解密iPhone的固件

前阵子一个朋友开了一个iPhone有关的Wiki,闲暇之余帮忙弄了不少资料上去,也把自己很久以前写的一篇文章重新整理后发上去了。刚开了CSDN博客,不能让它空着,就把那篇文章在这里发一下吧。

这篇文章将讨论关于 .ipsw 文件中各类文件的解密方法。

准备工具

  • Cygwin(运行vfdecrypt及其它Linux工具所需环境,如果您只需使用vfdecrypt也可点此下载所需文件置于vfdecrypt所在目录。)
  • VFDecrypt(用于解密主文件系统的工具。)
  • img3decrypt(用于解密 img3 文件。)
  • WinRAR(或其它任何可以解压ZIP压缩包的工具。)
  • HFSExplorer(需要Java运行环境,也可使用收费的PowerISO和其它任何可以解压dmg镜像的工具替代。)

注意事项

从3.1版本开始,苹果改为在Snow Leopard平台下进行封装固件,由于Snow Leopard新的文件管理机制导致在所有非Snow Leopard平台中(比如Leopard或Windows)打开dmg文件后某些类型的文件(比如所有*.lproj目录中的*.strings文件)会显示0字节大小并且文件内容为空。这是由于Snow Leopard把这些文件的内容存放在了资源分支(Resource fork)中,在Leopard及更早版本的Mac OS X平台下虽然无法读取但文件内容仍然存在,但是在Windows中这些文件的内容会连同整个资源分支被丢弃。目前尚未有有效的方法能够解决此问题。

了解 IPSW 文件

文件说明

IPSW文件,也就是升级iPhone/iPod touch时所使用的固件安装包,使用的是ZIP压缩算法,可以直接使用WinRAR等工具打开。

以iPod touch第一代2.2.1固件为例,打开以后可以看见内有如下文件:

  • .fseventsd(目录)
  • Firmware(目录)
  • 018-4437-16.dmg
  • 018-4443-16.dmg
  • 018-4490-10.dmg
  • kernelcache.release.s5l8900x
  • Restore.plist

(3.x多了一个BuildManifesto.plist文件,不过我们不需要用到。)

其中,Firmware目录存放着刷新固件时用于引导设备的核心文件,这里暂时不需要用到;另外三个*.dmg文件则是iPhone/iPod touch的系统镜像。

Restore.plist文件描述了各个文件的用途。使用记事本等文本编辑器即可打开。其中包含了如下内容:

RestoreRamDisks

        Update
        018-4437-16.dmg
        User
        018-4443-16.dmg

从中可以知道,018-4437-16.dmg是“升级内存盘”(Update Ramdisk),018-4443-16.dmg是“恢复内存盘”(Restore Ramdisk),使用iTunes“升级”固件时实际上是让设备启动并加载018-4437-16.dmg,而“恢复”固件时启动的则是018-4443-16.dmg。如果要自行提取 VFDecrypt 密匙的话,就要从恢复内存盘里提取。

继续往下,会看到这一段:

SystemRestoreImages

        User
        018-4490-10.dmg

这段内容表示,刷新固件时往机器上写入的“系统内存盘”(System Ramdisk)为018-4490-10.dmg,一般也是占整个固件体积最多的文件,因为里面包含iPhone/iPod Touch的文件系统。也就是说,提取文件系统就是提取这个文件的内容。

可能有人会问,为什么要特别说明Restore.plist里的内容呢?回答是,因为这三个dmg镜像的文件名不是固定的,不同版本的文件名不一样,所以要自己看Restore.plist来了解每一个文件是干什么的。

加密算法

系统内存盘 (System Ramdisk) 是 IPSW 文件中最大的文件(大约200MB),每个设备型号对应一个 VFDecrypt 密匙。解密这个文件需要用到VFDecrypt工具,这就是本文主要讨论的。

升级内存盘 (Update Ramdisk) 和恢复内存盘 (Restore Ramdisk) 以及其他文件使用被称作 img3 的算法加密。加密密匙对应设备处理器,每种类型的处理器对应一对IV和KEY密匙。请使用img3decrypt来解密这类文件。

