PwnageTool 是 The iPhone Dev Team开发的 iPhone 终极破解工具。Mac 版本程序名为 PwnageTool,Windows 版本程序名为 WinPWN。本文介绍的是
Mac 版本,但制作的固件文件可以在
Windows 下使用,前提是
iPhone 已经经过 iPwner 处理。
---------------------------------------
PwnageTool 的原理是通过把 iPhone 固件恢复时的数字签名屏蔽,从而实现恢复自定固件的目的。所谓自定固件,是将 iPhone 的激活、破解、解锁等在本机完成,然后生成自定固件文件,并使用 iTunes 恢复到 iPhone 上,这种方式可以最大限度地保证 iPhone 破解的安全性。
基于以上认识,突然想深入研究 PwnageTool 制作自定固件的原理,以及 iTunes 恢复自定固件时,是否对固件进行 Checksum(校验和)。
结论:
1、PwnageTool 制作自定固件时,是通过 PwnageTool 程序直接对官方固件文件进行破解和修改(包括替换修改官方固件中的文件、添加程序),然后压缩成自定的固件文件以备使用 iTunes 进行恢复。根据这一原理,经测试确认,使用 PwnageTool 可以实现在 PwnageTool 程序包中添加简体
中文语言包、安装程序或补丁、添加 Installer 源、添加铃声等,然后压缩生成固件文件。
2、使用 PwnageTool 生成的自定义固件,已经修改了固件文件中磁盘映像文件的校验和,因此在使用 iTunes 恢复时,iTunes 会像对待官方固件文件一样,只是简单执行格式化和拷贝操作。
下面将分两个方面讨论 PwnageTool 的终极应用。
1、了解 PwnageTool 程序包文件结构,解析可能的 Hack 内容;
2、按部就班介绍 Hack PwnageTool,制作别人可以分享的基本的自定固件。
---------------------------------------
1、了解 PwnageTool 的程序包结构(参看下图)
PT-FileList.jpg (72.72 KB)
2008-4-14 23:27
在 PwnageTool 程序包内容(/Contents)内的文件及用途:
Frameworks —— PwnageTool 程序自动更新程序文件
MacOS —— PwnageTool 程序启动和运行的核心程序
Resources —— 资源文件
- PwnageTool.icns —— PwnageTool 程序图标文件(就是那个菠萝)
- bl39.bin —— Bootloader 3.9 映像文件(
简体中文版添加的,下同)
- bl46.bin —— Bootloader 4.6 映像文件
-
IPSWPatches.plist —— 制作自定固件时使用的程序运行属性列表文件,包含了对应各个固件版本的程序运行指令。充分了解该文件的修改方法,才能保证 Hack 顺利进行。
- English.lproj —— PwnageTool 程序英文语言包
- iPhone1,1_1.1.4_4A102 —— 对应 1.1.4 固件的破解工具及文件
- - ramdiskdmg —— iPwner 指令文件,解放 iPhone 时使用
- - 022-3896-4_nobb.patch —— 固件主磁盘映像破解程序(破解固件文件中 022-3896-4.dmg 磁盘映像内的内容,对应 “不更新 Baseband”)
- - 022-3896-4.patch —— 固件主磁盘映像破解程序(同上,对应 “更新 Baseband”)
- - logo.img2 —— 开机标志(Pwn 后为菠萝)
- - recovery.img2 —— 恢复模式图片(Pwn 后为 Jobs 漫画)
- - bb —— 升级或降级 Baseband 文件(在不需要升级或降级 Baseband 的情况下,该文件夹将被忽略)。在 Hack 程序时,不设计该文件夹。
- -
core —— 自定固件文件(这里包含主要的破解所需文件,这些文件由 IPSWPatches.plist 文件来指定其安装方式,目录结构对应 iPhone 的根目录,文件最终会被写入固件文件中 022-3896-4.dmg 磁盘映像内)
- - (其它略)
- zh_CN.lproj —— PwnageTool 程序简体中文语言包
- (其它略)
2、HACK PwnageTool,制作自己的自定固件
这里以制作一个包含简体中文语言包、UIKit Patch(调用隐藏的
键盘)的最简单的一个 1.1.4 基本
系统来说明 PwnageTool 的 Hack 方法。
要在自定固件中安装程序,并使其正常运行,必须清楚这些程序或工具都安装了哪些文件、安装在哪个目录。
1) 简体中文语言包:这是官方的简体中文语言包,由 mars2fobos 提取整理(参见这里
下载:
http://www.weiphone.com/thread-94023-1-1.html)。在 iPhone 上的安装路径为 /Applications 和 /System/Library 内对应的程序包。
2) UIKit Patch:开启隐藏键盘的程序文件(请从附件下载)。在 iPhone 上的安装路径为 /System/Library/Frameworks/UIKit.frameworks。
第一步:简体中文化
