注意，其它S912請勿刷入T1固件

kevin1610 · 發(fā)表于 2018-5-3 18:52

本帖最后由 webpad 于 2018-5-5 17:37 編輯

原理 by webpad：
樓主把一張白紙的海美迪H7四代S912盒子刷入了T1 的救磚線刷包，將沒有密匙的非加密盒子變成了加密(secure boot)盒子。

手上一臺海美迪H7四代盒子，刷過各類S912盒子的固件，都可以運行或是刷入錯誤可以任意重刷回原廠固件。但這次刷入帶SECURE_BOOT_SET的T1固件后，再也不能刷入其它任何S912固件。線刷報DDR不識別錯誤；CARDMAKER卡啟動擦除BOOTLOADER報EMMC受保護錯誤。T1系統(tǒng)ROOT用戶DD寫入備份系統(tǒng)仍無法正確寫入擦除所有FLASH。分析原因是EMMC 控制器上對BOOTLOADER一級分區(qū)有保護，無法擦除，而能解鎖擦除BOOTLOADER的關(guān)鍵文件就是附件中的SECURE_BOOT_SET加密文件。按AML的KEY寫入文件應該還有一個SECURE_BOOT_EXT.bin文件，拿到這個是不是就可以解鎖BOOTLOADER呢？
另外請教你的這個SECURE_BOOT_SET文件是從哪里來的呢？在線刷線刷入T1固件時，勾選“覆蓋燒錄密鑰”時，在燒入到98%時燒錄出錯，報“在查詢密鑰是否可覆蓋時返回0”，即不可覆蓋，不知在制做SECURE_BOOT_SET密鑰文件可不可以設(shè)為可以覆蓋呢？

目前只能使用這個帶SECURE_BOOT_SET的T1固件才能正確刷入并運行。盼著紅軍來解放啊………

aatest123 · 發(fā)表于 2018-12-9 01:47

咸魚撿了個t1

才發(fā)現(xiàn)有 Secure BOOT
研究了一下，兩個辦法：
1. 和armbian一樣，不使用android boot image格式，使用獨立的 zImage initrd 和dtb，繞過uboot里的校驗
2. uboot chain load
編譯一個禁用了secureboot的uboot，先使用帶secureboot的 uboot來啟動這個uboot
再用這個無secureboot的uboot來做通常的引導和啟動

kevin1610 · 發(fā)表于 2018-5-6 14:05

webpad 發(fā)表于 2018-5-6 12:44
再說一遍～沒有神馬emmc寫保護，emmc mbr/pbr、boot1、boot2 都是空的，你體會下！ ...

目前我得到的調(diào)試信息就是emmc在擦除Bootloader過程中受保護了，不能擦除。不是說Emmc全部寫保護了，是emmc對擦寫Flash里的某分區(qū)RPMB是保護的。按你說如果都是空的，那么從TF啟動卡上直接啟動到linux，再在linux下用DD命令直接寫回原備份鏡像就可以恢復到原系統(tǒng)了。而且如果你說非加密到加密是條單行道，那么返廠怎么可能重新刷成原非加密系統(tǒng)呢？所以從原理上講，加密固件和非加密固件只是軟件層的東西，EMMC全部低格后就是一張空白板，全部可以重來，愛刷啥刷啥固件。
本想用EMMC芯片檢測下主控，再用量產(chǎn)工具低格掉EMMC里的FLASH，再從頭刷。結(jié)果只檢測到WorldCup Device(Amlogic GX-CHIP)，但主控型號未知，又得另想辦法……。

kevin1610 · 發(fā)表于 2018-5-3 19:55

h7四代只是個安卓6，畫質(zhì)比其它安卓7差很遠。除了T1是加密且鎖了BOOTLOADER，其它固件都沒有鎖。怎能說是不要折騰呢，不折騰哪有樂趣，哪有學習和進步呢？
另外我手里還有ROCKCHIP的盒子，那個芯片根本沒有任何限制，即使你把BOOTLOADER刷沒，同樣可以以MASKROM白板內(nèi)容讓你再刷任何固件。S912做這個加密的BOOTLOADER，也不過是想封住廠商的固件而已，其實就象安卓與蘋果，固閉自封的東西終究會被開放的系統(tǒng)所代替。WEBPAD說這樣的話很讓我失望。

m007007 · 發(fā)表于 2018-5-3 19:28

海美迪的固件針對它的盒子是開發(fā)的比較完善的，是不是樓主越折騰越不如海美迪自生的固件好。望樓主等到紅軍。

webpad · 發(fā)表于 2018-5-3 19:37

請將海美迪盒子返廠～～

webpad · 發(fā)表于 2018-5-3 19:39

請大家以樓主為鑒，不要貿(mào)然折騰互刷不同型號的盒子固件

kevin1610 · 發(fā)表于 2018-5-3 20:13

本帖最后由 kevin1610 于 2018-5-3 20:21 編輯

m007007 發(fā)表于 2018-5-3 19:28
海美迪的固件針對它的盒子是開發(fā)的比較完善的，是不是樓主越折騰越不如海美迪自生的固件好。望樓主 ...

