降级固件原理及制作方法

《降级固件原理及制作方法》由会员分享，可在线阅读，更多相关《降级固件原理及制作方法（17页珍藏版）》请在金锄头文库上搜索。

1、非专业术语，可能有错，请友情纠正，谢谢！【威锋首发】【luobo】降级固件原理及制作方法,关于大家的种种疑问,希望更多的人研究和完美降级声明：我此次放出教程是希望更多的人加入到降级研究中来。目录：1.固件组成2.SHSH组成3.固件解包4.制作固件（降级固件）5.刷机测试6.总结一：固件组成我们以固件iPhone3,1_5.1.1_9B208_Restore.ipsw为列我先用RAR打开这个固件可以看到固件包含：1.Firmware文件夹（基带和签名文件及DFU文件文件夹）2. 3个DMG加密映像（系统ROOT盘和恢复盘升级盘的映像）3.BuildManifest.plist（签名文件信息）4

2、. kernelcache.release.n90（未知）5.Restore.plist（刷机/升级/恢复信息）Firmware文件夹打开后可以看到有1.all_flash（签名文件文件夹）2.dfu（DFU模式文件）3.usr(未知)4.ICE3_04.12.01_BOOT_02.13.Release.bbfw（基带文件）all_flash文件夹打开后1.all_flash.n90ap.production文件夹all_flash.n90ap.production打开后里面全是经过加密的png图片（感谢Hackl0us大神指正）2.dfu文件夹打开后2个DFU模式文件这个是手机进DFU模式加

3、载到恢复模式和DFU模式的文件（不同版本，文件不一样）固件各文件介绍完毕我们主要研究是系统ROOT的DMG加密映像（固件里最大的那个DMG）二：SHSH组成SHSH是RSA加密的，想解密，以目前技术计算机需要不停运作64年。感谢Hackl0us大神的指正SHSH格式（大家可以看我先前的分析贴）SHSH中包含AppleLogoBatteryChargingBatteryCharging0BatteryCharging1BatteryFullBatteryLow0BatteryLow1BatteryPluginDeviceTreeKernelCacheLLBRecoveryModeRestoreD

4、eviceTreeRestoreKernelCacheRestoreLogoRestoreRamDiskiBECiBSSiBoot签名信息（不同固件的SHSH是不同的，签名条数也是不同，大家可以看到此条签名共19条）这里的签名信息和固件的签名文件是不是大同小异啊，呵呵！（这里我们没办法破译，只是让大家了解下）三：固件解包（重点）让我们回到图一大家可以看到3个不同的DMG映像而且大小是不一样的其中 有一个DMG最大038-5508-003.dmg约700多MB（不同版本固件里面的DMG名称都不一样）而038-5510-003.dmg038-5512-003.dmg这两个文件只有17MB左右这里需

5、要解包的就是最大的DMG，也是ROOT系统文件部分，也就是我说的ROOT系统盘。只需要KEY即可解密而后面两个小的DMG是用IMG3加密的和系统ROOT系统盘加密方式不一样。后面的两个小DMG需要IV和key同时解密，解密还需要用到MAC系统，因为WINDOWS上面还没有这种软件。所以我们暂时不谈小DMG解包（楼主没MAC系统，在自家AMD芯片电脑上折腾了一个星期才装上，而且进去了也不知道如何解包）回到前面的ROOT系统盘DMG，要解包之前，我们需要解包工具和密匙。现在我们用RAR解压出038-5508-003.dmg到桌面备用1.解包工具(貌似需要依赖cygwin环境)工具下载iDecryp

6、t fo windowsiDecrypt-v2-RC2解包工具.rar(997 K) 下载次数:5792.DMG文件浏览工具TransMac，其实可以在WINDOWS上打开DMG的软件很多，我是用的TransMac，因为它打开快下载地址 暂时百度搜索吧3.获取密匙国外密匙网站http:/ 9B208 (iPhone 4 GSM)From The iPhone WikiJump to: navigation, searchiOS 5.1.1 Build 9B208Codename HoodooDevice iPhone 4 (GSM)Root Filesystem (038-5508-003.d

7、mg) VFDecrypt Key: d5811298fa4bb88e0bb15c7d16abe69ee74666bd263db16b59eb64b98872de0f9438a56bUpdate Ramdisk (038-5510-003.dmg) IV: c0b678700323e061f8db905df800c87fKey: 08983059ac2197ff1e4ab3307c76207723489262e711d64b5871abc7d5f82d1fRestore Ramdisk (038-5512-003.dmg) IV: 4e1f7c7bbd422056d58c71ac09fb4f1

8、eKey: 6c8e84211adeee5f4118869d82c371237f589cf77ec12e89d58d08d7a41a8aca现在我们开始解包（退出所有的杀毒软件和安全卫士，不是有病毒，而是杀毒软件会破坏我们解包的完整性）打开软件iDecrypt.exe（win7请管理员方式运行）按图片操作打开需要解密的DMG选择刚才我们解压缩出的DMG确定选择保存的路径我这里选择桌面 保存在KEY粘贴入KEY密匙，点开始解密解密过程解密完成最后在桌面看到已经解密的DMG现在我们用TransMac打开解包的038-5508-003_decrypted.dmg可以看到我们越狱后一样的系统文件了如果

