Qualcomm的MSM8k以及SDM平台的启动过程其实比较复杂，但是如果想改动其实并不能改很多，有一部分高通甚至只给了BIN并没有SRC。所以今天就选继PBL后最重要也是能改动的最底层部分，即SBL来做一些分析以及介绍。由于NDA的缘故，其中仅能挑选公开部分代码片段。可能有疏漏，请尽情指正！

启动过程

由于我并不涉及到BP部分的开发，那全程就只从AP的角度做分析以及介绍。

SBL的功能

初始化DDR/硬件/加载RPM/加载TrustZone/加载ABL以继续引导

SBL入口

此部分源码位于boot_images/core/boot/secboot3/hw/<Part_Number>/sbl1/sbl1.s

IMPORT |Image$$SBL1_SVC_STACK$$ZI$$Limit|
IMPORT |Image$$SBL1_UND_STACK$$ZI$$Limit|
IMPORT |Image$$SBL1_ABT_STACK$$ZI$$Limit|
IMPORT boot_undefined_instruction_c_handler ;导入了外部Symbol
IMPORT boot_swi_c_handler
IMPORT boot_prefetch_abort_c_handler
IMPORT boot_data_abort_c_handler
IMPORT boot_reserved_c_handler
IMPORT boot_irq_c_handler ;PBL传递来的中断请求参数
IMPORT boot_fiq_c_handler ;PBL传递来的快速中断请求参数
IMPORT boot_nested_exception_c_handler
IMPORT sbl1_main_ctl ;!注意此处!此处导入SBL1主要功能
IMPORT boot_crash_dump_regs_ptr

SBL1_MAIN_CTL

此部分主要做初始化DDR的工作
此部分源码位于boot_images/core/boot/secboot3/hw/<Part_Number>/sbl1/sbl1_mc.c

/* 初始化DDR部分 */
static boot_ram_init_data_type sbl1_ram_init_data_ddr =
{
  NULL,   //load_rw_base;
  NULL,  //image_rw_base;
  0,        //image_rw_len;
  (uint8*)&Image$$SBL1_DDR_ZI$$Base,  //image_zi_base;
  &Image$$SBL1_DDR_ZI$$ZI$$Length     //image_zi_len;
};

/* 初始化Logger部分，数据传送到SERIAL */
static uint32 sbl_start_time = 0;
static boot_log_init_data boot_log_data =
{
  (void *)SBL1_LOG_BUF_START,
  SBL1_LOG_BUF_SIZE,
  (void *)SBL1_LOG_META_INFO_START,
  SBL1_LOG_META_INFO_SIZE,
  NULL
};

/* 加载SBL1_Config_Table */
#define CPSR_EA_BIT     (1<<8)

extern boot_configuration_table_entry sbl1_config_table[];

SBL1_CONFIG_TABLE

此部分存储了ABL\TrustZone\RPM等Image的相关参数
此部分源码位于boot_images/core/boot/secboot3/hw/<Part_Number>/sbl1/sbl1_config.c

extern uint8 qsee_partition_id[]; //QSEE分区ID
extern uint8 rpm_partition_id[]; //Resource Power Manager分区ID
extern uint8 appsbl_partition_id[]; //Application Secondaty BootLoader分区ID
extern uint8 apdp_partition_id[]; //Debug Policy分区ID
extern uint8 devcfg_partition_id[]; //Trust Zone Config分区ID

boot_configuration_table_entry sbl1_config_table[];

此文就是一篇概览，也就是大概阅读了一下源码写下的随笔，同时由于惧怕高通的NDA，源码也不能放出太多，到此为止吧！

咕咕咕了一年，历经准备雅思，考雅思，申请学校等一系列事件之后，终于有空来整理F3的Recovery逆向了
午诺F3这个机器尚且还行，但是没有第三方Recovery还是十分令人不适。
一开始我先尝试给它适配TWRP，却因为ilitek的屏走的是SPI，并且没有开源，使用预编译无法驱动显示而作罢
所以想到修改官方Recovery的做法
以下是记录
首先使用QFIL和8909的firehose进行回读Recovery分区的操作，此设备未熔断SecureBoot，所以任意设备之firehose均可启动
1.获得到recovery.img后，使用任意工具执行解压镜像

2.获取RAMDISK/sbin/recovery可执行文件，放入IDA(32位)版
3.IDA将会自动处理好之前的一切

4.由于Android是开源项目，此时我们直接阅读源码
寻找到platform/bootable/recovery/verifier.cpp于KitKat分支
找着找着，在此处寻找到了RSA相关！

5.在此使用字符串特征"whole-file"于IDA使用Alt+T使用Text方式搜索该字符串

在红线处可以见到很明显的一个返回值分支(即MOVS R0,#1)
6.继续阅读源码，一路追踪发现此处隶属于verify_file这个函数

如图可知，如果#0则代表宏VERIFY_SUCCESS，反之则代表VERIFY_FAILURE
7.此时则思路完全清晰，使用KeyPatch等Patch工具对MOVS R0,#1此处汇编Patch为MOVS R0,#0
直接实现了暴力破解签名（因为任何情况下签名验证结果都为真）

8.替换修改后的可执行文件至RAMDISK/sbin/recovery，再重新执行打包
9(可选).对背景PNG添加提示，避免混淆Patch后版本和原版

10.使用fastboot flash写入设备的Recovery分区

设备信息

感谢
GitHub - TeamWin/Team-Win-Recovery-Project

更新日志
首次发布

截图

下载
数据丢失

Bug

设备信息

感谢
Qualcomm CodeAurora:Code Aurora
Team Win Recovery Project:GitHub - TeamWin/Team-Win-Recovery-Project
SHARP OSS:SHV34｜オープンソースソフトウェア｜開発者向け情報｜AQUOS：シャープ

开源
saga0324/android_device_sharp_xx3

更新日志
首次发布

截图

下载
(不公表，如果需要请私聊)

BUG跟踪

半夜睡不着，来列列我了解以及使用过的一些日系手机下载OS的办法
日系机均有各种写保护方法，恐怕安全启动没有开启，sahara或者firehose方法都是无法使用的

DMCA Warning, so deleted!

夏普

京瓷

富士通