降级固件原理及制作方法Word文件下载.docx
《降级固件原理及制作方法Word文件下载.docx》由会员分享,可在线阅读,更多相关《降级固件原理及制作方法Word文件下载.docx(20页珍藏版)》请在冰点文库上搜索。
5.Restore.plist(刷机/升级/恢复信息)
Firmware文件夹打开后
可以看到有
1.all_flash(签名文件文件夹)
2.dfu(DFU模式文件)
3.usr(未知)
4.ICE3_04.12.01_BOOT_02.13.Release.bbfw(基带文件)
其实大家看固件是什么基带就看这个文件,大家可以看到5.1.1(9B208)的基带是04.12.01
all_flash文件夹打开后
1.all_flash.n90ap.production文件夹
all_flash.n90ap.production打开后
里面全是经过α加密的png图片(感谢Hackl0us大神指正)
2.dfu文件夹打开后
2个DFU模式文件
这个是手机进DFU模式加载到恢复模式和DFU模式的文件(不同版本,文件不一样)
固件各文件介绍完毕
我们主要研究是系统ROOT的DMG加密映像(固件里最大的那个DMG)
二:
SHSH组成
SHSH是RSA加密的,想解密,以目前技术计算机需要不停运作64年。
感谢Hackl0us大神的指正
SHSH格式(大家可以看我先前的分析贴)
SHSH中包含
AppleLogo
BatteryCharging
BatteryCharging0
BatteryCharging1
BatteryFull
BatteryLow0
BatteryLow1
BatteryPlugin
DeviceTree
KernelCache
LLB
RecoveryMode
RestoreDeviceTree
RestoreKernel
CacheRestoreLogo
RestoreRamDisk
iBEC
iBSS
iBoot
签名信息(不同固件的SHSH是不同的,签名条数也是不同,大家可以看到此条签名共19条)
这里的签名信息和固件的签名文件是不是大同小异啊,呵呵!
(这里我们没办法破译,只是让大家了解下)
三:
固件解包(重点)
让我们回到图一
大家可以看到3个不同的DMG映像
而且大小是不一样的
其中有一个DMG最大
038-5508-003.dmg约700多MB(不同版本固件里面的DMG名称都不一样)
而
038-5510-003.dmg
038-5512-003.dmg
这两个文件只有17MB左右
这里需要解包的就是最大的DMG,也是ROOT系统文件部分,也就是我说的ROOT系统盘。
只需要KEY即可解密
而后面两个小的DMG是用IMG3加密的和系统ROOT系统盘加密方式不一样。
后面的两个小DMG需要IV和key同时解密,解密还需要用到MAC系统,因为WINDOWS上面还没有这种软件。
所以我们暂时不谈小DMG解包(楼主没MAC系统,在自家AMD芯片电脑上折腾了一个星期才装上,而且进去了也不知道如何解包)
回到前面的ROOT系统盘DMG,要解包之前,我们需要解包工具和密匙。
现在我们用RAR解压出038-5508-003.dmg到桌面备用
1.解包工具(貌似需要依赖cygwin环境)
工具下载iDecryptfowindows
iDecrypt-v2-RC2解包工具.rar
(997K)下载次数:
579
2.DMG文件浏览工具TransMac,其实可以在WINDOWS上打开DMG的软件很多,我是用的TransMac,因为它打开快
下载地址暂时XX搜索吧
3.获取密匙
国外密匙网站
我们打开国外密匙网站得到固件iPhone3,1_5.1.1_9B208_Restore.ipsw
相关密匙是:
Hoodoo9B208(iPhone4GSM)FromTheiPhoneWiki
Jumpto:
navigation,search
iOS5.1.1Build9B208
CodenameHoodoo
DeviceiPhone4(GSM)
Baseband04.12.01
iPhone3,1_5.1.1_9B208_Restore.ipsw
RootFilesystem(038-5508-003.dmg)VFDecryptKey:
d5811298fa4bb88e0bb15c7d16abe69ee74666bd263db16b59eb64b98872de0f9438a56b
UpdateRamdisk(038-5510-003.dmg)IV:
c0b678700323e061f8db905df800c87f
Key:
08983059ac2197ff1e4ab3307c76207723489262e711d64b5871abc7d5f82d1f
RestoreRamdisk(038-5512-003.dmg)IV:
4e1f7c7bbd422056d58c71ac09fb4f1e
6c8e84211adeee5f4118869d82c371237f589cf77ec12e89d58d08d7a41a8aca
现在我们开始解包(退出所有的杀毒软件和安全卫士,不是有病毒,而是杀毒软件会破坏我们解包的完整性)
打开软件iDecrypt.exe(win7请管理员方式运行)
按图片操作
打开需要解密的DMG
选择刚才我们解压缩出的DMG
确定
选择保存的路径
我这里选择桌面保存
在KEY粘贴入KEY密匙,点开始解密
解密过程
解密完成
最后在桌面看到已经解密的DMG
现在我们用TransMac打开解包的038-5508-003_decrypted.dmg
可以看到我们越狱后一样的系统文件了
如果要对固件进行导出文件和添加自制固件DEB文件都可以在此操作(文件夹操作则不行)
现在我们把解包后的038-5508-003_decrypted.dmg重命名为038-5508-003.dmg
重新放回固件包覆盖原文件
然后开始刷机,你会发现ITUNES依然可以无错刷入。
所以我们平时看到的自制固件里面最大的ROOT系统盘映像
其实都是已经解包的,我们不需要在解包了,可以直接解压后用TransMac打开。
比如我们现在要提取威锋论坛出品的5.1.1精简2.0固件里的hackl0us开发的ReleaseMeNow3.0插件
这样我们就得到了a.deb就是
hackl0us大神的ReleaseMeNow3.0插件
我们也可以用同样的方法提取我们需要的系统文件(比如你误删了系统某个文件,就不用在论坛发帖求文件,自己解包丰衣足食,哈哈)
四:
制作固件(降级固件)
我们利用解包固件可以再次刷的原理
那我就想到了(不知道大家此时有没有想到?
