首先固定G值
三種方法,原理越獄
方法1.unc0ver固定
設置裡填上你要固定的g值,然後越獄。
方法2. 安裝Noncereboot12XX.ipa
方法3. 越獄後在Cydia裡安裝system info
在設置裡關於本機中修改。
1:拿到你之前備份的SHSH2文件,打開並複製G值
2:通過修改版unc0ver工具固定G值
填好後點JailBreak,即可寫入Generator值
經過實際測試,僅支持12.1.1 12.1.2 12.1.1b3 其他12系統不支持
3:通過futurerestore 刷機
futurerestore過程很簡單公式如下
./futurerestore -t blobs.shsh2 ipsw.ipsw –latest-baseband –latest-sep (Mac 版寫法)
d:\futurerestore -t blobs.shsh2 ipsw.ipsw –latest-baseband –latest-sep (Win 版寫法)
注意文版默認把工具放在d盤根目錄下
僅虛修改紅色部分即可
如果出錯,按下面方法退出恢復模式即可
./futurerestore –exit-recovery
RestoreM8 降級工具,工具依然要求 SHSH2 和 SEP兼容
其中 RestoreM8 僅限制 A7至A11 設備支持,其它設備不支持,所以說A12和A13設備就不要想了,A7至A11設備也不要太高興,降級要求很苛刻,不是隨意的。
文章開頭,為什麼我會說RestoreM8是輔助工具?因為它依然依賴futurerestore降級工具降級,好了,現在知道futurerestore是降級的核心,那RestoreM8工具只不過是集成輔助。
但我很欣賞RestoreM8工具,它可以自動下載最新SEP文件,如果你早期有看過我寫的futurerestore降級文章,你應該知道,SEP文件還需要自己去最新固件採取出來,超麻煩,而它就自動下載。
RestoreM8 輔助降級工具方法基本上與我之前出方法一樣,但它都寫在工具上了,這樣就能讓用戶方便的操作,一張圖說明RestoreM8操作方法。
跟著上圖步驟來操作,RestoreM8 輔助工具就能開始刷入系統,好了,了解了RestoreM8 工具,現在和你們說降級到什麼系統版本,因我的測試設備有限,只有一臺iPhoneX,沒辦法有效測試全部機型。
iPhoneX iOS13.4.1 系統降級 iOS13.3.1 系統,最終結果失敗,主要原因iPhoneXSEP不兼容,導致無法完整刷入,在手機正在刷機時,進度條到最後就會卡主了,無法正常刷入。
當然了,這個與降級工具無關,主要是蘋果發布了iOS 13.4系統後的版本就無法兼容了,導致刷入錯誤,
其它設備機型系統,是否兼容其它系統,這個未知,需要自主測試,但你不要想著能降級到更低的系統版本,iPhone6S 至 X 也不要想著能降級到 iOS12,目前暫時不能實現。
底部菜
打開就可以使用,而且iPhone/iPad並不需要越獄!