要获取解密这两类文件的密匙,请参阅 VFDecrypt 密匙 页面,或从 PwnageTool 的 *.plist 文件中获取。

解密 img3 文件

需要用到 img3decrypt

解密需要用到的KEY和IV密匙请在这里获取:VFDecrypt 密匙

解密命令:

img3decrypt.exe <输入文件> <输出文件> [-k ] [-iv ]

如果不给出 KEY 和 IV 参数,则工具会输出 KBAG 数据。如果您愿意,可以使用 iPhone/iPod Touch 上的硬件 AES 引擎从这些有限的 KBAG 数据中计算出 KEY 和 IV。如果您成功这么做,欢迎把您计算并验证过的 KEY 和 IV 添加到VFDecrypt 密匙页面供大家使用。

关于 img3decrypt 工具的更多功能及使用方法,请移步 http://code.google.com/p/img3decrypt/

解密系统内存盘

需要用到 vfdecrypt

解密需要用到的密匙请在这里获取:VFDecrypt 密匙。在3.x固件中,您也可以使用 GenPass 从已解密的恢复内存盘提取出密匙。

在本例中我们使用的密匙是 ee4eeeb62240c1378c739696dff9fef2c88834e98877f55a29c147e7d5b137967197392a

如果您在 Cygwin 环境中操作

  1. 把下载下来的文件解压得到vfdecrypt.exe,放到C:/Cygwin/bin目录中(假设Cygwin安装在C:/Cygwin,下同)。
  2. 使用 WinRAR 打开 .ipsw 文件,从中解压出系统内存盘(以2.2.1为例,文件名为018-4490-10.dmg),放到C:/Cygwin/home/【您的用户名】
  3. 启动 Cygwin,敲入以下命令:
vfdecrypt -i 018-4490-10.dmg -o 018-4490-10-decrypted.dmg -k ee4eeeb62240c1378c739696dff9fef2c88834e98877f55a29c147e7d5b137967197392a

稍等片刻,便能在C:/Cygwin/home中看到解密后的文件 018-4490-10-decrypted.dmg。使用 HFSExplorer 打开即可。

如果您没有或不想安装 Cygwin

  1. 在您喜欢的地方新建一个文件夹。
  2. 把vfdecrypt.exe解压到这个文件夹中,同样地把本文开头所说的运行库(点此下载)也一并解压到这个文件夹中。
  3. 使用 WinRAR 打开 .ipsw 文件,从中解压出系统内存盘,同样放到这个文件夹中。
  4. 在“开始”菜单中点击“运行”,输入“cmd”并回车,打开命令提示符窗口,并定位到刚才建立的文件夹
  5. 敲入以下命令:
vfdecrypt -i 018-4490-10.dmg -o 018-4490-10-decrypted.dmg -k ee4eeeb62240c1378c739696dff9fef2c88834e98877f55a29c147e7d5b137967197392a

稍等片刻,便能在该文件夹中看到已经解密的 018-4490-10-decrypted.dmg。使用 HFSExplorer 打开即可。

使用 GenPass 从已解密的恢复内存盘提取 VFDecrypt 密匙

除了到VFDecrypt 密匙页面查阅已知的 VFDecrypt 密匙外,您也可以自己使用 GenPass 从已解密的恢复内存盘中计算出 VFDecrypt 密匙。如果您成功这么做,欢迎把您计算并验证过的密匙添加到VFDecrypt 密匙页面供大家使用。

下载源代码并编译 GenPass

  • 从 http://code.google.com/p/chronicdev/wiki/GenPass 下载 GenPass 的源代码,保存为 GenPass.c 放置于C:/Cygwin/home/【您的用户名】中。
  • 启动 Cygwin,敲入以下命令编译 GenPass 并复制到系统目录:
gcc GenPass.c -lcrypto -o GenPass
cp ./GenPass.exe /bin

使用 GenPass 计算密匙

解密命令:

GenPass.exe <平台类型> <恢复内存盘> <系统内存盘>

其中“平台类型”与设备所使用处理器类型有关,比如 iPod touch 1G 为 s5l8900x,要知道自己的设备的平台类型,请使用 WinRAR 打开您所使用的设备的 .ipsw 固件文件,从中找到一个约4M的文件名类似于“kernelcache.release.s5l8900x”的文件,其中最后一个“.”号后面的即为“平台类型”

你可能感兴趣的:(iPhone)