)
如果我把6.0.1固件上的ROOT系统包删除,换上5.1.1ROOT系统包会不会也被刷进去呢?
实验证明,的确是可以的。
制作固件开始
按照上面解包的原理,我们把刚才解包的038-5508-003_decrypted.dmg
替换到iPhone3,1_6.0.1_10A523_Restore.ipsw中
打开iPhone3,1_6.0.1_10A523_Restore.ipsw看到6.0.1的ROOT系统盘映像是038-7954-010.dmg
那么我们把038-5508-003_decrypted.dmg重命名成038-7954-010.dmg
重新通过RAR导入覆盖掉原文件
iPhone3,1_6.0.1_10A523_Restore.ipsw就打包完成了
现在一个降级固件就做好了,很多人问,这个固件是官方的吗?
苹果公司不会这么做,也不可能放出。
另一个大家比较关心的问题,就是说我是利用老方法用别人的SHSH来制作的,说他们早就会了。
(那我问他们:
你们锁屏不会无限DFU吗?
),由于我是直接解包就封包,所以里面的系统文件我一个也没动。
完全官方文件。
(有的人怀疑是我加入了些什么文件,才使不会锁屏无限DFU,其实根本我都没动过系统文件)
现在你试试这个新制作出来的iPhone3,1_6.0.1_10A523_Restore.ipsw刷到手机看看,是不是和我的一样?
是不是同样降级啦?
是不是同样刷完就是白苹果无法开机啦?
当初我降到此也很纳闷,为什么系统文件完整无缺写到ROOT盘,就是进不了系统呢?
看来苹果还是很谨慎的,原来他们制作的每个系统ROOT启动方式都不一样,所以导致6.0.1BOOT无法启动5.1.1的系统
这也就是白苹果的原因
(在别的论坛据说有人改动降级后的系统文件,实现完美启动了系统,但是遗憾的是越狱却又丢失了。
我去问他,对方暂时不采我。
既然白苹果了,系统也完全写入手机了,那有别的办法让他启动吗?
答案是可以的,我打开红雪红雪0.9.15b2中文版.exe中文版,加载原厂官方5.1.1(9B208)固件
然后引导-稍等2分钟,既然奇迹般的进系统了,于是赶快激活,打开系统信息查看,哇!
5.1.1
哇塞!
成功降级了,会不会无限DFU呢?
我于是马上锁屏,等了20分钟,按HOME,哇!
亮了,解锁正常使用
后来测试越狱/安装插件/安装软件/各项功能/长时间待机等既然和有SHSH完全一样,没有任何问题。
就只是开机必须引导开机这一个问题解决不了。
五:
刷机测试
我通过ITUNES刷机顺利完成,测试通过,后面又测试了爱思助手,苹果刷机助手,都无法刷过去,不知道是电脑问题还是固件问题。
应该是修改了固件导致的。
后来又想想其它机型可否同样的方法降级呢?
后来测试了
IPHONE4(包含GSM和CDMA)
5.1.19B206(成功)
5.1.19B208(成功)
5.0.19A405(成功)
4.3.38J2(失败)系统能刷完无法引导启动(可能由于固件结构不一样导致)
正因为我发现了这点细节,所以我通过前无古人后无来者的自创方法既然成功降级4.3.3,并能成功引导开机
但是依然解决不了需要引导的问题,很多人问我要4.3.3的降级,但是我跟大家明说,我是不会放出来的,虽然降级固件我都做好了,但是我希望有人能解决引导这个大问题,这样4.3.3的降级才有意义。
IPHONE4S
5.0.19A406(失败)因为密匙网站只有这个固件有密匙(刷机过程失败,未知错误14)无法解决,无法引导
估计是A5芯片没有绿雨漏洞关系导致
六:
总结
关于不完美降级我们都知道是因为启动不对应导致开机白苹果的,如果能够解决,就能完美了。
那么我总结的可完美的途径
1.SHSH(解密SHSH,我想很难办到,放弃)
2.修改系统文件来满足启动引导,意思是把5.1.1的系统启动引导部分文件改成和6.0.1一样
这涉及到代码部分,我是无法读懂代码的,希望有能人通过这条思路进行修改
3.解包其它DMG和IMG3文件(大家都知道国外密匙网不仅提供了系统ROOT盘的密匙,而且还提供了其它文件的密匙
那么我们能否解开其它文件,来寻找出启动文件的代码,把它修改成5.1.1的启动方式达到完美的目的呢?
希望有人通过解包固件其它文件找到突破口
4.这个说简单也简单,说难也难。
就是把红雪引导启动的文件写入系统中
因为已经越狱,对于权限已经获得,然后把红雪引导开机写入系统启动项,让开机就完成引导文件的形成
然后凡是关机后,开机就自动执行引导开机,哪怕让我等5分钟才能开机,也是值得的,你们说不是吗?
好了,就这些,就写到这儿。
最后,如果你研究出什么,请不要吝啬哦,和我们一起分享吧
有问题或者疑问可以论坛短信我
【完】
升级会员 