —- Soft Keys support for SET UP MENU
b1 — Soft Keys support for SELECT ITEM

第11字节（保留给软键支持，软键的数目，最小为2，最大254, FF表示未用）

第12字节（Bearer Independent protocol主动命令）
….
第18字节

bit8 — 主动命令： PROVIDE LOCAL INFORMATION (Search Mode change）
bit7 — 主动命令：PROVIDE LOCAL INFORMATION (IMEISV)
bit6 — Call control on GPRS
bit5 —- 主动命令：PROVIDE LOCAL INFORMATION (ESN)
bit4 — 主动命令： GET INKEY (Variable Timeout)
bit3 — USB (Bearer Independent protocol supported bearers）
bit2 — 主动命令： GET INKEY (help is supported while waiting for immediate response or variable timeout)
bit1 — 主动命令: DISPLAY TEXT (Variable Time out)

…
第31字节
bit8 — 主动命令： Profile Container, Envelope Container, COMMAND CONTAINER and ENCAPSULATED SESSION CONTROL
bit7 — Support for IMS Registration event
bit6 — Support for Incoming IMS Data event
bit5 — Support of CAT over the modem interface
bit4 — Communication Control for IMS
bit3 — Confirmation parameters supported for OPEN CHANNEL in Terminal Server Mode
bit2 — Support of CSG cell discovery
bit1 — 主动命令： Contactless State Changed
…
第34字节
bit8 — Deprecated 始终为0
bit7 — Extended Rejection Cause Code in Event: Network Rejection for E-UTRAN
bit6 —- REFRESH with “eUICC Profile State Change” mode
bit5 — 主动命令： PROVIDE LOCAL INFORMATION (E-UTRAN Timing Advance Information)
bit4 —- Media Type “Video” supported for SET UP CALL and Call Control by USIM
bit3 — Media Type “Voice” supported for SET UP CALL and Call Control by USIM
bit2 — IMS URI supported for SET UP CALL
bit1 —URI support for SEND SHORT MESSAGE

SIM上电物理激活后， ME（modem设备）选择一个目录 DF_gsm
并且 可选地尝试选择一个EF_ecc文件（如果EF_ecc可用的花），ME请求紧急呼叫代码
1. ME请求Extended Language Preference（扩展语言首选项）(File ID: 2F05)
如果：
1） EF_PL (2F05) 不可用
2） EF_PL 中的条目 不满足 ISO 639定义的语言
3） ME不支持 EF_PL 中的任何语言
三者满足其一， 那么ME就 只请求 EF_LP (6F05)
如果EF_PL和EF_LP都不存在，或者没有任何语言被ME支持， 那么ME 会选择它默认的语言。

2. 运行CHV1 验证过程;

3. 如果 CHV1 验证成功， ME开始 SIM Phase请求
4. 如果SIM要求Profile Download, 那么ME执行 Profile Download 过程（按照 3GPP TS 51.014标准)
当SIM卡启用BDN事， 那么Profile Download过程将用来 指明 ME是否支持 “SIM决定的呼叫控制”
如果支持， 那么SIM卡能够允许 对 EF_IMSI和 EF_LOCI执行 Rehabilitate 命令
5. 如果 ME检测到 SIM卡是Phase 1的，
它将忽略 FDN相关的过程，继续执行 Administrative Information请求
它也将忽略没有定义在Phase 1阶段的一些特性，比如 Higher Priority PLMN搜索周期请求。

对于Phase 2及以后的SIM卡，只有满足下面两个条件之一时才会继续GSM操作：
1） EF_IMSI和EF_LOCI没有被 invalidated, GSM操作应该立即开始
2） EF_IMSI和 EF_LOCI被invalidated, ME应该rehabiliteate这个两个EF

如果SIM卡上的FDN被启用，没有FDN能力但是有呼叫控制能力的ME, 不应该 rehabilitate 卡上的EF_IMSI和EF_LOCI文件，所以也不能访问这两个EF,
GSM操作应被禁止。

没有FDN能力，也没有呼叫控制能力的ME, 更加不能访问 EF_IMSI和EF_LOCI，GSM同样也被禁止。

SIM卡的FDN和BDN都被启用时，如果ME支持FDN但不支持呼叫控制， rehabilitate操作也不能成功，
因为REHABILITATE命令同BDN特性关联。