你手里是沒有H7四代啊，差死個人啊。其它人家的S912早就做了安卓7了，畫質(zhì)功能遠勝H7四代啊。我也遇到斐訊T1想刷H7四代的固件的，刷不進去，BOOTLOADER是鎖死的。不過也樣也好，我發(fā)現(xiàn)WEBPAD的3.3版的固件比前幾版的HDR畫質(zhì)好了，當然勝出H7四代固件很多呢。內(nèi)置播放器是1.0版的，這個比功能其它S912固件差，目前只能暫時用T1固件了，也可以自己用aml的CustomizationTool工具放幾個system進去玩，只不過BOOTLOADER和RECOVERY只能用這個T1的加密鏡像了。煩的是AMLOGIC的s912本可玩的LINUX雙啟動，LebreELEC就玩不了了。

webpad · 發(fā)表于 2018-5-4 00:05

kevin1610 發(fā)表于 2018-5-3 19:55
h7四代只是個安卓6，畫質(zhì)比其它安卓7差很遠。除了T1是加密且鎖了BOOTLOADER，其它固件都沒有鎖。怎能說是不 ...

有何失望？？？
研究不是這樣冒冒失失的折騰，最終就會造磚，
你都還沒明白晶晨加密方案和普通非加密方案的區(qū)別，
T1救磚線刷包就是給T1用的，請勿直接用于其它型號盒子！

kevin1610 · 發(fā)表于 2018-5-4 02:00

webpad 發(fā)表于 2018-5-4 00:05
有何失望？？？
研究不是這樣冒冒失失的折騰，最終就會造磚，
你都還沒明白晶晨加密方案和普通非加密方案 ...

老大，目前沒有變磚嘛，就是沒明白這個加密方式是怎么搞的嘛，所以請教您老人家啊。哪里有死磚啊，磚刷上固件就活了啊。現(xiàn)在在TTL下進入BOOTLOADER模式，一個一個命令在學，沒辦法，資料太少，懂的大師又不指點下迷津……。

webpad · 發(fā)表于 2018-5-4 06:46

kevin1610 發(fā)表于 2018-5-4 02:00
老大，目前沒有變磚嘛，就是沒明白這個加密方式是怎么搞的嘛，所以請教您老人家啊。哪里有死磚啊，磚刷上 ...

這么說你明白不？海美迪s912非加密，白紙一張，你非要把它刷成加密方案，那就把海美迪當斐訊T1用咯～～～要不就返廠！

貓貓_zMSy5 · 發(fā)表于 2018-5-4 07:59

webpad 發(fā)表于 2018-5-4 00:05
有何失望？？？
研究不是這樣冒冒失失的折騰，最終就會造磚，
你都還沒明白晶晨加密方案和普通非加密方案 ...

老大，能不能把海美迪h7盒子的NFS訪問功能移植到T1的固件中去啊？

webpad · 發(fā)表于 2018-5-4 08:26

貓貓_zMSy5 發(fā)表于 2018-5-4 07:59
老大，能不能把海美迪h7盒子的NFS訪問功能移植到T1的固件中去?。?/font>

有空再研究咯～ kodi/spmc/ftmc 天生就支持NFS啊

kevin1610 · 發(fā)表于 2018-5-4 22:51

webpad 發(fā)表于 2018-5-4 06:46
這么說你明白不？海美迪s912非加密，白紙一張，你非要把它刷成加密方案，那就把海美迪當斐訊T1用咯～～ ...

海美迪對S912已停止開發(fā)，還停留在一年多前的安卓6固件上，看HDR片源效果差得很。返廠也不一定有能人去掉EMMC保護……
既來之則安之，我刷過的S912固件十幾個，幾乎安卓7.0的S912固件刷了個遍，最好的是VORKE Z6和TANIX T92，兩個是一個LANCHER，一樣界面，系統(tǒng)設(shè)置稍有不同。誰抄誰的我也不知道，不過功能和效果都是最好的了。這次刷斐迅T1固件是安卓7的64位系統(tǒng)，倒是第一次遇見。開始刷來只想試試HDR片源效果，初看感覺一般，結(jié)果現(xiàn)在沉下心來測試后，發(fā)現(xiàn)3.3版HDR效果變好多了，更讓人驚喜的是，我手里一直有個國外大師的S912的工具，可以調(diào)亮度和對比度，裝在其它S912的固件上測試對HDR片源沒啥好效果，但這次裝在T1的64位系統(tǒng)上發(fā)現(xiàn)亮度和對比度調(diào)節(jié)對HDR片源起作用了，對比度渲染出來的效果驚呆。我測過MSTAR838，RK3229，RTD1186，RTD1295都有很好的調(diào)色，本對H7四代畫質(zhì)沒啥好感，這次調(diào)色后的HDR畫質(zhì)居然反超RTD1295，真是難以置信……怎么說呢，塞翁失馬，焉知非福啊。

