[求助]Vivo Mediatek机型LK(ABOOT)文件Android Verify Boot校验的困惑和一点研究-Android安全-看雪-安全社区|安全招聘|kanxue.com

[求助]Vivo Mediatek机型LK(ABOOT)文件Android Verify Boot校验的困惑和一点研究

发表于: 2021-6-21 23:36 23223

[求助]Vivo Mediatek机型LK(ABOOT)文件Android Verify Boot校验的困惑和一点研究

mb_iolubvlg 活跃值

2021-6-21 23:36

23223

序言

最近折腾的Vivo MTK机型IQOO Z1，研究Root时在AVB部分遇到了一些困难，特整理了一些资料来求助看雪大神，详述如下：

解锁与刷写

该机型的Bootloader上锁方式极为奇葩，且听细细道来。

在旧版本上，酷安的朋友发现该机型采用了Google提供的简单OEM锁，遂尝试解锁并获取Root。

BL解锁是成功的，但令人困惑的是此LK(ABOOT)并没有提供相应的烧写命令，EDL刷写也存在校验。所以无法刷写打入补丁后的boot.img文件进行测试，前期研究遂终止。

令人惊喜的是，过后不久在XDA论坛爆出了Mediatek机型通用的EDL刷写验证绕过的漏洞，遂可以使用SP Flash Tool进行刷写尝试。我和朋友着手开始了对Vivo IQOO Z1机型Magisk打补丁进行Root的研究。

Root尝试失败

开始研究之初我们便遇到了困难。该机型BL解锁后并不同于往常的机器，当刷写打补丁的boot后，无法正常引导。经测试该机型为secure boot：no状态时（如下图），仍会对vbmeta，boot文件进行校验，遂Root尝试失败。

