官方recovery签名验证的破解教程
2014-11-22 21:53
85 查看
下面讲如何破解官方recovery签名验证(这个方法应该是通用的,其他手机可以参考,recovery签名验证破解了,也不用费力编译第三方recovery)
1、从官方ROM里提取recovery.img
2、把recovery.img解出来。。。具体方法可以看沙发。。。我单独拎出来。。。。
3、sbin/recovery 这个二进制执行文件,拷贝到windowsxp里
4、windowsxp安装ida64plus这个软件,这是个反编译软件,我网盘里有一个试用版,功能有限制,这个版本能反编译,但不能保存数据,所以我找到具体改的地方后,再用UltraEdit软件去改的。如果谁有ida64plus这个软件功能不受限制的,请共享下。。。。好东西不要自己留着哦。。。。。
5、用ida64plus这个软件,打开recovery二进制文件,选择ARM cpu,他自动反汇编出所有函数。
6、反汇编成功后,系统问你是否看图形模式,回答no,进文本模式,然后搜索文本sign,系统会直接找到签名验证出错的那段代码那里
7、仔细阅读那段代码,极其他的前后代码,可以发现,系统验证签名共两次,函数是sub_CCE0,这个函数每次返回值在寄存器R0里面。
看第一个框的代码最后:
BL sub_CCE0 调用签名验证函数
MOV R6, R0 把返回寄存器R0的值,传输到R6寄存器备用
CBZ R0, loc_A7B6 系统判断R0的值,如果是0,就直接跳到loc_A7B6,绿色线
这个可以看出,loc_A7B6其实是跳过了再次验证的地方,图中第二个方框。
如果R0是1的话,就不跳转,顺序继续执行,相当于再次验证签名,也就是第二个框
第二个框中代码的最后:
BL sub_CCE0 调用签名验证函数
MOV R6, R0 把返回寄存器R0的值,传输到R6寄存器备用
这里没有判断,直接顺序继续执行到第三个框,也就是loc_A7B6
第三个框,也就是loc_A7B6这里:
这个框的代码最后:
CBZ R6, loc_A7DE
进入这段代码,是判断R6的值(前面两次验证,都把验证返回值保留在R6里),
如果是0,就跳到loc_A7DE,也就是第四个框方向,这个方向的代码是安装卡刷包,具体请自己往后看。
如果是1,就是最后的红线方向的代码,去那里是显示签名非法,退出程序,那里具体代码请自己往后看。
8、鼠标双点签名验证函数sub_CCE0,软件自动跳到显示这个函数的具体内容,拉到这个函数的最后,
可以看到从多个方向来的代码,在结束这个函数前,分别执行了
MOVS R0, #0 这个在左边的框内
MOVS R0, #1 这个在右边的小框内
由此,我们知道,验证函数的返回值,是通过R0寄存器,也印证了前面的代码。
9、到这里,只要把MOVS R0, #1这个1改成0就可以了,表示即使签名验证失败也返回0(0表示成功)
但我这个试用版ida64plus的软件保存不了,所以,我们先用鼠标点中我们要改的地方,也就是那个1,
然后切换标签点“Hex view”,就可以看到要修改地方的具体地址5160
10、用UltraEdit软件打开recovery,找到5160地址,把1改成0保存就可以了,(如果ida64plus能保存就不用这个软件了)
把改过的recovery拷回recovery.img解包目录,然后打包,就可以用odin软件刷了。。。。
1、从官方ROM里提取recovery.img
2、把recovery.img解出来。。。具体方法可以看沙发。。。我单独拎出来。。。。
3、sbin/recovery 这个二进制执行文件,拷贝到windowsxp里
4、windowsxp安装ida64plus这个软件,这是个反编译软件,我网盘里有一个试用版,功能有限制,这个版本能反编译,但不能保存数据,所以我找到具体改的地方后,再用UltraEdit软件去改的。如果谁有ida64plus这个软件功能不受限制的,请共享下。。。。好东西不要自己留着哦。。。。。
5、用ida64plus这个软件,打开recovery二进制文件,选择ARM cpu,他自动反汇编出所有函数。