将简体中文语言包下载、解压后,将 Applications 文件夹内的内容全部拷贝到 PwnageTool 程序包(在 Finder 使用右键调出关联菜单,选择“显示包内容”) 内的 Contents/Resources/iPhone1,1_1.1.4_4A102/core/Applications 内(以下简写为 core…);将 System/Library 文件夹内的所有文件拷贝到 core/System/Library 内。这里你会发现 core 文件夹内没有 System 文件夹,那么需要手动创建。
第二步:调用隐藏的键盘
将 UIKit 文件(文未可下载)拷贝到 core/System/Library/Frameworks/UIKit.frameworks 文件夹内。
第三步:修改 IPSWPatches.plist 文件
要让 PwnageTool 把上述这些文件写入固件,需要在这里费点笔墨解析一下 IPSWPatches.plist 文件。看文件名就知道,这是一个 IPhone SoftWare Patches 属性列表文件,该文件的作用就是按照指令一步步把 core 文件夹内的内容写入固件文件的 022-3896-4.dmg 内。
打开 IPSWPatches.plist 后会看到类似以下结构的文本:
<dict>
<key>Action</key>
<string>Patch</string>(这两行指定程序
动作:打补丁)
<key>File</key>
<string>etc/fstab</string>(这两行指定文件或文件夹名)
<key>Name</key>
<string>Filesystem Write Access</string>(这两行指定文件或文件夹在系统中的正式名)
<key>Patch</key>
<string>fstab.patch</string>(这两行动作性质:打补丁及使用的脚本)
</dict>
或
<dict>
<key>Action</key>
<string>Add</string>(这两行指定程序动作:添加)
<key>File</key>
<string>core/var</string>
<key>Name</key>
<string>var</string>
<key>Path</key>
<string></string>(这两行指定动作的性质:添加。添加就不需要什么脚本了,所以字串一行没有内容)
</dict>
查看该个文件的代码会注意到,针对每一个版本的固件,该文件有一套对应的指令。这也是到今天(4月14日)为止 PwnageTool 1.0 不能破解 5A240d 的原因,因为没有磁盘映像的密匙和对应的破解指令。
翻遍对应 1.1.4 的这部分代码,发现没有对应 System 这个文件夹的指令。那么刚才拷贝到 core 里面的在 System 文件夹内的文件,是不会被写入自定固件文件的,因此需要手动添加以下一节代码:
<dict>
<key>Action</key>
<string>Add</string>
<key>File</key>
<string>core/System</string>
<key>Name</key>
<string>System</string>
<key>Path</key>
<string></string>
</dict>
应该看到,这里并没有列出 System 文件夹内的子文件夹,因为在上面的代码中,最后两行中 <key>Path</key> 告诉程序,该路径下的所有文件照搬,对于目标文件夹对应目录或目录中的文件,没有的就添加,有的就替换。
了解到此,看看当前 core 内的所有目录在 IPSWPatches.plist 文件中是否都有了相应的代码,修改完后保存 IPSWPatches.plist。现在,可以运行你 Hack 的 PwnageTool 了。我把自己 Hack 的这个修改版 PwnageTool 改名为 PwnageTool 1.0+。
第四步:制作自定固件
运行刚刚 Hack 过的 PwnageTool 1.0+,点“浏览 .ipsw 文件”,选择官方的 1.1.4 固件,待 PwnageTool 提示已识别后,证明该固件可用。这一步实际上是 PwnageTool 使用程序内置的 IPSWPatches.plist 文件及对应的 Patches 目录(如 iPhone1,1_1.1.4_4A102)来判断这个固件是否可以破解,并且在下面生成自定固件时,将要解压哪个官方固件。
识别后,就直接点“IPSW 生成器”。在选项窗口中,可根据需要选择是否更新 Baseband。在出现授权提示框时输入你的
电脑的用户登录密码,接下来如果一路都是正常“完成”,PwnageTool 最后会生成一个自定固件。
如果你的 iPhone 已经 PWN 过,剩下的,就是让 iPhone 进入恢复模式,然后使用 iTunes 进行恢复。如果没有 PWN 过就点“iPwner”解放你的 iPhone(运行 iPwner 在生成固件之前或之后没什么关系)。如果你在点 iPwner 前没有让 iPhone 处于恢复模式,并关闭 iTunes,或没有连接 iPhone,将会得到系列提示,待条件满足后,iPhone
屏幕会显示滚动字符,完成后自动启动到先前的状态。
最后,让 iPhone 进入恢复模式,然后使用 iTunes 进行恢复。
顺便说明一下,PwnageTool 1.0+ 的 iPhone1,1_1.1.4_4A102 文件夹内的 logo.im2(就是启动标志)是
原装的
苹果,不是菠萝,但是恢复画面还保留了漫画。另外,目前恢复后,需要设置一下区域格式和亚洲字体,我没有加入这个设定。
Good Luck!
