rain6510 发表于 2018-6-14 22:30
拆闪存直接上编程器就搞定了!
好象是不行的,我进BOOTLOADER后几乎所有命令都用过了,包括ERASE KEY,去掉KEY 保护,ERASE DTB,ERASE 各分区,即使EMMC里什么都没有,线刷仍然报ROMCODE错误。后来研究了一下SECURET BOOT技术,它是在SOC芯片里写上了加密标志,叫Efuse 区域,不在FLASH或EMMC里的。这个写入的加密标志而且是只能一次写入,无法再恢复,只能换SOC芯片。这个加密标志一旦在SOC的Efuse区写上后,SOC芯片初始化开始读取EMMC,没有SECRET_BOOT_SET密钥文件来做解密算法就会出错,不识别ROMCODE。
WEBPAD那个SECRET_BOOT_SET密钥文件应该是AML公司发行的,含有AML公司的公钥,盒子开发厂商们出钱就给一个认证密钥,所以我用了另一个固件下的SECRET_BOOT_SET密钥文件也能刷WEBPAD的3.3固件。
最近出的T1上刷 Linux 的第三方系统,并不需要SECRET_BOOT_SET密钥文件,这个方式应该是SECRET_BOOT的漏洞,我查到关于AML的SECRET_BOOT技术中,它的BOOT模式是三级BOOT,其中一二级BOOT都需要密钥解密算法认证后才能访问安全区域,但第三级BOOT即进入LINIX内核时可以改写初始化代码绕过安全认证。所以,利用这个漏洞,LINUX高手们可以启动其它LINUX系统,LIBREELEC当然也是可以的,最终启动其它安卓固件也是可行的。这个AML的SECRET_BOOT的安全技术也就成了个摆设。当然,下一版AML肯定会想办法补这个漏洞。但我的H7四代却是破处后就再也恢复不了原样了,只能在SECRET_BOOT里的固件里生活了。
坑人啊…………
kevin1610 发表于 2018-7-4 01:16
好象是不行的,我进BOOTLOADER后几乎所有命令都用过了,包括ERASE KEY,去掉KEY 保护,ERASE DTB,ERASE...
想问, 拥有SECRET_BOOT的AML_s912固件, 才可刷入T1
其它没有的, 就要把T1的BootLoader及Recovery移植过去, 才可刷入...对吗??
谢谢分享
咸鱼捡了个t1
才发现有 Secure BOOT
研究了一下,两个办法:
1. 和armbian一样, 不使用android boot image格式,使用独立的 zImage initrd 和dtb,绕过uboot里的校验
2. uboot chain load
编译一个禁用了secureboot的uboot,先使用带secureboot的 uboot来 启动这个uboot
再用这个无secureboot的uboot来做通常的引导和启动
楼主解决没,找修手机的换MMC芯片刷第三方白纸固件就解决啦~几十块钱解决
我的盒子也是secure boot, 它把, bootloader.img,boot.img,recovery.img全加密了,在emmc上也是密文,运行时才解密,想抽取有用的代码都不行. 请问有什么好的思路对付这个?我只想拿到解密后的文件
aatest123 发表于 2018-12-9 01:47
咸鱼捡了个t1
才发现有 Secure BOOT
謝謝旨引...只可惜能力有限..嗚嗚
szkifen 发表于 2019-1-23 02:44
楼主解决没,找修手机的换MMC芯片刷第三方白纸固件就解决啦~几十块钱解决
深圳, 華強有嗎??
666666666
看了此贴,把我手头老的汇士宝刷了个新的固件,真是开心,可以用。