工具下載: 群號:751433362
不過有個前提,就是在使用之前,必須安裝JAVA平臺。
下載地址: https://java.com/en/download/manual.jsp
你可以根據自己的系統版本選擇相對應的平臺版本來安裝,Windows必須安裝64位,否則不能使用。
使用方法:
1,下載安裝好JAVA
2,打開工具,點擊右上角Read from device,載入手機數據
3,點擊下方的Go,開始保存SHSH2文件。保存成功之後就可以了
由於從macOS Catalina開始的新安全更改,您將需要執行額外的步驟才能打開應用程式。為了繞開像以前一樣打開應用程式的「功能」,開發人員需要擁有付費的Apple Developer帳戶。
Mac如何打開它:首次打開應用程式時,您需要右鍵單擊(或按住Control鍵單擊)該應用程式,並且macOS將顯示提示,詢問您是否確定要打開該應用程式。接受提示,從現在開始,您將可以像普通應用一樣打開blobsaver。如果JRELoadError嘗試過此方法後仍無法安裝,請確保已安裝正確的Java。
如果仍然無法解決問題,您還可以從終端上手動刪除應用程式上的隔離屬性:
xattr -r -d com.apple.quarantine /Applications/blobsaver.app
SuccessionDown降級工具,目前支持的機型有6S、6SP、6、6P、5s。
SuccessionDown安裝添加源:repo.matthewpison.github.io/
支持6s系列從13.3.1降級到13.3.1~13.0之間的任意版本
支持6代系列從12.4.5降級到12.4.5~12.0之間的任意版本,甚至可以到11.3~11.4.1
支持5s從12.4.5降級到12.4.5~12.0之間的任意版本,甚至可以到11.3~11.4.1
安裝方法:
越獄你的手機,打開cydia,在源地址裡面添加下面的源:matthewpierson.github.io/
然後點進去剛才添加源,安裝SuccessionDown
安裝好以後,打開SuccessionDown
選擇Download clean filesystem
點擊上方Enter iOS versions
然後輸入你要降級的版本
就開始下載固件了。
下載完成後返回
選擇prepare the restore,進去後點擊下方的erase iPhone開始降級操作。
等個5分鐘左右,OK降級完成!
最後使用pyboot引導啟動就好了。
僅macOS-
Windows不支持
請勿在主設備上使用此設備,否則會遇到問題,錯誤和其他問題,這會導致不良體驗。
什麼是PyBoot?PyBoot是ra1nsn0w的一種簡單替代方案,可用於拴緊引導Checkm8易受攻擊的iOS設備。
它會下載並修補iBSS / iBEC,下載已降級版本的內核,DeviceTree和TrustCache,將類型修補為還原類型(例如,EG krnl-> rkrn等),
並使用SHSH對其進行籤名,然後將固件發送到設備並刷機!
PyBoot也不依賴於iphonewiki上可用的密鑰,如果沒有在線密鑰,它將使您的設備進入PWNDFU模式並自動檢索!
PyBoot很可能極度損壞,會出現問題和錯誤。我只是為了好玩而做,並且有了ra1nsn0w的替代品,以便通過SuccessionDown(我的用於設備上的降級降級的Succession fork)來啟動降級的降級設備。
我該如何降級您可能要求的設備?只需將我的倉庫(matthewpierson.github.io)添加到Cydia / Zebra / Sileo並安裝「 SuccessionDown」 =)
當前設備支持iPhone 5S
iPhone 6/6 +
iPhone 6s / 6s +
iPhone SE(第一代)
半支持的設備-iPhone 7/7 +
iPhone 8/8 +
iPhone X
A10 / A11設備一旦啟動可能會出現一些問題,目前暫定支持
所有的iPad和iPod都未經測試,但是可以與相應的iPhone CPU正常工作。請嘗試讓我知道它們是否有效。
用法Usage: ./pyboot.py [OPTIONS]
E.G "./pyboot.py -i iPhone8,1 13.2.3 -b ~/Downloads/bootlogo.png"
Options:
-i, --ios DEVICE IOS Device model and downgraded iOS version to boot
-q, --ipsw IPSW DEVICE Path to downloaded IPSW
-b, --bootlogo LOGO Path to .PNG to use as boot logo
-p, --pwn Enter PWNDFU mode, which will also apply sig patches
-d, --dualboot PARTITION Name of system partition you wish to boot (e.g disk0s1s3 or disk0s1s6)
-a, --bootargs Custom boot-args, will prompt user to enter, don't enter a value upon running PyBoot (Default is '-v')
-c, --credits Show credits
-v, --version List the version of PyBoot
--debug Add 'serial=3' to boot-args to enable the usage of serial cables for debugging
--amfi Apply AMFI patches to kernel
使用說明cd進入PyBoot目錄
運行pip3 install -r requirements.txt
將設備以DFU模式連接到計算機
使用所需的選項運行PyBoot-EG'./pyboot.py -i iPhone8,1 13.1.1 -b〜/ Downloads / customBootLogo.png'
每當您要引導設備時運行PyBoot
請享用!
