收藏
下载资源

降级固件原理及制作方法

上传人:宝路 文档编号:21641736 上传时间:2017-11-24 格式:DOCX 页数:17 大小:959.27KB
返回 下载 相关 举报
降级固件原理及制作方法_第1页
第1页 / 共17页
降级固件原理及制作方法_第2页
第2页 / 共17页
降级固件原理及制作方法_第3页
第3页 / 共17页
降级固件原理及制作方法_第4页
第4页 / 共17页
降级固件原理及制作方法_第5页
第5页 / 共17页
点击查看更多>>
资源描述

《降级固件原理及制作方法》由会员分享,可在线阅读,更多相关《降级固件原理及制作方法(17页珍藏版)》请在金锄头文库上搜索。

1、非专业术语,可能有错,请友情纠正,谢谢!【威锋首发】 【luobo】 降级固件原理及制作方法 ,关于大家的种种疑问,希望更多的人研究和完美降级声明:我此次放出教程是希望更多的人加入到降级研究中来。目录:1.固件组成2.SHSH 组成3.固件解包4.制作固件(降级固件)5.刷机测试6.总结一:固件组成我们以固件 iPhone3,1_5.1.1_9B208_Restore.ipsw 为列我先用 RAR 打开这个固件可以看到固件包含:1.Firmware 文件夹(基带和签名文件及 DFU 文件文件夹)2. 3 个 DMG 加密映像(系统 ROOT 盘和恢复盘升级盘的映像)3.BuildManifes

2、t.plist(签名文件信息)4. kernelcache.release.n90(未知)5.Restore.plist(刷机/升级/恢复信息)Firmware 文件夹打开后 可以看到有1.all_flash(签名文件文件夹)2.dfu(DFU 模式文件)3.usr(未知)4.ICE3_04.12.01_BOOT_02.13.Release.bbfw(基带文件)其实大家看固件是什么基带就看这个文件,大家可以看到 5.1.1(9B208)的基带是04.12.01all_flash 文件夹打开后1.all_flash.n90ap.production 文件夹all_flash.n90ap.prod

3、uction 打开后里面全是经过 加密的 png 图片(感谢 Hackl0us 大神指正)2.dfu 文件夹打开后2 个 DFU 模式文件这个是手机进 DFU 模式加载到恢复模式和 DFU 模式的文件(不同版本,文件不一样)固件各文件介绍完毕我们主要研究是系统 ROOT 的 DMG 加密映像(固件里最大的那个 DMG)二:SHSH 组成SHSH 是 RSA 加密的,想解密,以目前技术计算机需要不停运作 64 年。 感谢 Hackl0us大神的指正SHSH 格式(大家可以看我先前的分析贴)http:/ 中包含AppleLogoBatteryChargingBatteryCharging0Batt

4、eryCharging1BatteryFullBatteryLow0BatteryLow1BatteryPluginDeviceTreeKernelCacheLLBRecoveryModeRestoreDeviceTreeRestoreKernelCacheRestoreLogoRestoreRamDiskiBECiBSSiBoot签名信息(不同固件的 SHSH 是不同的,签名条数也是不同,大家可以看到此条签名共19 条)这里的签名信息和固件的签名文件是不是大同小异啊,呵呵!(这里我们没办法破译,只是让大家了解下)三:固件解包(重点)让我们回到图一大家可以看到 3 个不同的 DMG 映像而且大

5、小是不一样的其中 有一个 DMG 最大038-5508-003.dmg 约 700 多 MB(不同版本固件里面的 DMG 名称都不一样)而038-5510-003.dmg038-5512-003.dmg这两个文件只有 17MB 左右这里需要解包的就是最大的 DMG,也是 ROOT 系统文件部分,也就是我说的 ROOT 系统盘。只需要 KEY 即可解密而后面两个小的 DMG 是用 IMG3 加密的和系统 ROOT 系统盘加密方式不一样。后面的两个小 DMG 需要 IV 和 key 同时解密,解密还需要用到 MAC 系统,因为WINDOWS 上面还没有这种软件。所以我们暂时不谈小 DMG 解包(楼