6. 接着运行下面的过程：
1） 管理信息(Administrative Information)请求
2) SIM 服务表 请求
3） IMSI 请求
4） 访问控制(Access Control)请求
5） 高优先级 PLMN 搜索周期 请求
6） Investigation scan 请求
7） PLMN selector请求
8) 带访问控制技术的HPLMN选择 请求
9） 用户控制的带访控制技术的PLMN选择器 请求
10） 运营商控制的带访控制技术的PLMN选择器 请求
11） 位置信息(Location Information)请求
12) GPRS位置信息请求
13) Cipher Key请求
14) GPRS Cipher Key请求
15） BCCH 信息请求
16) CPBCCH信息请求
17) 禁止的PLMN请求
18） LSA 信息请求
19） CBMID请求
20） 解个人化控制键请求
21) 告警网络提示 请求
如果在 SST服务表中表明 支持proactrive 服务，ME也支持proactive,
那么在空闲时间，每30秒，应发送一个STATUS命令
在通话过程中，也应发送STATUS命令，来检测sim卡是否存在。

参考资料：
https://docs.rs/jni/latest/jni/
https://github.com/jni-rs/jni-rs/tree/master/example

首先，创建一个 HelloWorld.java 文件

class HelloWorld {
    private static native String hello(String input);

    static {
        System.loadLibrary("mylib");
    }

    public static void main(String[] args) {
        String output = HelloWorld.hello("josh");
        System.out.println(output);
    }
}

编译这个文件，并生成 .h 头文件

javac -h . HelloWorld.java
或者用全路径
/usr/lib/jvm/java-11-openjdk-amd64/bin/javac  HelloWorld.java  -h .

可以看到 生成了一个HelloWorld.h文件

3. 创建rust 库

cargo --lib new mylib

4. 编辑Cargo.toml

...

[dependencies]
jni = "*"

[lib]
crate_type = ["cdylib"]

5. 创建 mylib/src/lib.rs

use jni::JNIEnv;
use jni::objects::{JClass, JString};
use jni::sys::jstring;

#[no_mangle]
pub extern "system" fn Java_HelloWorld_hello(env: JNIEnv,
                                             _: JClass,
                                             input: JString)
                                             -> jstring {
    let input: String = env.get_string(input).expect("Couldn't get java string!").into();

    let output = env.new_string(format!("Hello, {}!", input))
        .expect("Couldn't create java string!");

    output.into_inner()
}

6. 编译运行

cd mylib
cargo build
cd ..
LD_LIBRARY_PATH=/path/to/mylib/target/debug java HelloWorld
或者
java -Djava.library.path=mylib/target/debug/ HelloWorld

Rust 有一个叫 自动引用和解引用（automatic referencing and dereferencing）的功能。方法调用是 Rust 中少数几个拥有这种行为的地方。

他是这样工作的：当使用 object.something() 调用方法时，Rust 会自动为 object 添加 &、&mut 或 * 以便使 object 与方法签名匹配。也就是说，这些代码是等价的：

p1.distance(&p2);
(&p1).distance(&p2);

第一行看起来简洁的多。这种自动引用的行为之所以有效，是因为方法有一个明确的接收者———— self 的类型。在给出接收者和方法名的前提下，Rust 可以明确地计算出方法是仅仅读取（&self），做出修改（&mut self）或者是获取所有权（self）。

println! 宏也可以自动解引用

强制解引用（Deref coercion) 是一种执行在函数和方法的参数上的便利。它只能用于那些实现了Deref trait的类型。
强制解引用，将一种类型的引用转换成另一种类型的引用。比如它可将 &String 转换成 &str
因为 String实现了 Deref trait, 返回一个 &str

当我们传递一个特定类型的的值的引用给一个函数/方法时，如果同函数/方法中定义的参数类型不匹配时，会自动进行解引用。一系列 deref 方法会被调用，用来在我们提供的类型，和参数所需要的类型之间 实施转换。

程序员在写函数/方法时， 不必要添加 许多 明示的 引用 （&）或者解引用（*）
强制解引用也让我们写的代码更好地同时工作在 引用/智能指针上。

#!/usr/bin/python3

import sys

def getvaluefrombytes(tbytes):
    va = 0
    for j in range(len(tbytes)):
        va += tbytes[j] * 256 ** j
    return va


def decodebytesfromnum(num, lens=4):
    tbytes = bytearray()
    for i in range(lens):
        tbytes.append((num & (0xff << 8 * i)) >> 8 * i)
    return tbytes


def set_cid(readbytes, channelname):
    
    # find End of central directory
    for i in range(len(readbytes) - 22):
        if (readbytes[-22 - i] == 0x50 and readbytes[-21 - i] == 0x4b and readbytes[-20 - i] == 0x05 and readbytes[
                -19 - i] == 0x06):
            break
            

    start_central_directory_value_pos = -6 - i
    start_central_directory = readbytes[start_central_directory_value_pos + 3] * 256 ** 3  \
        + readbytes[start_central_directory_value_pos + 2] * 256 ** 2                      \
        + readbytes[start_central_directory_value_pos + 1] * 256                           \
        + readbytes[start_central_directory_value_pos]

    if readbytes[start_central_directory - 16:start_central_directory] == 'APK Sig Block 42'.encode("utf-8"):
        print("check v2 true")
    else:
        print("check v2 fail")
        return


    sign_block_size = 0
    sgin_block_value_pos = start_central_directory - 16 - 8
    for i in range(8):
        sign_block_size += 256 ** i * readbytes[sgin_block_value_pos + i]

    sign_block_start_pos = start_central_directory - sign_block_size - 8

    k = 0;
    keybytes = {}
    tempbytes = []
        
    strkey = 0
    k = 0
    
    #walleid 0x71777777
    walleIDbytes = bytearray()
    walleIDbytes.append(0x77)
    walleIDbytes.append(0x77)
    walleIDbytes.append(0x77)
    walleIDbytes.append(0x71)

    pairlen = 0
    for i in range(sign_block_start_pos + 8, sgin_block_value_pos):
        tempbytes.append(readbytes[i])
        if k == 7:
            pairlen = getvaluefrombytes(tempbytes)
            tempbytes.clear()
        if k == 11:
            strkey = getvaluefrombytes(tempbytes)
            tempbytes.clear()
        if k == pairlen + 7:
            keybytes[strkey] = bytes(tempbytes)
            tempbytes.clear()
            k = -1
        k += 1


    channel = "{\"channel\":\"%s\"}" % channelname
    channelbytes = bytearray(channel.encode("utf-8"))
    if len(channelbytes) > 252:
        print(" channel str len < 252")
        return
        
    insertbytes = bytearray()
       
    channelbytes_len = len(channelbytes) + 4
    insertbytes.append(channelbytes_len)
    for i in range(7):
        insertbytes.append(0)

    for i in walleIDbytes:
        insertbytes.append(i)
    for i in channelbytes:
        insertbytes.append(i)


    start_central_directory += len(insertbytes)
    dictoffsetbytes = decodebytesfromnum(start_central_directory)
    for index in range(4):
        readbytes[start_central_directory_value_pos + index] = dictoffsetbytes[index]
    sign_block_size += len(insertbytes)
    signsizebytes = decodebytesfromnum(sign_block_size, 8)
    for index in range(8):
        readbytes[sign_block_start_pos + index] = signsizebytes[index]
        readbytes[sgin_block_value_pos + index] = signsizebytes[index]
    for b in insertbytes[::-1]:
        readbytes.insert(sgin_block_value_pos, b)

    outfilepath = "channel_%s.apk" % channelname
    with open(outfilepath, "wb") as fout:
        fout.write(readbytes)







def main():
    if len(sys.argv) != 3:
        print("i need apk_path and channel_id.")
        exit(-1)

    filepath = sys.argv[1]
    cid      = sys.argv[2]

    readbytes = bytearray()
    with open(filepath, "rb") as f:
        readbytes = bytearray(f.read())

    set_cid(readbytes, cid)


if __name__ == "__main__":
    main()
    
            

…

fastboot flash:raw boot boot.img
或者
fastboot  flash boot_a   boot.img
fastboot  flash boot_b   boot.img

很多PC/SC读卡器都是标准读卡器，但是 作者并没有测试过 https://ccid.apdu.fr/
需要自己手动添加支持。
以Debian系统为例
修改 /usr/lib/pcsc/drivers/ifd-ccid.bundle/Contents/Info.plist
添加 ifdVendorID ifdProductID 和 ifdFriendlyName等三项
具体信息，可以用 lsusb命令查看

