注意，其它S912请勿刷入T1固件

kevin1610 · 发表于 2018-7-4 01:16

rain6510 发表于 2018-6-14 22:30
拆闪存直接上编程器就搞定了！

好象是不行的，我进BOOTLOADER后几乎所有命令都用过了，包括ERASE KEY，去掉KEY 保护，ERASE DTB,ERASE 各分区，即使EMMC里什么都没有，线刷仍然报ROMCODE错误。后来研究了一下SECURET BOOT技术，它是在SOC芯片里写上了加密标志，叫Efuse 区域，不在FLASH或EMMC里的。这个写入的加密标志而且是只能一次写入，无法再恢复，只能换SOC芯片。这个加密标志一旦在SOC的Efuse区写上后，SOC芯片初始化开始读取EMMC，没有SECRET_BOOT_SET密钥文件来做解密算法就会出错，不识别ROMCODE。
WEBPAD那个SECRET_BOOT_SET密钥文件应该是AML公司发行的，含有AML公司的公钥，盒子开发厂商们出钱就给一个认证密钥，所以我用了另一个固件下的SECRET_BOOT_SET密钥文件也能刷WEBPAD的3.3固件。
最近出的T1上刷 Linux 的第三方系统，并不需要SECRET_BOOT_SET密钥文件，这个方式应该是SECRET_BOOT的漏洞，我查到关于AML的SECRET_BOOT技术中，它的BOOT模式是三级BOOT，其中一二级BOOT都需要密钥解密算法认证后才能访问安全区域，但第三级BOOT即进入LINIX内核时可以改写初始化代码绕过安全认证。所以，利用这个漏洞，LINUX高手们可以启动其它LINUX系统，LIBREELEC当然也是可以的，最终启动其它安卓固件也是可行的。这个AML的SECRET_BOOT的安全技术也就成了个摆设。当然，下一版AML肯定会想办法补这个漏洞。但我的H7四代却是破处后就再也恢复不了原样了，只能在SECRET_BOOT里的固件里生活了。
坑人啊…………

bryanhk · 发表于 2018-8-28 10:27

kevin1610 发表于 2018-7-4 01:16
好象是不行的，我进BOOTLOADER后几乎所有命令都用过了，包括ERASE KEY，去掉KEY 保护，ERASE DTB,ERASE ...

想问, 拥有SECRET_BOOT的AML_s912固件, 才可刷入T1
其它没有的, 就要把T1的BootLoader及Recovery移植过去, 才可刷入...对吗??

胡国良 · 发表于 2018-12-3 15:57

谢谢分享

aatest123 · 发表于 2018-12-9 01:47

咸鱼捡了个t1

才发现有 Secure BOOT
研究了一下，两个办法：
1. 和armbian一样，不使用android boot image格式，使用独立的 zImage initrd 和dtb，绕过uboot里的校验
2. uboot chain load
编译一个禁用了secureboot的uboot，先使用带secureboot的 uboot来启动这个uboot
再用这个无secureboot的uboot来做通常的引导和启动

szkifen · 发表于 2019-1-23 02:44

楼主解决没，找修手机的换MMC芯片刷第三方白纸固件就解决啦~几十块钱解决

mr_maxking · 发表于 2019-2-13 03:18

我的盒子也是secure boot, 它把, bootloader.img,boot.img, recovery.img全加密了，在emmc上也是密文，运行时才解密，想抽取有用的代码都不行. 请问有什么好的思路对付这个？我只想拿到解密后的文件

bryanhk · 发表于 2019-3-7 14:51

aatest123 发表于 2018-12-9 01:47
咸鱼捡了个t1

才发现有 Secure BOOT

謝謝旨引...只可惜能力有限..嗚嗚

bryanhk · 发表于 2019-3-7 14:53

szkifen 发表于 2019-1-23 02:44
楼主解决没，找修手机的换MMC芯片刷第三方白纸固件就解决啦~几十块钱解决

深圳, 華強有嗎??

kaifan2009 · 发表于 2020-3-22 21:50

666666666

wushuanga · 发表于 2020-5-13 23:23

看了此贴，把我手头老的汇士宝刷了个新的固件，真是开心，可以用。

› 智能电视盒 / 安卓TV机顶盒区 › 斐讯盒子

注意，其它S912请勿刷入T1固件

注意，其它S912请勿刷入T1固件