6、主没 MAC 系统,在自家 AMD 芯片电脑上折腾了一个星期才装上,而且进去了也不知道如何解包)回到前面的 ROOT 系统盘 DMG,要解包之前,我们需要解包工具和密匙。现在我们用 RAR 解压出 038-5508-003.dmg 到桌面备用1.解包工具(貌似需要依赖 cygwin 环境)工具下载 iDecrypt fo windowsiDecrypt-v2-RC2 解包工具.rar (997 K) 下载次数:579 2.DMG 文件浏览工具 TransMac,其实可以在 WINDOWS 上打开 DMG 的软件很多,我是用的 TransMac,因为它打开快下载地址 暂时百度搜索吧3.获取密匙国

7、外密匙网站http:/ iPhone3,1_5.1.1_9B208_Restore.ipsw相关密匙是:Hoodoo 9B208 (iPhone 4 GSM)From The iPhone WikiJump to: navigation, search iOS 5.1.1 Build 9B208 Codename Hoodoo Device iPhone 4 (GSM) Baseband 04.12.01 iPhone3,1_5.1.1_9B208_Restore.ipsw Root Filesystem (038-5508-003.dmg) VFDecrypt Key: d5811298fa

8、4bb88e0bb15c7d16abe69ee74666bd263db16b59eb64b98872de0f9438a56bUpdate Ramdisk (038-5510-003.dmg) IV: c0b678700323e061f8db905df800c87f Key: 08983059ac2197ff1e4ab3307c76207723489262e711d64b5871abc7d5f82d1f Restore Ramdisk (038-5512-003.dmg) IV: 4e1f7c7bbd422056d58c71ac09fb4f1e Key: 6c8e84211adeee5f4118

9、869d82c371237f589cf77ec12e89d58d08d7a41a8aca现在我们开始解包(退出所有的杀毒软件和安全卫士,不是有病毒,而是杀毒软件会破坏我们解包的完整性)打开软件 iDecrypt.exe(win7 请管理员方式运行) 按图片操作打开需要解密的 DMG选择刚才我们解压缩出的 DMG确定选择保存的路径我这里选择桌面 保存在 KEY 粘贴入 KEY 密匙,点开始解密 解密过程解密完成最后在桌面看到已经解密的 DMG现在我们用 TransMac 打开解包的 038-5508-003_decrypted.dmg可以看到我们越狱后一样的系统文件了 如果要对固件进行导出文件和

10、添加自制固件 DEB 文件都可以在此操作(文件夹操作则不行)现在我们把解包后的 038-5508-003_decrypted.dmg 重命名为 038-5508-003.dmg重新放回固件包覆盖原文件然后开始刷机,你会发现 ITUNES 依然可以无错刷入。所以我们平时看到的自制固件里面最大的 ROOT 系统盘映像其实都是已经解包的,我们不需要在解包了,可以直接解压后用 TransMac 打开。比如我们现在要提取威锋论坛出品的 5.1.1 精简 2.0 固件里的 hackl0us 开发的 Release Me Now 3.0 插件 这样我们就得到了 a.deb 就是 hackl0us 大神的 R

11、elease Me Now 3.0 插件我们也可以用同样的方法提取我们需要的系统文件(比如你误删了系统某个文件,就不用在论坛发帖求文件,自己解包丰衣足食,哈哈)四:制作固件(降级固件)我们利用解包固件可以再次刷的原理那我就想到了(不知道大家此时有没有想到?)如果我把 6.0.1 固件上的 ROOT 系统包删除,换上 5.1.1ROOT 系统包会不会也被刷进去呢?实验证明,的确是可以的。制作固件开始按照上面解包的原理,我们把刚才解包的 038-5508-003_decrypted.dmg替换到 iPhone3,1_6.0.1_10A523_Restore.ipsw 中打开 iPhone3,1_6

