[降级固件原理及制作方法.docxVIP

非专业术语，可能有错，请友情纠正，谢谢！【威锋首发】【luobo】降级固件原理及制作方法,关于大家的种种疑问,希望更多的人研究和完美降级声明：我此次放出教程是希望更多的人加入到降级研究中来。目录：1.固件组成2.SHSH组成3.固件解包4.制作固件（降级固件）5.刷机测试6.总结一：固件组成我们以固件iPhone3,1_5.1.1_9B208_Restore.ipsw为列我先用RAR打开这个固件可以看到固件包含：1.Firmware文件夹（基带和签名文件及DFU文件文件夹）2. 3个DMG加密映像（系统ROOT盘和恢复盘升级盘的映像）3.BuildManifest.plist（签名文件信息）4. kernelcache.release.n90（未知）5.Restore.plist（刷机/升级/恢复信息）Firmware文件夹打开后?可以看到有1.all_flash（签名文件文件夹）2.dfu（DFU模式文件）3.usr(未知)4.ICE3_04.12.01_BOOT_02.13.Release.bbfw（基带文件）其实大家看固件是什么基带就看这个文件，大家可以看到5.1.1（9B208）的基带是04.12.01all_flash文件夹打开后1.all_duction文件夹all_duction打开后里面全是经过α加密的png图片（感谢Hackl0us大神指正）2.dfu文件夹打开后2个DFU模式文件这个是手机进DFU模式加载到恢复模式和DFU模式的文件（不同版本，文件不一样）固件各文件介绍完毕我们主要研究是系统ROOT的DMG加密映像（固件里最大的那个DMG）二：SHSH组成SHSH是RSA加密的，想解密，以目前技术计算机需要不停运作64年。?感谢Hackl0us大神的指正SHSH格式（大家可以看我先前的分析贴）/read-htm-tid-5052496.html \t _blank/read-htm-tid-5052496.htmlSHSH中包含AppleLogoBatteryChargingBatteryCharging0BatteryCharging1BatteryFullBatteryLow0BatteryLow1BatteryPluginDeviceTreeKernelCacheLLBRecoveryModeRestoreDeviceTreeRestoreKernelCacheRestoreLogoRestoreRamDiskiBECiBSSiBoot签名信息（不同固件的SHSH是不同的，签名条数也是不同，大家可以看到此条签名共19条）这里的签名信息和固件的签名文件是不是大同小异啊，呵呵！（这里我们没办法破译，只是让大家了解下）三：固件解包（重点）让我们回到图一??大家可以看到3个不同的DMG映像而且大小是不一样的其中 有一个DMG最大038-5508-003.dmg约700多MB（不同版本固件里面的DMG名称都不一样）而038-5510-003.dmg038-5512-003.dmg这两个文件只有17MB左右这里需要解包的就是最大的DMG，也是ROOT系统文件部分，也就是我说的ROOT系统盘。只需要KEY即可解密而后面两个小的DMG是用IMG3加密的和系统ROOT系统盘加密方式不一样。后面的两个小DMG需要IV和key同时解密，解密还需要用到MAC系统，因为WINDOWS上面还没有这种软件。所以我们暂时不谈小DMG解包（楼主没MAC系统，在自家AMD芯片电脑上折腾了一个星期才装上，而且进去了也不知道如何解包）回到前面的ROOT系统盘DMG，要解包之前，我们需要解包工具和密匙。现在我们用RAR解压出038-5508-003.dmg到桌面备用?1.解包工具(貌似需要依赖cygwin环境)工具下载iDecrypt fo windows?/job.php?action=downloadaid=4227070iDecrypt-v2-RC2解包工具.rar?(997 K) 下载次数:579?2.DMG文件浏览工具TransMac，其实可以在WINDOWS上打开DMG的软件很多，我是用的TransMac，因为它打开快下载地址 暂时百度搜索吧3.获取密匙国外密匙网站/wiki/index.php?title=VFDecrypt_Keys \t _blank/wiki/index.php?title=VFDecrypt_Keys我们打开国外密匙网站得到固件iPhone3,1_5.1.1_9B208_Restore.ipsw相关密匙是：Hoodoo 9B208 (iPhone 4 GSM)From The iPhone WikiJump to: navigation, search?iOS 5.1.1 Build 9B208?Code