---------------------------------------
追记:
恢复模式的区别:
Recovery Mode 是一般的恢复模式,就是在这个模式下,iPhone 还可以接收除使用 iTunes 进行恢复以外的其它指令,比如重新正常启动、进入 DFU 模式等。假如在进入 Recovery Mode 后没有任何指令,15 分钟后,iPhone 会自行重新正常启动。
DFU 模式是深度恢复模式,就是进入该模式后,除了使用 iTunes 恢复外,无法退出,只能强制关机。因此要进入 DFU 模式,接着的动作要么是恢复,要么就强制关机,再开机自动进入 Recovery Mode,这时可以使用软件(如 ZiPhone 发送正常启动指令)。
扩大自定范围:
如果要增加独立运行的程序,只需把程序拷贝到 core/Applications 文件夹内即可。
如果要加铃声,把后缀为 .m4r 的铃声文件拷贝到 core/Library/Ringtones 文件夹内,并且在 IPSWPatches.plist 文件内加入:
<dict>
<key>Action</key>
<string>Add</string>
<key>File</key>
<string>core/Library</string>
<key>Name</key>
<string>Library</string>
<key>Path</key>
<string></string>
</dict>
对于在多个目录安装的程序(比如系统工具类、输入法等),必须明确所有的安装文件及路径,否则程序不能正常运行。
---------------------------------------
仍然在研究系统级软件的安装和 iPhone 的备份(这个细节问题比想像的复杂),当然也许 IPSWTool 出来后,这些会变得异常简单。无论如何,我还是决定边期待边研究,因为 PwnageTool 给我提供了深入了解 iPhone 的机会,不容错过。
最后按照惯例,先申明:对于使用 PwnageTool+ 或依据本文进行的各种 Hack 所引发的白苹果等问题,本人无法承担责任,请慎重使用。
windows版PwnageTool ,即winpwn已发布。目前版本为测试版0.99.1.8BETA,暂不包括对2.0固件的支持。
下载地址:
http://69.13.6.79:8080/winpwn%200.99.1.8BETA%20Setup.exe
http://ifone-kb.com/winpwn/winpwn_0.99.1.8BETA_Setup.exe
使用指南:
What does that mean?
Beta means that it may go wrong - it may crash - your iPhone/iPod may fail to restore or get stuck in a boot loop.
Right now winpwn is MAINLY FOR JAILBREAKING and adding Installer.
It has disabled unlocking features to ensure further testing goes smoothly!
This means you CANNOT unlock the iPhone using the windows version -However adding the installer source for BootNeuter will let you do that.
EVERYTHING CAN BE FIXED BY RESTORING and recovery mode.
Although it is for windows the buttons do the same and it works the same way.
Follow the same steps below as on Mac (except some options will NOT be available in the beta and greyed out!
It takes approximately 10 minutes to build the ramdisk for the "ipwner" part on Windows
It takes approximately 15 minutes or so to build the IPSW on Windows
NOTE: Once you pwn your iphone/ipod using winpwn you CAN downloadalready made custom firmwares to install but this is not recommended asyou do not know if the source is reliable.
To select custom firmware on PC - press SHIFT and click on the restore button in iTunes.
iLiberty+ is available for PC and can be used to put iPhone/iPod intorecovery mode or kick it out of recovery mode should you need to.
You will require the iTunesMobileDevice.dll in order for WinPwn towork and you will have to put it inside the winpwn program filesdirectory - these can be downloaded from winpwn.com.
They would have to be put in "C:\Program Files\cmw\winpwn"
----
Should you use this if I already used ZiPhone/iPlus/iLiberty+?
If your phone is working at this time then there is NO need to use pwnage.
Pwnage is a safer method for jailbreaking/unlocking/activating but unless you like
messing with new firmware then there is no reason to use it.