12、.0.1_10A523_Restore.ipsw 看到 6.0.1 的 ROOT 系统盘映像是 038-7954-010.dmg那么我们把 038-5508-003_decrypted.dmg 重命名成 038-7954-010.dmg重新通过 RAR 导入覆盖掉原文件iPhone3,1_6.0.1_10A523_Restore.ipsw 就打包完成了现在一个降级固件就做好了,很多人问,这个固件是官方的吗?苹果公司不会这么做,也不可能放出。另一个大家比较关心的问题,就是说我是利用老方法用别人的 SHSH 来制作的,说他们早就会了。(那我问他们:你们锁屏不会无限 DFU 吗?) ,由于我是直接解

13、包就封包,所以里面的系统文件我一个也没动。完全官方文件。 (有的人怀疑是我加入了些什么文件,才使不会锁屏无限 DFU,其实根本我都没动过系统文件)现在你试试这个新制作出来的 iPhone3,1_6.0.1_10A523_Restore.ipsw 刷到手机看看,是不是和我的一样?是不是同样降级啦?是不是同样刷完就是白苹果无法开机啦?当初我降到此也很纳闷,为什么系统文件完整无缺写到 ROOT 盘,就是进不了系统呢?看来苹果还是很谨慎的,原来他们制作的每个系统 ROOT 启动方式都不一样,所以导致6.0.1BOOT 无法启动 5.1.1 的系统这也就是白苹果的原因(在别的论坛据说有人改动降级后的系统

14、文件,实现完美启动了系统,但是遗憾的是越狱却又丢失了。我去问他,对方暂时不采我。 )既然白苹果了,系统也完全写入手机了,那有别的办法让他启动吗?答案是可以的,我打开红雪红雪 0.9.15b2 中文版.exe 中文版,加载原厂官方5.1.1(9B208)固件然后引导-稍等 2 分钟,既然奇迹般的进系统了,于是赶快激活,打开系统信息查看,哇!5.1.1哇塞!成功降级了,会不会无限 DFU 呢?我于是马上锁屏,等了 20 分钟,按 HOME,哇!亮了,解锁正常使用后来测试越狱/安装插件/安装软件/各项功能/ 长时间待机等既然和有 SHSH 完全一样,没有任何问题。就只是开机必须引导开机这一个问题解决

15、不了。五:刷机测试我通过 ITUNES 刷机顺利完成,测试通过,后面又测试了爱思助手,苹果刷机助手,都无法刷过去,不知道是电脑问题还是固件问题。应该是修改了固件导致的。后来又想想其它机型可否同样的方法降级呢?后来测试了IPHONE4 (包含 GSM 和 CDMA)5.1.1 9B206(成功)5.1.1 9B208(成功)5.0.1 9A405(成功)4.3.3 8J2(失败) 系统能刷完无法引导启动(可能由于固件结构不一样导致)正因为我发现了这点细节,所以我通过前无古人后无来者的自创方法既然成功降级 4.3.3,并能成功引导开机但是依然解决不了需要引导的问题,很多人问我要 4.3.3 的降级,但是我跟大家明说,我是不会放出来的,虽然降级固件我都做好了,但是我希望有人能解决引导这个大问题,这样 4.3.3 的降级才有意义。IPHONE4S5.0.1 9A406 (失败)因为密匙网站只有这个固件有密匙(刷机过程失败,未知错误 14)无法解决,无法引导估计是 A5 芯片没有绿雨漏洞关系导致六:总结关于不完美降级我们都知道是因为启动不对应导致开机白苹果的,如果能够解决,就能完美了。那么我总结的可完美的途径1.SHSH(解密 SHSH,我想很难办到,放弃)2.修改系统文件来满足启动引导,意思是把 5.1.1 的系统启动引导部分文件改成和 6.0.1 一样这涉及到代码部分,我是无法读

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 其它办公文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号