登录后可查看完整内容

[注意]看雪招聘，专注安全领域的专业人才平台！

#逆向分析 #系统相关 #源码框架 #其他

收藏・1

免费・5

支持

赞赏记录

参与人

雪币

留言

时间

心游尘世外

为你点赞！

2024-11-26 04:52

一路南寻

为你点赞！

2024-8-27 01:07

嫉妒的死远点

感谢你的贡献，论坛因你而更加精彩！

2024-8-3 01:51

PLEBFE

为你点赞~

2022-7-30 07:30

Youlor

为你点赞~

2022-7-17 11:19

最新回复 (14)
mb_foyotena 雪币： 477 活跃值： (1412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 304 粉丝 14 关注私信	mb_foyotena 2 楼怎么关闭的secure boot?还有LK的base是什么?倒是多提供点已知的信息啊最后于 2021-6-22 11:50 被mb_foyotena编辑，原因： 2021-6-22 11:47 0
mb_iolubvlg 雪币： 22 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 5 粉丝 2 关注私信	mb_iolubvlg 3 楼 mb_foyotena 怎么关闭的secure boot?还有LK的base是什么?倒是多提供点已知的信息啊这个机型在旧版本可以解锁bl，secure boot就关了。LK似乎是是联发科和Vivo魔改的版本，网上找不到相应的BSP和源代码。可能是基于https://github.com/littlekernel/lk改的，我也不是很确定。需要进一步的协助的话，可以站内私信QQ吗，感谢！ 2021-6-22 15:50 0
lhxdiao 雪币： 2090 活跃值： (3948) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 184 粉丝 115 关注私信	lhxdiao 4 楼 iQOO Z1返厂搞个去年最初版本的系统就能root了，这个是因为新一点的系统把这个漏洞干掉了，所以没法直接烧写自己的内核进去。 2021-6-22 18:40 0
mb_iolubvlg 雪币： 22 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 5 粉丝 2 关注私信	mb_iolubvlg 5 楼 lhxdiao iQOO Z1返厂搞个去年最初版本的系统就能root了，这个是因为新一点的系统把这个漏洞干掉了，所以没法直接烧写自己的内核进去。我们能找到的就只有1.7.6 大佬可以详细讲讲吗不过个人觉得问题不在这，现在主要是去vbmeta的校验有点棘手 2021-6-23 01:01 0
LeadroyaL 雪币： 4752 活跃值： (2923) 能力值： ( LV7，RANK：100 ) 在线值：发帖 7 回帖 57 粉丝 77 关注私信	LeadroyaL 1 6 楼提供一个不一定靠谱的方案： fastboot --disable-verity --disable-verification flash vbmeta vbmeta.img 刷的时候加这两个参数会修改 vbmeta 里的两个 flag，不知道有没有用。 2021-6-23 22:35 0
mb_iolubvlg 雪币： 22 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 5 粉丝 2 关注私信	mb_iolubvlg 7 楼 LeadroyaL 提供一个不一定靠谱的方案： fastboot --disable-verity --disable-verification flash vbmeta vbmeta.img 刷的时候加这两 ... 没有用，现在存在的是vbmeta文件本身的验证，这个命令的本质是对文件的读写，会导致签名改变。我们的目的也差不多是这个命令的效果，但是存在对vbmeta的校验导致我们后续的修改都做不来。最后于 2021-6-24 13:20 被mb_iolubvlg编辑，原因： 2021-6-24 13:18 0
amazingosp 雪币： 160 活跃值： (411) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	amazingosp 8 楼私信我,我可以试试 2021-6-29 10:34 0
mb_iolubvlg 雪币： 22 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 5 粉丝 2 关注私信	mb_iolubvlg 9 楼 amazingosp 私信我,我可以试试抱歉没有转正不能私信 q号: bash64: MTQ5NzMzNzE3Mg== @amazingosp @hackbs 麻烦了 2021-7-4 19:53 0
异灵摆渡雪币： 110 活跃值： (156) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 1 关注私信	异灵摆渡 10 楼你找的资料也不少了，不少路我也走过 2021-7-9 12:08 0
mb_offcgjkk 雪币： 5 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	mb_offcgjkk 11 楼提取lk用起来 2021-7-14 14:49 0
mb_offcgjkk 雪币： 5 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	mb_offcgjkk 12 楼 lhxdiao iQOO Z1返厂搞个去年最初版本的系统就能root了，这个是因为新一点的系统把这个漏洞干掉了，所以没法直接烧写自己的内核进去。提取这个版本的lk总在最新系统里 2021-7-14 14:50 0
白九雪币： 9745 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	白九 13 楼提供一个想法，可能在设备树中没有修改分区挂载时的校验标志位，即使关闭了avb，挂载分区时依然会去校验，但是因为avb关了，因此找不到资源就失败了 2022-2-11 18:12 1
白九雪币： 9745 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	白九 14 楼还有个问题想请教下，怎么用ida去修改aboot(lk内核)对分区的(比如boot)的验证呢 2022-2-13 14:34 0
ChinaHeart 雪币： 0 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	ChinaHeart 15 楼你这lk是mtk版本，aboot是高通的版本。高通的安卓9的系统好像并没校验，可以直接定制system文件 2022-5-6 11:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