However, none of the above apps will unlock/activate/JB 2.0 or any of its betas.
So for the next firmware you will have to use Pwnage.
If you wish to revert to your original bootloader you can using pwnage now!
iPhone or iPod Touch?
Both work with Pwnage - for iPod instructions just use iPod restore files instead of iPhone files I mention below!
PWNAGE does not add 1.1.4 apps or wiggly icons on iPod touch- you can get those through installer by adding the source:
http://repo.ispazio.net or buy them through iTunes.
Is it for Windows and Mac?
Right now a full version is available for Mac. Windows is currently available for Beta Testing!
Is it safer than ZiPhone/iLiberty+
Yes as it changes your file system BEFORE you restore and thereforeavoids all the possible problems you can have with other methods.
Will Installer be added automatically?
If you rebuild the firmware using pwnage then 1.1.4 will have installeradded to the firmware. Installer is not added to 1.2 or 2.0 betafirmware as it would not work at this time.
Can I just jailbreak ONLY?
Yes - don't tick any boxes on the firmware options and it will ONLY jailbreak your phone.
How do I pwn my phone?
Video of process courtesy of Engadget.com : http://www.viddler.com/explore/engadget/videos/5/
Download the pwnage tool from the pirate bay! Do a search for "PwnageTool.app"
You can download from the iPhone DevTeam site but it does not have the bootloader files you need and so it is easier to download
a complete copy from torrents.
The download without the bootloader files (which you WILL NEED to use pwnage) can be found here:
Bootloaders can be found at: http://www.hackint0sh.org/forum/show...t=36508&page=2
Apple Firmware files can be downloaded from:
iPhone:
1.1.4: http://appldnld.apple.com.edgesuite....2_Restore.ipsw
iPod
1.1.4: http://appldnld.apple.com.edgesuite....2_Restore.ipsw
ONLY use iPwner on 1.1.4
BEFORE YOU TRY ANY OF THE 2.0 BETA VERSIONS YOU MUST PWN AND UNLOCK/ACTIVATE WITH 1.1.4
If you do not have 1.1.4 then RESTORE to 1.1.4 using iTunes (also tofamiliarise yourself with the restore process) as normal then run thepwnage tool.
You can pwn your phone without restoring first from 1.1.4
1. Click the "Browse .ipsw" button.
2. Select the 1.1.4 restore - on mac it is in the
User (ie your name on your mac)>Library>iTunes>iPhone Software upgrade
Then you just select the firmware. There is even an iPod folder so you don't get confused!
MAKE SURE YOU SELECT THE CORRECT FIRMWARE FOR YOUR IPHONE/IPOD.
EXAMPLE: IF YOU HAVE A 1.1.4 IPHONE THEN PWN IT USING THE 1.1.4 IPHONE RESTORE FILE!
DO NOT USE A 1.1.4 IPOD RESTORE FILE ON YOUR IPHONE OR IPHONE ON YOUR IPOD
If you do not have it then connect your iPhone and click on restore and it will start downloading in iTunes.
UNPLUG your iPhone as soon as it starts downloading as we DO NOT WANT to restore yet!
Or download it directly from the above link.
3. Once the 1.1.4 file has been seen by the pwnage tool then click on"iPwner"... You have to put your phone in restore mode to do this.
Whilst connected to your computer turn off your phone. Hold down thehome button and turn the phone back on - it will go into restore mode.You can tell this from the "connect to iTunes" logo that comes up. Ifyou have problems getting into restore mode - then I suggestdownloading iLiberty+ and looking at the advanced menu on the top leftof the screen gives you the option of putting it into restore modeusing that.
iTunes will open when the phone enters restore mode. PwnageTool will detect iTunes is open and ask you to close it.
Just close it anyway when it pops up by exiting it from the mac taskbar - no need to wait to be told to close it by the tool!
Once in restore mode Pwnage tool will do its magic!
Your phone will restart with a pineapple instead of the apple logo and then boot back into normal mode.
4. Click on "IPSW builder" button. Make sure that Pwnage tool willrebuild the 1.1.4 file for you. Make sure that Enable baseband update,Neuter bootloader, unlock baseband and activate phone are selected. Ifyou wish to keep the pineapple logo then click on use custom images ifnot the apple logo will come back!
When you upgrade to 1.2/2.0 iPhone or iPod - pwnage automaticallyselects the correct settings so you don't have to do anything! ButDON'T uncheck anything checked in that situation!
客服
注册会员注意:
