[Android][boot]从支持A/B FOTA的设备中提取recovery.img

最新推荐文章于 2023-08-04 22:22:24 发布
最新推荐文章于 2023-08-04 22:22:24 发布
阅读量3.3k 收藏 6
点赞数
分类专栏: Android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014175785/article/details/105906105
版权

[Android][boot]从支持A/B FOTA的设备中提取recovery.img

问题由来

五一节期间,不太想做和工作强相关的内容,但是无奈手痒痒,于是想将手上的一台Essential PH-1的系统更换为lineageOS 16。

参考:官方WIKI

在搭建编译环境时卡在了Extract proprietary blobs这一步,具体原因是因为extract-files.sh脚本需要提取的定义在proprietary-files-recovery.txt中的文件需要提取recovery下的源文件,而当前的软件中并没有将recovery挂载在系统上。

因此我选择采用wiki中介绍的第二种方式获取这部分文件:Extracting proprietary blobs from installable zip.,我按照步骤下载了nightly build的zip包,并按照步骤进行了拆包与挂载,然而依旧没有recovery的信息。

由于Essential PH-1采用了A/B OTA机制,因此按照Google设计,可以将recovery.img打入boot.img的ramdisk部分,因此无法直接从zip安装包中解析出单独的recovery.img镜像文件。

分区和镜像对应关系官网介绍
A/B OTA官网介绍

于是,解决办法也就有了:从boot.img中提取recovery.img镜像,并将其拆开,获取需要的文件;

第一步 获取boot.img

这一步其实很简单,根据官方WIKI一步一步走就可以了,Essential PH-1的nightly build打包方式是Payload-based OTA,因此参考Extracting proprietary blobs from payload-based OTAs即可。

需要注意的是,拆分payload.bin时需要python运行环境,且根据每个人不同,需要事先安装如下依赖:

pip install google-cloud
pip install protobuf
pip install google
pip install backports.lzma

提取完成后可以看到zip包等效的各个分区镜像,当然也包括boot.img;

第二步 提取recovery.img

这一步需要一定的内核知识,以及二进制文件查看的工具(UltraEdit或其他类似工具);

首先我们查看代码中打包boot.img是参照的文件结构:

代码路径:system/core/mkbootimg/include/bootimg/bootimg.h

#define BOOT_MAGIC "ANDROID!"
#define BOOT_MAGIC_SIZE 8
#define BOOT_NAME_SIZE 16
#define BOOT_ARGS_SIZE 512
#define BOOT_EXTRA_ARGS_SIZE 1024

#define BOOT_HEADER_VERSION_ZERO 0
/*
 *  Bootloader expects the structure of boot_img_hdr with header version
 *  BOOT_HEADER_VERSION_ZERO to be as follows:
 */
struct boot_img_hdr_v0 {
    uint8_t magic[BOOT_MAGIC_SIZE];

    uint32_t kernel_size; /* size in bytes */
    uint32_t kernel_addr; /* physical load addr */

    uint32_t ramdisk_size; /* size in bytes */
    uint32_t ramdisk_addr; /* physical load addr */

    uint32_t second_size; /* size in bytes */
    uint32_t second_addr; /* physical load addr */

    uint32_t tags_addr; /* physical addr for kernel tags */
    uint32_t page_size; /* flash page size we assume */
    /*
     * version for the boot image header.
     */
    uint32_t header_version;

    /* operating system version and security patch level; for
     * version "A.B.C" and patch level "Y-M-D":
     * ver = A << 14 | B << 7 | C         (7 bits for each of A, B, C)
     * lvl = ((Y - 2000) & 127) << 4 | M  (7 bits for Y, 4 bits for M)
     * os_version = ver << 11 | lvl */
    uint32_t os_version;

    uint8_t name[BOOT_NAME_SIZE]; /* asciiz product name */

    uint8_t cmdline[BOOT_ARGS_SIZE];

    uint32_t id[8]; /* timestamp / checksum / sha1 / etc */

    /* Supplemental command line data; kept here to maintain
     * binary compatibility with older versions of mkbootimg */
    uint8_t extra_cmdline[BOOT_EXTRA_ARGS_SIZE];
} __attribute__((packed));