058c:9590 In Focus Systems EMV Smartcard Reader

这个读卡器在 马大师 的平台上卖20元左右

AT+VIRUALSIMINIT=0
表示使用物理卡
AT+VIRUALSIMINIT=1
表示使用虚拟卡

0:实体卡
1:云卡
2:软卡

AT+VIRTUALSIMINIT=0,0
物理卡， 不写入NV
AT+VIRTUALSIMINIT=0,1
物理卡， 写入nv

AT+VIRTUALSIMINIT?
查询是否开启VSIM

VSIM_CREATE:AT+RSIMRSP=”VSIM”,1
VSIM_INIT:AT+RSIMRSP=”VSIM”,1
开启VSIM功能

前缀不重要， rild会对 这个命令进行处理， 只发送AT+RSIMRSP=”VSIM”,1给基带

AT+RSIMRSP=
发送rAPDU给modem

VSIM_EXIT:AT+RSIMRSP=”VSIM”,0
关闭vsim功能
实际也只是发送 AT+RSIMRSP=”VSIM”,0 给基带

AT+SPVSIMAUTHSET=
设置鉴权数据通过哪个 卡槽的实体卡 发送给卡池

AT+SPVSIMAUTHSET?
查询鉴权通道 通过哪个卡槽的实体卡，发送给云端

RILC_ATCI

socket_local_client “atci_socket0”

“vsim_socket_0”

@vsim_socket_1 (Rild 用 libsprd-ril.so 创建 vism 服务socket)

从 socket里 读取AT命令， 解析成APDU

Android 4.4 采用的socket，而不是8.0之后的 hwbinder

netstat -xunlp
...
unix  2      [ ACC ]     STREAM     LISTENING       5189 595/sprdrild        @atci_socket1
unix  2      [ ACC ]     STREAM     LISTENING       4600 596/sprdrild        @atci_socket2
...
unix  2      [ ACC ]     STREAM     LISTENING       7262 596/sprdrild        @vsim_socket_1

1.控制通道(Control pipe)

控制通道消息（包括标准请求,比如GET_DESCRIPTOR和SET_CONFIGURATION)

2. 中断通道(Interrupt pipe)

异步事件(ICC卡存在，ICC卡移除，硬件错误）

3. Bulk-in, Bulk-out pipes

Android API的使用

1. 通过 usbManager.getDeviceList() 来获取设备
android.hardware.usb.UsbManager

2. UsbDevice （表示连接的 USB 设备，并包含用于访问其标识信息、接口和端点的方法。）
getDeviceClass()
getDeviceId()
getDeviceName()
getDeviceProtocol()
getDeviceSubclass()
getManufacturerName()
getProductId()
getSerialNumber()
getVendorId()
得到设备的信息
最重要是可以 通过 getInterface(int index)得到接口

3. UsbInterface 定义设备的一组功能。 设备可以具有一个或多个用于通信的接口。

4. UsbEndpoint 接口端点，是此接口的通信通道。一个接口可以具有一个或多个端点，并且通常具有用于与设备进行双向通信的输入和输出端点。

openDevice(UsbDevice device)

第1代是 Nubia Alpha 型号 SW1002, 高通W2100（MSM8909W），1+8存储组合，重量：很重，电池500mAh，有扬声器，有摄像头，没NFC。
第2代是 Nubia Watch 型号 SW1003, 高通W2100（MSM8909W），1+8存储组合，重98g，电池425mAh，没有扬声器，没有摄像头，没NFC。
Wear 2100是高通2016年发布的U，28nm工艺。 华米Amazfit智能手表2, 华为Watch 2 Pro/2019, Ticwatch Pro 4G 都是用的这款芯片。
———————————
Nubia Watch 基于Android 7.1.1, 默认开启adb, 不过依然可以调用 *#7678# 来打开设置

解锁

adb reboot bootloader
fastboot oem nubia_unlock NUBIA_SW1003
fastboot boot sw1003.img
如果是Nubia Alpha
fast boot oem nubia_unlock NUBIA_SW1002
fast boot recovery-nubia.img

安装Magisk.apk

adb install -r -n nubia  magisk.apk

需要传递一个 -n nubia选项

用recovery来修补boot分区

adb push  magisk.zip /sdcard
adb reboot bootloader
fastboot boot rec.img

其中magisk.zip是由magisk.apk改名而来
启动到recovery后，安装zip文件，会自动对 boot分区patch