家裡有臺機頂盒，是中興 ZXV10 B760H，它是智慧機頂盒，在寫這篇文章之前，我已經對它進行了破解。（別看是“智慧機頂盒”，但實際上已經讓中國電信閹割的差不多了，只能看IPTV,我這個破解可以讓它安裝第三方app)
今天重點講root。

你需要一個fat32檔案系統的U盤及USB轉TTL線和螺絲刀（淘寶有售）。
TTL線纜連線：
5（不接）6=GND
3(不接）4（不接）
RX=1 2=TX
接針座就在下面的圖裡，要注意，RX和TX是反的。

以上是硬體準備。
軟體準備：
USB轉TTL線的驅動程式(要先安裝在電腦裡）、PuTTY、SuperUser.apk，以及和該apk版本對應的su二進位制檔案。
開啟putty，像圖中這樣設定：

然後點選"Open"，並開啟機頂盒電源開關。如果驅動程式和物理連線都正常的話，你應該就會看到Putty上開始滾動資訊了。
等到出現提示符（見下圖）時，輸入：killall -s SIGKILL stbmc 並回車。（至於這個stbmc是什麼，馬上會講到。）

這個stbmc是中興自己做的，會開機自啟動，它有以下幾個功能：
1、給中興的機頂盒現場配置工具(STBtool)做伺服器守護程序。
2、每次啟動時刪掉 /system/bin/su 和 /system/xbin/su（致命）
3、機頂盒遙控器接收響應。
因為上面的第2個功能，所以給root造成了極大的困難。
stbmc在 /system/bin下面，我試著把它改名（提示符下輸入： mv /system/bin/stbmc /system/bin/stbmc.bak,回車。)
然後再在提示符下輸入reboot，回車之後，機頂盒會重啟。但在重啟後，麻煩來了：遙控器沒反應了不說，android啟動畫面過後就直接黑屏了，壓根沒進當貝桌面。不過還好，PuTTY下的提示符還是可以操作的，我在提示符下把stbmc改回了原來的名字，再重啟機頂盒，又正常了。
我查了一下，這個stbmc只在部分省份的這個型號的中興機頂盒裡有,很不幸，陝西中槍了。
我看到這個帖子：

http://www.codeclip.com/3636.html，裡面提到山東移動的ZXV10 B760H的stbmc裡面都是明文shell命令，我想碰碰運氣。
於是：cat /system/bin/stbmc，但很不幸，我看到的都是亂碼，並非明文shell命令。各省看來是不一樣的。
但我發現，把su改為其他名字，再放到 /system/bin/ 或 /system/xbin/ 下面，就不會被stbmc刪掉了。
這樣一來貌似只有一個解決辦法了：讓Superuser程式去監聽改名後的su二進位制檔案發來的授權請求，並給予提示，由使用者來決定是否允許或拒絕。我目前還在研究,可能要自己寫個Superuser程式了。
如果解決了這個問題，就只需要把SuperUser.apk以及改名後的su二進位制檔案copy到對應的系統目錄裡即可。
附：失敗的提綱