已知的問題降級後的存儲使用率很高。可以通過「重置內容和設置」來部分緩解(在mobilesobliterator降級後,通過Successdown調用,但有時它不運行)。您也可以嘗試執行此操作,但我尚未對此進行測試,因此您可以自己使用。
某些IPSW不會從Apple的伺服器下載。可以通過選擇其他iOS版本或提供IPSW來避免
降級後無法越獄。當前沒有方法將越獄設備降級。在安裝Cydia時Checkra1n將給出OTA錯誤(可能可以修復),並且嘗試查找內核偏移時Unc0ver失敗(可能無法修復)Unc0ver 4.1.0及更高版本對于越獄的13.x-13.3應該可以正常工作,但是您仍然不能使用Checkra1n,因為這會導致啟動時WiFi損壞,以及其他問題。Electra確實適用于越獄11.x,但是有些問題可以通過越獄後按照coolstar的推文來解決。12.x越獄未經測試,稍後將編輯帶有信息的自述文件。
Win降級教程
降級可能有風險,不一定完全成功,
操作之前請使用iTunes備份,以在降級成功之後恢復備份!
準備條件
iTunes
shsh2文件, 重命名為shsh.shsh2
關閉所有密碼
退出iCloud
plist或者shsh2文件
ipsw固件重命名為A.ipsw
工具下載地址: QQ群文件 群號:751433362填入G值重新越獄,此處很多個1的填入你想要降級版本對應的G值(降級版本shsh2對應的G值)
愛思助手備份的是plist文件,一樣可以通過查找Generator找到G值
底部菜單聯繫我
\
提醒: 工具在QQ群文件 支持Win64系統支持以下降級方法:Prometheus 64位設備(生成器和ApNonce衝突模式);
如果已保存shsh2 blob,則使用iRestore將設備還原到未籤名(或已籤名)的固件。
如果您沒有shsh2,請不要嘗試此操作。
要使用,請從QQ群文件下載iRestore.exe。
允許還原任何不匹配的已籤名iOS / SEP /基帶。
如果更新越獄的固件,則不建議使用'-u'參數!
使用checkra1n的iPhone X iOS 13.5.5越獄使用iOS13.4.1 SHSH2成功降級。
人臉識別功能正常,支持iPhone 6s-iPhone X
依存關係
運行在macOS上,futurerestore不需要運行時依賴項,以下內容僅用於編譯;在Linux上,運行時需要usbmuxd。
外部庫需要:libzip ;libfragmentzip ;libplist ;自由發現 ;libimobiledevice ;可選的:libipatcher ;
子模塊確保這些項目在您的系統上編譯(安裝其依賴項)jssy ;tsschecker ;img4tool ;idevicerestore
在Windows 10上還原嘗試還原設備,錯誤-8發生;
保持設備插入電源,它將保留在「恢復」屏幕上;
轉到Windows中控制面板下的設備管理器;
找到「 Apple Recovery(iBoot)USB複合設備」(在底部);
右鍵單擊並選擇「卸載設備」。您可能還會看到一個複選框,該複選框也允許您卸載驅動程序軟體,然後勾選(USB設備下的所有三個Apple行動裝置條目都將消失);
拔下設備,然後重新插入;
返回至futurerestore並再次發送恢復命令(只需按向上箭頭將其取回,然後輸入)。錯誤-8現在已修復,但是在設備屏幕變為綠色後,該過程將再次失敗;
返回設備管理器並重複上述驅動程序卸載過程(步驟4至6);
再次返回到futurerestore,然後重複還原過程;
設備將重新啟動,錯誤-10也將得到解決;
現在還原將繼續並成功。
編譯中
簡單使用 bash autogen.sh && make或使用Xcode項目。供安裝使用make install。
關於cURL
1)Prometheus(64位設備)-生成器方法要求如何使用
設備必須越獄並且nonceEnabler補丁必須處於活動狀態;
打開籤單並查找生成器:
將boot-nonce生成器寫入設備的nvram(設置boot-nonce之後,最新越獄(對於iOS 11+)將nvram解鎖):
激活nonceEnabler補丁的推薦方法方法1:ios-kern-utils(iOS 7.x-13.x):
在設備上安裝ios-kern-utils的 DEB文件;
在設備上運行nvpatch com.apple.System.boot-nonce。
方法2:使用特殊的應用程式使用實用程序來設置啟動立即數生成器:
適用於iOS 9.x的PhœnixNonce;
適用於iOS 10.x的v0rtexnonce;