mb_iolubvlg

发帖

回帖

RANK

关注

私信

序言
解锁与刷写
Root尝试失败

他的文章

[求助]Vivo Mediatek机型LK(ABOOT)文件Android Verify Boot校验的困惑和一点研究 23224

关于我们

联系我们

企业服务

看雪公众号

最新回复 (14)
mb_foyotena 雪币： 477 活跃值： (1412) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 304 粉丝 14 关注私信	mb_foyotena 2 楼怎么关闭的secure boot?还有LK的base是什么?倒是多提供点已知的信息啊最后于 2021-6-22 11:50 被mb_foyotena编辑，原因： 2021-6-22 11:47 0
mb_iolubvlg 雪币： 22 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 5 粉丝 2 关注私信	mb_iolubvlg 3 楼 mb_foyotena 怎么关闭的secure boot?还有LK的base是什么?倒是多提供点已知的信息啊这个机型在旧版本可以解锁bl，secure boot就关了。LK似乎是是联发科和Vivo魔改的版本，网上找不到相应的BSP和源代码。可能是基于https://github.com/littlekernel/lk改的，我也不是很确定。需要进一步的协助的话，可以站内私信QQ吗，感谢！ 2021-6-22 15:50 0
lhxdiao 雪币： 2090 活跃值： (3948) 能力值： ( LV2，RANK：10 ) 在线值：发帖 16 回帖 184 粉丝 115 关注私信	lhxdiao 4 楼 iQOO Z1返厂搞个去年最初版本的系统就能root了，这个是因为新一点的系统把这个漏洞干掉了，所以没法直接烧写自己的内核进去。 2021-6-22 18:40 0
mb_iolubvlg 雪币： 22 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 5 粉丝 2 关注私信	mb_iolubvlg 5 楼 lhxdiao iQOO Z1返厂搞个去年最初版本的系统就能root了，这个是因为新一点的系统把这个漏洞干掉了，所以没法直接烧写自己的内核进去。我们能找到的就只有1.7.6 大佬可以详细讲讲吗不过个人觉得问题不在这，现在主要是去vbmeta的校验有点棘手 2021-6-23 01:01 0
LeadroyaL 雪币： 4752 活跃值： (2923) 能力值： ( LV7，RANK：100 ) 在线值：发帖 7 回帖 57 粉丝 77 关注私信	LeadroyaL 1 6 楼提供一个不一定靠谱的方案： fastboot --disable-verity --disable-verification flash vbmeta vbmeta.img 刷的时候加这两个参数会修改 vbmeta 里的两个 flag，不知道有没有用。 2021-6-23 22:35 0
mb_iolubvlg 雪币： 22 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 5 粉丝 2 关注私信	mb_iolubvlg 7 楼 LeadroyaL 提供一个不一定靠谱的方案： fastboot --disable-verity --disable-verification flash vbmeta vbmeta.img 刷的时候加这两 ... 没有用，现在存在的是vbmeta文件本身的验证，这个命令的本质是对文件的读写，会导致签名改变。我们的目的也差不多是这个命令的效果，但是存在对vbmeta的校验导致我们后续的修改都做不来。最后于 2021-6-24 13:20 被mb_iolubvlg编辑，原因： 2021-6-24 13:18 0
amazingosp 雪币： 160 活跃值： (411) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	amazingosp 8 楼私信我,我可以试试 2021-6-29 10:34 0
mb_iolubvlg 雪币： 22 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 5 粉丝 2 关注私信	mb_iolubvlg 9 楼 amazingosp 私信我,我可以试试抱歉没有转正不能私信 q号: bash64: MTQ5NzMzNzE3Mg== @amazingosp @hackbs 麻烦了 2021-7-4 19:53 0
异灵摆渡雪币： 110 活跃值： (156) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 1 关注私信	异灵摆渡 10 楼你找的资料也不少了，不少路我也走过 2021-7-9 12:08 0
mb_offcgjkk 雪币： 5 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	mb_offcgjkk 11 楼提取lk用起来 2021-7-14 14:49 0
mb_offcgjkk 雪币： 5 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	mb_offcgjkk 12 楼 lhxdiao iQOO Z1返厂搞个去年最初版本的系统就能root了，这个是因为新一点的系统把这个漏洞干掉了，所以没法直接烧写自己的内核进去。提取这个版本的lk总在最新系统里 2021-7-14 14:50 0
白九雪币： 9745 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	白九 13 楼提供一个想法，可能在设备树中没有修改分区挂载时的校验标志位，即使关闭了avb，挂载分区时依然会去校验，但是因为avb关了，因此找不到资源就失败了 2022-2-11 18:12 1
白九雪币： 9745 活跃值： (35) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	白九 14 楼还有个问题想请教下，怎么用ida去修改aboot(lk内核)对分区的(比如boot)的验证呢 2022-2-13 14:34 0
ChinaHeart 雪币： 0 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	ChinaHeart 15 楼你这lk是mtk版本，aboot是高通的版本。高通的安卓9的系统好像并没校验，可以直接定制system文件 2022-5-6 11:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复