9、要对固件进行导出文件和添加自制固件DEB文件都可以在此操作（文件夹操作则不行）现在我们把解包后的038-5508-003_decrypted.dmg重命名为038-5508-003.dmg重新放回固件包覆盖原文件然后开始刷机，你会发现ITUNES 依然可以无错刷入。所以我们平时看到的自制固件里面最大的ROOT系统盘映像其实都是已经解包的，我们不需要在解包了，可以直接解压后用TransMac打开。比如我们现在要提取威锋论坛出品的5.1.1精简2.0固件里的hackl0us开发的Release Me Now 3.0插件这样我们就得到了a.deb就是 hackl0us大神的Release Me No

10、w 3.0插件我们也可以用同样的方法提取我们需要的系统文件（比如你误删了系统某个文件，就不用在论坛发帖求文件，自己解包丰衣足食，哈哈）四：制作固件（降级固件）我们利用解包固件可以再次刷的原理那我就想到了（不知道大家此时有没有想到？）如果我把6.0.1固件上的ROOT系统包删除，换上5.1.1ROOT系统包会不会也被刷进去呢？实验证明，的确是可以的。制作固件开始按照上面解包的原理，我们把刚才解包的038-5508-003_decrypted.dmg替换到iPhone3,1_6.0.1_10A523_Restore.ipsw中打开iPhone3,1_6.0.1_10A523_Restore.ips

11、w看到6.0.1的ROOT系统盘映像是038-7954-010.dmg那么我们把038-5508-003_decrypted.dmg重命名成038-7954-010.dmg重新通过RAR导入覆盖掉原文件iPhone3,1_6.0.1_10A523_Restore.ipsw就打包完成了现在一个降级固件就做好了，很多人问，这个固件是官方的吗？苹果公司不会这么做，也不可能放出。另一个大家比较关心的问题，就是说我是利用老方法用别人的SHSH来制作的，说他们早就会了。（那我问他们：你们锁屏不会无限DFU吗？），由于我是直接解包就封包，所以里面的系统文件我一个也没动。完全官方文件。（有的人怀疑是我加入了些

12、什么文件，才使不会锁屏无限DFU，其实根本我都没动过系统文件）现在你试试这个新制作出来的iPhone3,1_6.0.1_10A523_Restore.ipsw刷到手机看看，是不是和我的一样？是不是同样降级啦？是不是同样刷完就是白苹果无法开机啦？当初我降到此也很纳闷，为什么系统文件完整无缺写到ROOT盘，就是进不了系统呢？看来苹果还是很谨慎的，原来他们制作的每个系统ROOT启动方式都不一样，所以导致6.0.1BOOT无法启动5.1.1的系统这也就是白苹果的原因（在别的论坛据说有人改动降级后的系统文件，实现完美启动了系统，但是遗憾的是越狱却又丢失了。我去问他，对方暂时不采我。）既然白苹果了，系统也

13、完全写入手机了，那有别的办法让他启动吗？答案是可以的，我打开红雪红雪0.9.15b2中文版.exe中文版，加载原厂官方5.1.1（9B208）固件哇塞！成功降级了，会不会无限DFU呢？我于是马上锁屏，等了20分钟，按HOME，哇！亮了，解锁正常使用后来测试越狱/安装插件/安装软件/各项功能/长时间待机等既然和有SHSH完全一样，没有任何问题。就只是开机必须引导开机这一个问题解决不了。五：刷机测试我通过ITUNES刷机顺利完成，测试通过，后面又测试了爱思助手，苹果刷机助手，都无法刷过去，不知道是电脑问题还是固件问题。应该是修改了固件导致的。后来又想想其它机型可否同样的方法降级呢？后来测试了IPH

14、ONE4 （包含GSM和CDMA）5.1.1 9B206（成功）5.1.1 9B208（成功）5.0.1 9A405（成功）4.3.3 8J2(失败) 系统能刷完无法引导启动（可能由于固件结构不一样导致）正因为我发现了这点细节，所以我通过前无古人后无来者的自创方法既然成功降级4.3.3，并能成功引导开机但是依然解决不了需要引导的问题，很多人问我要4.3.3的降级，但是我跟大家明说，我是不会放出来的，虽然降级固件我都做好了，但是我希望有人能解决引导这个大问题，这样4.3.3的降级才有意义。IPHONE4S5.0.1 9A406 (失败)因为密匙网站只有这个固件有密匙（刷机过程失败，未知错误14）无法解决，无法引导估计是A5芯片没有绿雨漏洞关系导致六：总结关于不完美降级我们都知道是因为启动不对应导致开机白苹果的，如果能够解决，就能完美了。那么我总结的可完美的途径1.SHSH（解密SHSH，我想很难办到，放弃）2.修改系统文件来满足启动引导，意思是把5.1.1的系统启动引导部分文件改成和6.0.1一样这涉及到代码部分，我是无法读懂代码的，希望有能人通过这条思路进行修改3.解包其它DMG和IMG3文件（大家都知道国外密匙网不仅提供了系统ROOT盘的密匙，