/*
 * It is expected that callers would explicitly specify which version of the
 * boot image header they need to use.
 */
typedef struct boot_img_hdr_v0 boot_img_hdr;

/* When a boot header is of version BOOT_HEADER_VERSION_ZERO, the structure of boot image is as
 * follows:
 *
 * +-----------------+
 * | boot header     | 1 page
 * +-----------------+
 * | kernel          | n pages
 * +-----------------+
 * | ramdisk         | m pages
 * +-----------------+
 * | second stage    | o pages
 * +-----------------+
 *
 * n = (kernel_size + page_size - 1) / page_size
 * m = (ramdisk_size + page_size - 1) / page_size
 * o = (second_size + page_size - 1) / page_size
 *
 * 0. all entities are page_size aligned in flash
 * 1. kernel and ramdisk are required (size != 0)
 * 2. second is optional (second_size == 0 -> no second)
 * 3. load each element (kernel, ramdisk, second) at
 *    the specified physical address (kernel_addr, etc)
 * 4. prepare tags at tag_addr.  kernel_args[] is
 *    appended to the kernel commandline in the tags.
 * 5. r0 = 0, r1 = MACHINE_TYPE, r2 = tags_addr
 * 6. if second_size != 0: jump to second_addr
 *    else: jump to kernel_addr
 */
 
#define BOOT_HEADER_VERSION_ONE 1

由上方代码可以获取两个信息:

  1. 文件头结构;
    1.1 前8个字节固定为ANDROID! (41 4E 44 52 4F 49 44 21)
    1.2 9-12个字节对应kernel的大小(ARM架构为小端显示,下同)
    1.3 13-16个字节对应加载kernel的物理地址(默认情况下都为00 80 00 00,同样为小端显示,即0x00008000)
    1.4 17-20个字节对应ramdisk的大小;
    1.5 21-24个字节对应加载ramdisk的物理地址;
  2. 偏移地址的定义;
    2.1 文件内容页对其,当前系统默认4K为一页,因此size不足4K的,会用0补齐;
以我的这颗boot.img为例,文件头信息如下:
41 4e 44 52 4f 49 44 21 //固定头,ANDROID!
a4 1c f2 00 00 80 00 00 //kernel大小为0x00f21ca4,加载到物理内存的0x00008000
1a 1c cc 00 00 00 20 02 //ramdisk大小为0x00cc1c1a,加载到物理内存的0x02200000
00 00 00 00 00 00 f0 00 //second stage大小为0,因此可以忽略

分析:

  1. kernel大小为0x00f21ca4(15867044),算上文件头的1页,因此kernel会占用:
    (4096 + 15867044) / 4096 = 3874.79…
  2. 考虑页对齐,因此会占用3875页,因此ramdisk内容是boot.img文件偏移0x00F23000开始;
  3. 而second stage为0,即不存在,因此ramdisk应该是从0x00F23000开始到整个文件结尾,于是使用指令:
dd if=boot.img of=ramdisk-recovery.img bs=4096 skip=3875

将boot.img中0x00F23000到文件结尾的部分截取出来,命名为ramdisk-recovery.img;

第三步 从recovery.img中提取文件

首先我们确认下这个ramdisk-recovery.img的格式:

$ file ramdisk-recovery.img
ramdisk-recovery.img: gzip compressed data, from Unix

显然是个gz压缩后的文件,因此我们使用gunzip解压:

$ move ramdisk-recovery.img ramdisk-recovery.gz
$ gunzip -v ramdisk-recovery.gz

完成后可以得到ramdisk-recovery,再对其执行file获取其文件格式:

$ file ramdisk-recovery
ramdisk-recovery: ASCII cpio archive (SVR4 with no CRC)

此时我们就可以使用cpio将该文件中的内容提取出来了:

