2007/08/24 | [图文]iPhone硬件拆机解锁方法 十步!
类别(网络风) | 评论(0) | 阅读(118) | 发表于 11:42

来自cnbeta

cnBeta&WeiPhone 独家联合首发:
Gethot周六要开学了,所以准备提前先公布一下拆机破解的方法,js同志们可以重点学习一下...用家就看看吧,,拆机还是有风险地...捡关键的翻一下,详细的请看原文.
美国东部时间8点开始全程直播,北京时间晚上8点.

————————————————————1————————————————————
--First, an iPhone. Of the sshed and jailbroken variety. Also, kill commcenter by moving the LaunchDaemon plist out of the directory.
激活的iphone,开启了ssh,移走launchDaemon.plist

--Some trusty case opener tools(read: guitar picks) Read one of the many tutorials available online for taking apart your phone.
拆开iphone的工具
--A soldering iron. This should've cost you more than $ 10.
应该是锡焊吧
--Fine pitch wire. I used magnet wire salvaged from a little motor.
线头。
--An unlock switch. The bigger and more badass, the better. Or if you are cheap, wire cutters :-)
开关?
--A red bull. This requires concentration, something I don't have without Red Bull.
提神用的红牛。呵呵



————————————————————2————————————————————

这个方法跟破解使用s-gold2的simens手机差不多. s-gold2有一个bootrom可以下载一些未签名的代码.如果当前内存地址是空的话,这些代码可以运行,使用一个硬件的技巧(?)稍后解释,可以让flash地址变空,当未签名的代码运行时,可以将编辑过的firmware下载到nor内存,躲过了签名验证.一旦这些代码在nor,破解就有可能了.



————————————————————第1步————————————————————


拆掉背部的黑块,三个螺丝和铝壳.其它的不动.

————————————————————第2步————————————————————

移掉主板上的金属盖. 如果不放心的话,拆掉电池...

————————————————————第3步————————————————————


红线盖着的是a17,刮掉这条,焊一条线在上面,,,然后焊一条线在1.8v这条线上,连接两条线到开关,,要非常 小心,这是最难的一步,,,只有一次机会...

我的理解是这样的,不知道有没有偏差,请仔细阅读.



————————————————————第4步————————————————————



用万用表测一下,保证两条线没有短路,接地或连在一起.开关在关的位置.打开iphone,希望没有冒烟. Now go into minicom totty.baseband and send a few commands, AT a few times will do. It shouldrespond OK.(应该是用下面的minicom),打开开关,baseband停止工作.关掉开关,baseband仍不工作,保持开关为关,打开ssh,运行bbupdate -v.这会重启baseband,minicom又开始工作,如果是这样的话,说明你的焊接正常.可以开始下一步了.



————————————————————第5步————————————————————

如果通过了第四步的检查.连上usb,iphone会自己加电开机.下载minicom 和termcap.

————————————————————第6步————————————————————

保持开关为关,baseband应该工作正常,用nordumper下载nor备份,以防万一.稍后可以下载firmware.

————————————————————第7步————————————————————
鼓励一下.

下面开始软件解锁



第一个工具iEraser.这个工具擦除当前modem的firmware.不用担心,你可以随时用bbupdater恢复.下面是bootrom工作原理: bootrom读取oxa0000030,0xA000A5A0 0xA0015C58 0xA0017370,所有这些地址必须为空或0xFFFFFFFF.当擦除flash,会变为0xFFFFFFFF,但不能擦除这些地址,因为它们位于bootloader.PullingA17 high hardware OR's the address bus with 0x00040000(offset onebecause data bus is 16 bit) So the bootrom instead checks locations0xA0040030 0xA004A5A0 0xA0045C58 0xA0047370, which are in the mainfirmware and can be erased. Pretty genius :)一个小技巧,没搞明白.
检查modem版本.从iphone的设置-关于,应该是3.12(1.0)或3.14(1.0.1and 1.0.2).进到/usr/local/standalone/firmware得到ICE*.fls文件, 解出0x1a4-0x9a4,保存一个叫specpack的文件,放到和iEraser 一个目录.运行iEraser,这一步会擦掉modem的firmware.差一步就可以解锁了.

————————————————————第8步————————————————————
Now its time to patch the firmware. Thanks to gray for finding thesepatches, this required some very complicated reversing. First, you needto extract the firmware from your nor dump. The range you need is0x20000-0x304000. Save this file as "nor". The patches you need toapply are as follows. These are offsets from the begininning of thefile to saved as "nor". Choose your version, and patch.
3.12: (213740): 04 00 a0 e1 -> 00 00 a0 e3
3.14: (215148): 04 00 a0 e1 -> 00 00 a0 e3
Resave the file nor, you'll need it soon...

从nor dump中分离出firmware.范围从0x20000-0x304000.保存为nor 不同版本如下:
3.12: (213740): 04 00 a0 e1 -> 00 00 a0 e3
3.14: (215148): 04 00 a0 e1 -> 00 00 a0 e3
重新保存.

————————————————————第9步————————————————————

最后一个工具iUnlocker,将上传一个小程序testcode.bb. 这个程序应该和上一步的nor文件在一个目录,运行程序时应打开开关,这将下载并运行testcode.bb, 然后程序会停下来要示关掉开关,照做.输入任何字符,打回车.nor下载(?应该是上传?)开始,当计数器到oxwE4000,就完成了.运行bbupdater -v.但愿会返回xgendata.如果这样的话,表示nor上传成功.

————————————————————第10步————————————————————

 

用minicom联到 /dev/tty.baseband.运行'AT+CLCK="PN",0,"00000000".解锁.
运行'AT+CLCK="PN",2',应该返回0.
好了,iphone已经解开.退出minicom,拷贝commcenter plist到原来的位置.
重启.iASign.大功告成.


____________________________________总结_____________________________________

必备条件ssh正常工作.否则后面的工作没法进行.
一定的焊接技术...心细..

--------------------------
本文章的一切內容,由本人撰寫翻译的,一律以 姓名標示-非商業性-相同方式分享 2.5 (Attribution-NonCommercial-ShareAlike 2.5 ) 方式分享。
本文章如需转载,请以站内短讯的方式通知发布人,并注明“来源于weiphone.com”
本文中文版权:www.weiphone.com by Laoren

gethot的网站被功夫了。
中英对照  http://www.weiphone.com/thread-5276-1-1.html

0

评论Comments

日志分类
首页[930]
日记里[65]
网络风[752]
音乐香[16]
学习中[2]
其他类[95]