出自https://blog.csdn.net/whu_zhangmin/article/details/24733677
本文以recovery.img为例来讲解说明,boot.img类似
1、获取recovery.img
首先将手机root,一般使用360一键root或者百度一键root,这是一种软件层面的root,无非是利用android漏洞在/system/app下植入一个superuser.apk来掌管root权限,每次用户需要root权限时,使用su命令,界面会弹出对话框要求确认。下面还会讲到另一种root,把它叫做内核root,也就是default.prop这个文件中两个属性值:
ro.secure=0
ro.debuggable=1
内核root之后,adb shell直接是root用户登录,而软件层面root,adb shell依然是shell用户登录,必须通过su命令切换到root用户($ 符号变成#)。
一般我们如果不是手机厂商用户,刚开始只能是软件层面的root。
adb shell
su
切换到root用户后
1)如果是高通芯片的手机,采用以下命令将recovery.img拷贝出来
dd if=/dev/block/platform/msm_sdcc.1/by-name/recovery of=/storage/sdcard/recovery.img
ps:cd /dev/block/platform/msm_sdcc.1/by-name 到这个目录下ls -al命令可以看到revoery其实是个链接文件,链接到/dev/block/mmcblk0p16 这个分区块,因此也可以使用一下命令:
dd if=/dev/block/mmcblk0p16 of=/storage/sdcard/recovery.img
2)如果是MTK芯片的手机
有两种方式:
dd if=/dev/recovery of=/storage/sdcard/recovery.img bs=1024 count=6144
dd if=/dev/block/mmcblk0 of=/storage/sdcard/recovery.img skip=xxxx bs=1024 count=6144
注意:bs的值目前可以固定1024,count的值需要查看cat /proc/dumchar_info文件对应的recovery大小来确定(高通平台没有dumchar_info这个文件),
比如size一列为0x600000,那么count的值为6144,也就是6M,如果为0x700000,那么count的值为7168,也就是7M大小。
skip代表偏移,因为MTK平台recovery和boot等都在一个相同的分区中,通过地址偏移量来区分,这就是为什么高通平台不需要执行bs 和count的原因。
3)如果手机是Nvidia芯片
ddif=/dev/block/platform/sdhci-tegra.3/by-name/SOS of=/storage/sdcard/recovery.img
2、解压缩recovery.img
网上很多文章有关解压缩和重新打包压缩recovery.img的,利用perl脚本split_bootimg.pl 来解压缩,但本人试验过,解压缩还行,重新打包就完全不行,生成的recovery.img根本没法用。
recovery.img中主要包含内核recovery.img-kernel和根文件系统recovery.img-ramdisk.gz两个东西。
这一步依然要区分MTK平台和非MTK平台
1)对于MTK平台,过程稍微多一步
./split_bootimg.pl $1
//如果是非MTK平台就不需要这一段代码 filename=`basename $1` echo $filename..... dd if="$filename-ramdisk.gz" of="$filename-ramdisk.tmp.gz" skip=512 bs=1 mv "$filename-ramdisk.gz" "$filename-ramdisk.gz.full" mv "$filename-ramdisk.tmp.gz" "$filename-ramdisk.gz" rm -fr ramdisk_bak mv ramdisk ramdisk_bak mkdir -m 777 ramdisk cd ramdisk gzip -dc ../$1-ramdisk.gz | cpio -i cd ../ chmod 777 -R ramdisk
$1代表传入的参数recovery.img
执行这段脚本代码后,屏幕会打印类似
Page size: 2048 (0x00000800)
Kernel size: 4285080 (0x00416298)
Kernel addr: 268468224 (0x10008000)
Ramdisk size: 1712833 (0x001a22c1)
Ramdisk addr: 285212672 (0x11000000)
Second size: 0 (0x00000000)
tag addr: 268435712 (0x10000100)
dt size: 0 (0x00000000)
Board name:
Command line:
dt: 0 (0x00000000)
dt_offset: 6002688 (0x005b9800)
Writing revocery.img-kernel ... complete.
Writing revocery.img-ramdisk.gz ... complete.
解压之后在当前目录下就生成了ramdisk目录,里面就是根文件系统
2)对于非MTK平台,比如高通平台
./split_bootimg.pl $1
rm -fr ramdisk_bak mv ramdisk ramdisk_bak mkdir -m 777 ramdisk cd ramdisk gzip -dc ../$1-ramdisk.gz | cpio -i cd ../ chmod 777 -R ramdisk
执行解压后会输出如下:
Page size: 2048 (0x00000800)
Kernel size: 6471072 (0x0062bda0)
Kernel addr: 32768 (0x00008000)
Ramdisk size: 1995775 (0x001e73ff)
Ramdisk addr: 33554432 (0x02000000)
Second size: 0 (0x00000000)
tag addr: 31457280 (0x01e00000)
dt size: 5046272 (0x004d0000)
Board name:
Command line: console=none
androidboot.hardware=qcom user_debug=31 msm_rtb.filter=0x37
ehci-hcd.park=3 restart.panic_to_dload=0 restart.download_mode=0
dt: 2464 (0x000009a0)
dt_offset: 8470528 (0x00814000)
Writing recovery.img-kernel ... complete.
Writing recovery.img-ramdisk.gz ... complete.
Writing recovery.img-dt.gz ... complete.
6640 blocks
注意上面的输出内容:Kernel addr,Ramdisk addr,Command line 以及dt size(可能为0)
Kernel addr = base addr + 0x8000
Ramdisk offset = Ramdisk addr - base addr
Ramdisk addr =base+0x2000000
tag addr =base+0x100
这里base addr为0x00000000,Ramdisk offset 为0x02000000,注意还生成了一个recovery.img-dt.gz
同样也生成了ramdisk目录,可以替换sbin目录下的可执行文件,换成自己定制的recovery,同样的打开build.prop可以修改内核root的两个属性
ro.secure=0
ro.debuggable=1
注意,改这两个属性在boot.img中,并重新打包刷到手机中,就能实现内核root了。
3、重新压缩打包recovery.img
1)对于非MTK平台:
//将ramdisk目录打包成ramdisk-new.gz压缩包
rm -fr ramdisk-new.gz
./mkbootfs ./ramdisk | gzip > ramdisk-new.gz
rm -fr recovery-new.img
./mkbootimg
--cmdline 'console=none androidboot.hardware=qcom user_debug=31
msm_rtb.filter=0x37 ehci-hcd.park=3 restart.panic_to_dload=0
restart.download_mode=0' --kernel recovery.img-kernel --ramdisk
ramdisk-new.gz --base 0x00000000
--pagesize 2048 --ramdisk_offset 0x02000000 --dt recovery.img-dt.gz -o
recovery-new.img
注意看命令,在第二步中计算过的--base 0x00000000 --pagesize 2048 --ramdisk_offset 0x02000000值都用上了,同时加上--dt命令(有些recovery.img也没有包含dt文件,这种情况下就不需要--dt参数)
2)对于MTK平台
就不需要上面计算的参数,直接
./repackMTK.pl -recovery recovery.img-kernel ramdisk recovery-new.img
4、接下来就是重新烧到手机中验证了,可以通过fastboot来烧写,可以参考我的上一篇记录Android 采用fastboot刷system.img boot.img recovery.img