$ mkdir recovery
$ cd recovery
$ cpio -idv < ../ramdisk-recovery
$ ll

total 3264
drwxrwxr-x 23 user user    4096 May  3 14:46 ./
drwxrwxr-x  5 user user    4096 May  3 17:55 ../
drwxr-xr-x  2 user user    4096 May  3 14:46 acct/
lrwxrwxrwx  1 user user      11 May  3 14:46 bin -> /system/bin
drwxr-xr-x  2 user user    4096 May  3 14:46 bt_firmware/
lrwxrwxrwx  1 user user      50 May  3 14:46 bugreports -> /data/user_de/0/com.android.shell/files/bugreports
dr-xr-xr-x  2 user user    4096 May  3 14:46 config/
lrwxrwxrwx  1 user user      17 May  3 14:46 d -> /sys/kernel/debug/
drwxrwx--x  2 user user    4096 May  3 14:46 data/
lrwxrwxrwx  1 user user      12 May  3 14:46 default.prop -> prop.default
drwxr-xr-x  2 user user    4096 May  3 14:46 dev/
drwxr-xr-x  2 user user    4096 May  3 14:46 dsp/
drwxr-xr-x  4 user user    4096 May  3 14:46 etc/
drwxr-xr-x  2 user user    4096 May  3 14:46 firmware/
-rw-r-----  1 user user     353 May  3 14:46 fstab.recovery.mata
-rwxr-x---  1 user user 2216816 May  3 14:46 init*
-rwxr-x---  1 user user    4371 May  3 14:46 init.rc*
-rwxr-x---  1 user user     696 May  3 14:46 init.recovery.mata.rc*
drwxr-xr-x  2 user user    4096 May  3 14:46 mnt/
drwxr-xr-x  2 user user    4096 May  3 14:46 odm/
drwxr-xr-x  2 user user    4096 May  3 14:46 oem/
drwxr-xr-x  2 user user    4096 May  3 14:46 persist/
-rw-r--r--  1 user user   26662 May  3 14:46 plat_file_contexts
-rw-r--r--  1 user user   31900 May  3 14:46 plat_property_contexts
drwxr-xr-x  2 user user    4096 May  3 14:46 postinstall/
drwxr-xr-x  2 user user    4096 May  3 14:46 proc/
lrwxrwxrwx  1 user user      15 May  3 14:46 product -> /system/product
-rw-r--r--  1 user user    7812 May  3 14:46 prop.default
drwxr-xr-x  3 user user    4096 May  3 14:46 res/
drwxr-x---  2 user user    4096 May  3 14:46 sbin/
drwxrwxrwx  2 user user    4096 May  3 14:46 sdcard/
-rw-r--r--  1 user user  831792 May  3 14:46 sepolicy
drwxr-x--x  2 user user    4096 May  3 14:46 storage/
drwxr-xr-x  2 user user    4096 May  3 14:46 sys/
lrwxrwxrwx  1 user user      19 May  3 14:46 system -> /system_root/system
drwxr-xr-x  2 user user    4096 May  3 14:46 system_root/
drwxr-xr-x  2 user user    4096 May  3 14:46 tmp/
-rw-r--r--  1 user user    5359 May  3 14:46 ueventd.rc
-rw-r--r--  1 user user   68187 May  3 14:46 vendor_file_contexts
-rw-r--r--  1 user user   22488 May  3 14:46 vendor_property_contexts
-rw-r--r--  1 user user     524 May  3 14:46 verity_key

至此,recovery中的文件提取完毕;
结合之前挂载的system与vendor,可以通过./extract-files.sh获取到所有需要的文件了;