6、反汇编成功后,系统问你是否看图形模式,回答no,进文本模式,然后搜索文本sign,系统会直接找到签名验证出错的那段代码那里
7、仔细阅读那段代码,极其他的前后代码,可以发现,系统验证签名共两次,函数是sub_CCE0,这个函数每次返回值在寄存器R0里面。
看第一个框的代码最后:
BL sub_CCE0 调用签名验证函数
MOV R6, R0 把返回寄存器R0的值,传输到R6寄存器备用
CBZ R0, loc_A7B6 系统判断R0的值,如果是0,就直接跳到loc_A7B6,绿色线
这个可以看出,loc_A7B6其实是跳过了再次验证的地方,图中第二个方框。
如果R0是1的话,就不跳转,顺序继续执行,相当于再次验证签名,也就是第二个框
第二个框中代码的最后:
BL sub_CCE0 调用签名验证函数
MOV R6, R0 把返回寄存器R0的值,传输到R6寄存器备用
这里没有判断,直接顺序继续执行到第三个框,也就是loc_A7B6
第三个框,也就是loc_A7B6这里:
这个框的代码最后:
CBZ R6, loc_A7DE
进入这段代码,是判断R6的值(前面两次验证,都把验证返回值保留在R6里),
如果是0,就跳到loc_A7DE,也就是第四个框方向,这个方向的代码是安装卡刷包,具体请自己往后看。
如果是1,就是最后的红线方向的代码,去那里是显示签名非法,退出程序,那里具体代码请自己往后看。
8、鼠标双点签名验证函数sub_CCE0,软件自动跳到显示这个函数的具体内容,拉到这个函数的最后,
可以看到从多个方向来的代码,在结束这个函数前,分别执行了
MOVS R0, #0 这个在左边的框内
MOVS R0, #1 这个在右边的小框内
由此,我们知道,验证函数的返回值,是通过R0寄存器,也印证了前面的代码。
9、到这里,只要把MOVS R0, #1这个1改成0就可以了,表示即使签名验证失败也返回0(0表示成功)
但我这个试用版ida64plus的软件保存不了,所以,我们先用鼠标点中我们要改的地方,也就是那个1,
然后切换标签点“Hex view”,就可以看到要修改地方的具体地址5160
10、用UltraEdit软件打开recovery,找到5160地址,把1改成0保存就可以了,(如果ida64plus能保存就不用这个软件了)
把改过的recovery拷回recovery.img解包目录,然后打包,就可以用odin软件刷了。。。。
相关文章推荐
- 破解官方recovery的签名验证
- 3dmax2014【3dsmax2014】官方简体中文(64位)安装图文教程、破解注册方法
- Asp.Net MVC4.0 官方教程 入门指南之九--为模型添加验证
- struts2官方 中文教程 系列六:表单验证
- Struts2 官方教程:使用XML进行表单验证(Form Validation Using XML)
- [最新版]火柴人联盟v1.14.1去签名验证去广告Android内购破解(附smali篇幅有点长啊)
- Asp.Net MVC4.0 官方教程 入门指南之九--为模型添加验证
- 转52破解jiangwei212Android爆破应用签名的一种全新高效方式(Native+服务器验证)
- 易语言网络验证防破解教程
- Asp.Net MVC4.0 官方教程 入门指南之九--为模型添加验证
- CorelDraw x6【Cdr x6】官方简体中文破解版(64位)安装图文教程、破解注册方法
- Asp.Net MVC4.0 官方教程 入门指南之九--为模型添加验证
- 学习ASP .NET MVC5官方教程总结(十)添加验证
- 转52破解jiangwei212Android爆破应用签名的一种全新高效方式(Native+服务器验证)
- Android Studio NDK 入门教程(6)--JNI签名验证防止恶意调用
- Asp.Net MVC4.0 官方教程 入门指南之九--为模型添加验证
- 【转】完美:photoshop cs6 破解版下载[序列号+破解补丁+破解教程+官方原版]
- 【教程】利用幸运破解器去除安卓签名验证
- Android中解决破解签名验证之后导致的登录授权失效问题
- Android Studio NDK 入门教程--JNI签名验证防止恶意调用