適用於iOS的Nonceset1112 11.0-11.1.2;
適用於iOS 11.0-11.4b3的noncereboot1131UI;
適用於iOS 12.0-12.1.2。的NonceReboot12xx
方法3:使用越獄工具使用越獄工具來設置啟動立即生成器:
Meridian for iOS 10.x;
對於tvOS 10.2-11.1,為backr00m或greeng0blin;
適用於iOS和tvOS 11.x的Electra和ElectraTV;
適用於iOS 11.0-12.1.2的unc0ver;
適用於iOS 12.0-12.1.2和tvOS 12.0-12.1.1。的Chimera和 ChimeraTV。
如果越獄不允許,則激活tfp0
2)Prometheus(64位設備)-ApNonce衝突方法(恢復模式);要求
iOS 9.2-10.2(10.3b1)上的iPhone 5s,iPad Air,iPad mini 2(帶有A7晶片的設備);
不需要越獄;
使用定製的ApNonce籤署票證(.shsh,.shsh2);
工單需要具有一個ApNonces,該設備會產生很多。
TSSChecker項目中文件「 nonces.txt」中可用的ApNonces發生衝突。
如何使用以正常/恢復模式連接設備;
在電腦上運行futurerestore -w -t ticket.shsh --latest-baseband --latest-sep ios.ipsw。
3)Prometheus(64位設備)-ApNonce衝突方法(DFU模式);要求配備A7(iPhone 5s,iPad Air,iPad mini 2),A8(iPhone 6 [+],iPad mini [2、3、4],iPod touch [第六代])和A8X(iPad Air 2)晶片的設備iOS固件;
不需要越獄;
使用定製的ApNonce籤署票證(.shsh,.shsh2);
工單需要具有一個ApNonces,該設備會產生很多。
img4tool不能用於Windows [對iBSS / iBEC進行籤名的問題],現在是TO-DO。
TSSChecker項目中文件「 nonces.txt」中可用的ApNonces發生衝突。
如何使用以DFU模式連接設備;
使用irecovery檢查在DFU中啟動的ApNonce;
從目標固件中提取iBSS / iBEC以進行降級(未籤名);
使用irecovery檢查DFU衝突的ApNonces ,該命令在DFU中啟動。您不能自動衝突DFU ApNonces。如果沒有碰撞ApNonce,請「用手」進行DFU引導。如果成功將ApNonce切開,請使用此SHSH2標記iBSS / iBEC。
使用img4tool為標誌的iBSS:img4tool -s ticket.shsh -c iBSS.signed -p <original_iBSS>;
使用img4tool為標誌IBEC:img4tool -s ticket.shsh -c iBEC.signed -p <original_iBEC>;
因此,籤名後,我們可以使用irecovery引導至Recovery :irecovery -f iBSS.signed -加載iBSS;irecovery -f iBEC.signed -加載iBEC;
這麼好!在電腦上運行futurerestore -t ticket.shsh --latest-baseband --latest-sep -w ios.ipsw。
4)Odysseus(32位設備)要求使用libipatcher編譯的futurerestore(Odysseus方法支持);
越獄或bootROM漏洞(limera1n);
設備/目標iOS的固件密鑰必須是公共的;
籤署目標iOS的票證(.shsh,.shsh2)(OTA Blob也起作用!);
Odysseus捆綁包(您可以為此使用任何成功創建的捆綁包)。
如何使用使設備進入kDFU / pwnDFU模式:
以kDFU / pwnDFU模式將設備連接到計算機;
在電腦上運行 futurerestore --use-pwndfu -t ticket.shsh --latest-baseband ios.ipsw
5)iOS 9重新還原錯誤要求信息如果您具有不包含ApNonce的iOS 9.x籤名票,則可以還原到該固件。
如何使用以DFU模式連接設備;
在電腦上運行 futurerestore -t ticket.shsh --latest-baseband ios9.ips
什麼是「SHSH2」?