Ryan ZHENG
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
华固件包解压工具和rec提取工具
01-08
这里面是华为荣耀的rom包解压提取工具,适合各位机油刷机用,可以提取rom包的recovery
教你如何从线刷包里提取并解压system.img
07-19
教你如何从线刷包里提取并解压system.img
安卓玩机搞机技巧综合资源------如何提取手机分区 小米机型代码分享等等 【一】
小马哥的专栏
12-06 4073
💕💕💕💕💕💕💕💕💕💕💕提取手机分区方法列举💕💕💕💕💕💕💕💕💕💕💕其实有很多种方法可以提取手机的分区。这边只列举一些常用的操作步骤1--adb 指令提取【视机型root。有的机型不需要root也可以提取】先要查看分区对应的分区号。类似 类似指令 2---第三方软件手机端提取、类似搞机助手 双系统工具箱等等 3---电脑软件链接手机提取各分区。不需要root权限。电脑端如果细分也有多种方式01--开机模式提取02---twrp模式提取03---底层端口提取 高通9
小米红米手机刷入Recovery手机教程-TWRP下载-获取root权限-新增小米12/13Pro适配
romleyuan的博客
03-07 1万+
小米CC9,小米CC9E,红米Note8,红米Note8Pro,红米7A全网,红米K20Pro尊享版。20210424新增小米11/11pro/11U/11青春/红米K40系列刷机方案,更完美刷机流程。小米10,小米10Pro,红米K30 4G/5G,魅族16系列,三星S10以及部分安卓9机型升级。安卓10后新版TWRP_recovery,如小米9,小米8,小米Max3等安卓Q版TWRP文版。红米10X系列TWRP,小米新机,魅族机型,部分机型升级支持安卓11底层刷机ROOT。
戴尔 Alienware x14R2原厂win11系统带F12 Support Assist OS Recovery 恢复功能
2201_75947794的博客
08-04 221
其他支持Support Assist OS Recevory如下: m15r7原装系统 m15r6原装系统。Alienware m17R4 原装系统 Alienwarem15R7原装系统。Alienware m17R2原装系统 Alienwar m17R3原装系统。G5 5500原装系统 G15 5520原装系统。G15 5521原装系统 G15 5530原装系统。G15 5511原装系统 G15 5510原装系统。G15 5515原装系统 G15 5525原装系统。
从安卓系统USB升级包里提取system.imgboot.imgrecovery.img在内的镜像文件
qq_33163046的博客
03-02 1万+
如果你拿到一个USB升级包,你会发现升级包的结构基本相似。但是里面并不是直接就有包括system.imgboot.imgrecovery.img在内的镜像文件。如果我们需要在Android手机上获取Magisk。提取内核(boot.img)就至关重要。当然其他镜像根据你的需要也有其他用处。这时,如果你需要这些镜像文件,怎么做呢?关注 "升级包>update.zip>payload.bin"。我们这篇的博客的目的就是从payload.bin提取出镜像文件。
从手机或其他设备提取和解压boot.imgrecovery.img
duanlove(技术路途)专栏
11-16 2万+
转自:http://blog.csdn.net/darkengine/article/details/7558711    boot.imgrecovery.img的结构很相似,都是kernel加上一个根文件系统。所以是可以用同一个工具(脚本)来分解,下面以分解boot.img为例分析如下: 1, cat /dev/block/mtdblock0 > /sdcard/boot.im
有手就能学会的,通过提取系统Boot来获取Root权限
m0_54803225的博客
03-10 1万+
提取官方刷机包boot文件获取root权限的方法 没有REC也好,刷入不了第三方REC也好,这一期教程可以解决这个问题 1,打开手机设置,关于手机里,看下自己系统版本找一个刷机包,下载到电脑(手机下载,后期复制到手机也行,也可以直接提取本机boot),解压.zip文件,找到boot.img这个文件 (安卓原生系统直接解压出来就行,其他系统解压会得到.bin文件,还需要使用其他工具来解包才能拿到boot) 2,复制出来,复制到手机系统根目录,或者一个你能记得住的位置 3,打开面具,选择并..
A/B(无缝)系统更新
Just_for_Fun的博客
09-12 5142
原文:https://source.android.com/devices/tech/ota/ab_updates A/B(无缝)系统更新 A/B 系统更新,也称为无缝更新,用于确保可运行的启动系统在无线 (OTA) 更新期间能够保留在磁盘上。这样可以降低更新之后设备无法启动的可能性,也就是说,用户需要将设备送到维修/保修心进行更换和刷机的情况将有所减少。 用户
Android studio 打包签名没换过却不一样_ROM定制开发教程-boot recovery解包打包
weixin_39744384的博客
10-25 324