webpad · 發(fā)表于 2018-5-5 09:00

本帖最后由 webpad 于 2018-5-5 09:01 編輯

kevin1610 發(fā)表于 2018-5-4 22:51
海美迪對S912已停止開發(fā)，還停留在一年多前的安卓6固件上，看HDR片源效果差得很。返廠也不一定有能人去掉 ...

那你改下標題咯～雖然成了加密系統(tǒng)，但是遂愿了。
因為目前來看，非加密變成加密(secure boot)是條單行道，無法回頭

hnzxlch · 發(fā)表于 2018-5-5 11:26

支持樓主折騰。
我怎么沒有發(fā)現(xiàn)3.3版HDR效果變好多了。
國外大師的S912的工具能否共享一下。

kevin1610 · 發(fā)表于 2018-5-5 12:55

webpad 發(fā)表于 2018-5-5 09:00
那你改下標題咯～雖然成了加密系統(tǒng)，但是遂愿了。
因為目前來看，非加密變成加密(secure boot)是條單行 ...

大師啊大師，固件加密就加密，可以防止別人抄襲軟件知識產(chǎn)權(quán)，但用不著鎖EMMC吧？您的V3.3版既然能擦寫掉原來的BOOTLOADER，自然就能解鎖，密鑰文件在您手里，擦掉了原來的BOOTLOADER又加上了新的受保護或無寫保護的BOOTLOADER，這不都在您的如來掌中嗎………只不過，去掉了EMMC保護，那所有的T1盒子全解放了，f刷入其它三方固件變成了H7四代\VORKE Z6啥的，這個盒子市場就成了沒法收拾的局面了……。

kevin1610 · 發(fā)表于 2018-5-5 22:34

webpad 發(fā)表于 2018-5-5 17:33
無話可說了，你還是多谷歌學習下，別線刷搞了幾十次基礎(chǔ)常識還缺這么多～
神馬鎖emmc的，說出來太搞笑 ...

我用cardmaker工具制做了一張啟動TF卡，在引導過程中，begin erase old bootloader....然后報mmcKeyProctect: protect，不能擦除。引導新固件失敗。
再試從現(xiàn)有RECOVERY進入BootLoader模式，打入命令：mmc erase 0 1000；企圖擦除0地址開始的bootloader分區(qū)，再報同樣mmcKeyProctect: protect，擦除地址從0X0跳入另一地址，部份被擦除，被鎖保護部份仍不能擦除。用amlmmc erase命令得到同樣結(jié)果。EMMC的某部份BOOT區(qū)不是被鎖上寫保護是什么？
另參見網(wǎng)上一文章：eMMC 鎖/解鎖操作 http://blog.sina.com.cn/s/blog_6cb8cdbd0102vov4.html
鎖上就鎖上了唄，有什么太搞笑的。U盤不也是常常被EMMC鎖上寫保護嗎，用低格方式不一樣能清掉所有區(qū)域嗎？至于AML的主控用什么辦法清，現(xiàn)在確實沒找到工具。
你是大師，別跟我小鬼一般見識…………

kevin1610 · 發(fā)表于 2018-5-5 22:54

另外這個，https://blog.csdn.net/hanmengaidudu/article/details/60963734 也詳細說明了EMMC的寫保護分區(qū)。RPMB（Replay Protected Memory Block）Partition 是 eMMC 中的一個具有安全特性的分區(qū)。用來保護BOOT分區(qū)不被擦除的。

kevin1610 · 發(fā)表于 2018-5-6 14:08

hu0730 發(fā)表于 2018-5-6 12:52
對樓主的啟動TF卡很感興趣，不知能否分享一下呀！??！

這個很簡單的，下個bootcardMaker工具就制作出來了。不過T1盒子接TTL比較難，不像H7四代有TTL插座那么好接的。沒有交互命令調(diào)試信息，靠ADB是玩不動的

› 智能電視盒 / 安卓TV機頂盒區(qū) › 斐訊盒子