SHSH全稱SHSH blob, 也稱ECID SHSH, 它指的是由蘋果伺服器生成,並用於每個設備的ipsw固件的數字籤名,屬於iOS數字籤名協議的一部分。
它的存在是為了限制用戶將其設備刷機到或者說恢復到特定的iOS版本(該項過程由TSS籤名伺服器控制)
SHSH2是在某一時刻某一系統某一設備下時產生的,只對應唯一的一個ios版本的設備,所以在備份shsh2時,即使是同一個手機同一個系統,不同時間備份的shsh2裡面的g值都是不一樣的。不過都可以拿來刷機
固定隨機值:固定隨機值需要有tfp0的開發,可以用mterminal終端插件固定或者專門固定隨機值的APP固定
為什麼刷機要需要使用基帶和SEP呢?
其實可以把它們看作是和shsh2一樣的東西,只不過shsh2具有唯一性,
shsh2隻對應某一部手機的某一個ios版本,而基帶和SEP可以對應多個ios版本。
準備工作unc0ver 越獄工具
項目地址:https://github.com/pwn20wndstuff/Undecimus
需要刷入的固件
下載地址:ipsw.me
futurerestore 工具
項目地址:https://github.com/s0uthwest/futurerestore
企業籤名ipa或者自籤名
shsh blobs
固定G值找到下載的 shsh 文件,可能有好幾個,挑一個最新的,
用文本編輯器打開它
搜索「gen」,定位到 generator 值,下面那一串就是我們需要的G值
安裝 unc0ver app
在 Settings 裡找到 Boot Nonce,把剛剛找到的G值填寫進去
回到 Jailbreak 頁面,點擊 Jailbreak
這裡如果重啟,則表示失敗,請重試。如果多次失敗,開機後不要立即越獄,先操作一會再使用越獄工具
越獄成功後,會提示我們 boot nonce 已經被覆寫
點擊 Ok 後 app 會退出,我們手動重啟設備,或者回到 app 裡,有個重啟按鈕
重啟後,重新進入 unc0ver app,進入 setting,檢查 Boot Nonce 值是不是我們剛才寫入的值。如果不是的了,那就要重複前面的步驟重寫,重新越獄。如果還是剛才寫的值,說明G值固定成功。
準備文件我們一共需要準備六個文件
系統ipsw固件shsh 文件futurerestore 工具一個可執行文件
SEP 文件解壓下載的系統固件
在 Firmware/all_flash 目錄下,有一堆以 「sep」 開頭的文件,但是它有很多種,比如我這裡有 j120、j121 等
查看剛才保存的 shsh 文件的文件名,比如我這裡就可以看到是 j207,那我就選 「sep-firmware.j207.RELEASE.im4p」 這個文件,注意不是 plist 格式的那個
基帶固件在解壓縮的系統固件的 Firmware 文件夾裡,通常還有一些 .bbfw 格式的文件,這些是基帶文件。
這就需要你查一下你手機對應的是哪個基帶文件了,我這裡是 WLAN 版 iPad,所以只有一個
BuildManifest.plist 文件解壓縮系統固件,在根目錄就能看到這個文件
這樣我們就準備好了六個文件
開始刷機打開Mac電腦的 終端 app
輸入 <futurerestore 文件路徑> -t <shsh 文件路徑> -s <sep 文件路徑> -b <基帶文件路徑> -p <BuildManifest.plist 文件路徑> -m <BuildManifest.plist 文件路徑> -d <系統固件路徑>
按回車設備就會自動進入restore模式並開始刷機了,
如果出現錯誤,按照提示進行搜索處理