一、解包打包Android 产品,内核格式是Linux标准的zImage,根文件系统采用ramdisk格式。这两者在Android下是直接合并在一起取名为boot.img,会放在一个独立分区当。这个分区格式是Android自行制定的格式。Android开发时,最标准的做法是重新编译于内核和根文件系统,然后调用Android给的命令行文件mkbootimg(out/host/linux-x86/...
windows下解包/打包boot/recovery.img的工具bootimg.exe
08-28
windows下解包/打包boot/recovery.img的工具bootimg.exe,且支持自动解包/打包dt.img,对于喜欢刷机和Android动态调试的朋友是很有用的,同时也感谢工具的作者。
fota.tar.gz_Fota Wildl_android fota_apk_fota.tar_linux 分区
09-14
基于android2.2的fota功能。 升 级 整 个 流 程 概 述 : 从 用 户 点 击 APK , 然 后 上 层 将 命 令 写 入 recovery/command,然后 kernel 检测到信号重启,将开机原因写入共享内存, 开机进入 appboot 检测到 arm9 ...
Android7.1 FOTA boot分区整包升级
最新发布
11-07
Android7.1 FOTA boot分区整包升级
fix_android7.1_qualcomm_install-recovery_not_found.txt
06-25
解决高通基线android7.1 fota升级的时候 install-recovery.sh file not found找不到的问题。 CSDN上有另外一种思路,分数不低,我用了一种更简单的思路,修改的代码比较少。跟大家分享。
androidR_FOTA.pdf
03-15
fota升级分析踩坑
MT2503_FOTA_introduction.1.pdf
05-03
MTK官方FOTA技术介绍,想实现远程升级的看看吧,描述的很详细。
[Android][踩坑]gradle配置android.useAndroidX与android.enableJetifier使应用对support库的依赖自动转换为androidx的依赖
热门推荐
Ryan ZHENG的专栏
03-29 3万+
背景 前一阵用Android Studio开发了一个app,用到了eclipse paho来实现MQTT通信部分; 在引入库时,在build.gradle添加: dependencies { ... implementation 'org.eclipse.paho:org.eclipse.paho.android.service:1.1.1' implementation 'org.eclipse.paho:org.eclipse.paho.client.mqttv3:1.
[Android][踩坑]Android Studio导入framework.jar的各种坑
Ryan ZHENG的专栏
04-28 1万+
[Android][踩坑]Android Studio导入framework.jar的各种坑 前言 需求是这样的,我在基于system_server的源码开发一个功能,涉及了20多个类的增加。因此纯文本编辑器显然不是一个很好的选择。而配置像VS Code插件之类的事情又比较麻烦。因此导入到Android Studio进行开发,并打包成jar包放回源码参与编译显然是比较好的选择了。熟不知,这里面坑不少,本文主要就是记录一下自己的踩坑历程,同时给有需要的同仁一些参考,顺便吐槽下现在能在网上搜到的方案都千篇一
LMKD浅析(三)——Android Q新特性(MTK篇)
Ryan ZHENG的专栏
05-22 1万+
Android Q引入新模式——PSI (Pressure Stall Information),根据注册对PSI信息的监听,并通过判断watermark,memfree,swapfree,thrashing等信息,更全面地判断当前系统压力,并进行针对性杀进程。 此模式需要依赖: 1、内核配置CONFIG_PSI=y; 2、属性ro.lmk.use_psi须不为false; 3、属性...
\fota8910_appimg_flash.xml
08-06
\fota8910_appimg_flash.xml是一个XML文件,通常是用于存储手机固件升级的相关信息。在手机固件升级过程,这个XML文件会被使用来描述升级文件的相关信息,例如升级文件的路径、版本号、升级类型等。 这个XML文件包含一些重要的标签和属性。其,<flash>标签是最常见的标签,它包含了多个<image>标签,每个<image>标签表示一张需要被刷入的镜像。在每个<image>标签,通常会包含<file>标签用来指定固件升级文件的名称。此外,还可能出现<type>标签来描述升级的类型,例如全量升级或增量升级。 除了<image>标签外,可能还会出现其他的标签,如<partition>标签和<operation>标签。<partition>标签用来指定固件升级文件需要刷入的分区,而<operation>标签用来描述刷入操作的相关信息,如是否需要擦除分区数据等。 总之,fota8910_appimg_flash.xml文件是一个用于描述手机固件升级信息的XML文件,其包含了固件升级文件的相关路径、版本号、升级类型等信息。通过解析这个XML文件,手机可以根据其的描述进行固件升级操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值