第三方Recovery移植修改

boot和recovery映像并不是一个完整的文件系统，它们是一种android
自定义的文件格式，该格式包括了2K的文件头，后面紧跟着是用 gzip
压缩过的内核，再后面是一个ramdisk内存盘，然后紧跟着第二阶段的
载入器程序（这个载入器程序是可选的，在某些映像中或许没有这部分）。
boot是正常引导手机系统的，recovery 是在boot的基础上增加了一些
功能。他们的img 结构如下：
** +—————–+
** | boot header | 1 page
** +—————–+
** | kernel | n pages
** +—————–+
** | ramdisk | m pages
** +—————–+
** | second stage | o pages
** +—————–+
**
其中ramdisk映像是一个最基础的小型文件系统，它包括了初始化系统
所需要的全部核心文件，例如:初始化init 进程以及init.rc（可以用于设
置很多系统的参数）等文件。
如果你您很擅长使用16进制编辑器的话，你您可以打开boot.img或者
recovery.img，然后跳过开始的2K的头数据，然后寻找一大堆0的数 据，
在这一堆0的数据后面，紧跟着1F 8B这两个数字（1F 8B是gzip格式
的文件的结束标记）。从此文件开始的地方（跳过2K的头），一大堆0
后面紧跟着到1F 8B这两个数字为止的全部数据，就是gzip压缩过的
linux 内核。从1F 8B后面紧跟着的数据一直到文件的结尾包含的全部数
据，就是ramdisk 内存盘的数据。你可以把把内核和ramdisk 两个文件
分别保存下来，在进行 分别的修改和处理。

###自制recovery的方法####
对应的windows下的程序大家可以自己找，由于
windows的文件名不区分大小写，不支持软连接，所
以我建议大家最好还是在linux 环境下改写
recovery.img.

下载split_bootimg.zip 文件，在此zip 文件中包含一个perl 文 件，
split_bootimg.pl 脚本，该脚本可以读取recovery.img 头将kernel 和
ramdisk读取出来，此脚本也会输出内核命令行和板子名字。
下面是一个仅是一个解包recovery.img的例子：
% ./split_bootimg.pl recovery.img
Page size: 2048 (0x00000800)
Kernel size: 1388548 (0x00153004)
Ramdisk size: 141518 (0x000228ce)
Second size: 0 (0x00000000)
Board name:
Command line: no_console_suspend=1
Writing recovery.img-kernel … complete.
Writing recovery.img-ramdisk.gz … complete.

解包ramdisk的命令如下：
% mkdir ramdisk
% cd ramdisk
% gzip -dc ../recovery.img-ramdisk.gz | cpio -i
% cd ..
解码完毕后，就可以修改了，主要的工作在这里，这里是自制的地方。（例如，在default.prop
设置ro.secure=0等等）

使用mkbootfs工具来重新创建ramdisk，可以使用如下命令来操作：
% mkbootfs ./ramdisk | gzip > ramdisk-new.gz

使用mkbootimg来重新创建recovery-new.img：
% mkbootimg –cmdline ‘no_console_suspend=1 console=null’ –kernel recovery.img-kernel
–ramdisk ramdisk-new.gz -o recovery-new.img

到此我们就得到了一个新的recovery-new.img，然后我
们按照上面讲的刷入第三方recovery的方法刷入就可
以验证刚做的recovery了。

###自制recovery####

接着开始自制recovery吧，下面步骤：
1。从官方包，解压出原生的recovery.img。
2。按照上面解img 的方法，解出原生recovery包的内
核recovery.img-kernel 和ramdisk 内存镜像，再把
ramdisk内存镜像解包，我们要在这个基础上作修改。
3。找到合适的功能比较好的第三方recovery包，比如
以G6的recovery-clockwork-5.0.2.0.img为例，同样解
出其内核kernel 和ramdisk 内存镜像，再把ramdisk
内存镜像解包，我们需要这个包内的有用文件。
4。准备新recovery 的内核，我们使用官方原生包的
recovery.img-kernel，只有原生的内核才能跟手机的硬
件匹配。
5。修改ramdisk内存盘，其内文件列表大致如下：
./init.trout.rc
./default.prop
./proc
./dev
./init.rc
./init
./sys
./etc
./init.goldfish.rc
./sbin
./system
./data
1）default.prop，是一定要改的，可以参照第三方的改，
最关键的：
ro.secure=0 关闭保护
ro.allow.mock.location=1
ro.debuggable=1 调试模式开
persist.service.adb.enable=1 adb远程开
2）/sbin 里面所有的文件都替换成第三方包里面的，
特别是其中有个recovery文件，所有的第三方功能都
在这个recovery中实现。
3）/etc 里的recovery.fstab，是挂载表，可以提供sd
卡ext分区支持。
4）/init可以用原生的，第三方的也行。
6。按照上面打包ramdisk 的方法打包新改的ramdisk
内存盘。
7。按照上面打包img 的方法打包生成新的
recovery-new.img。
正常情况下，到这一步我们自制的recovery.img 就做
好了，可是按上面刷recovery的方法刷入手机了，可
是手机依然是S-ON。这就意味着Hboot会对recovery
进行校验，如果校验不对，那么对不起，你别想启动
手机。最终我发现了HTC S-ON验证的秘密：
还记得上面说img 的2K的文件头么？秘密就在这里，
可惜不能直接贴图，具体操作如下：
[——现在看来这段话以及下面的8、9、10三步的分
析是有问题的，但是操作虽然怪异结果却是正确的，
正确的分析以及正常的操作，请看下面我11.27日的
补充。小秋 2011.11.29 注]

8。用UltraEdit-32（或者其他16进制编辑器）打开刚
改好生成的recovery-new.img，记住第二行的前三个字
节（10h的0、1、2三个），一会儿有用。
9。再打开手机原生的recovery.img。对比来两个文件
的文件头，把原生的前16行（000h-100h）复制到新
的recovery上覆盖。这个就是S-on校验的内容，直接
生成的img 启动不了就是因为这里通不过校验。
10。最后把新的recovery-new.img，第二行的前三个字
节改回到刚才记下的三个值，保存就OK了。这一步
很关键，我一直是在此处徘徊的，最初我只保留前两
个字节，造成只要对原生img 一改动得稍大一点就启
动不了。总之这里的三个值很关键，好像跟img 的大
小有关系，如果不对的话新的recovery绝对启动不了。
###刷入自制的recovery####

1。关于怎么刷入新的recovery，往上面看，按照[刷
第三方recovery]的方法刷。

2。关于怎么进recovery模式，也往上看，按照官方原
生的[进入recoery的方法]进。
#####其他####
再说一点，关于解S-ON的问题：
1。这可是HTC的最后一道关，加密得很严的，哪有
那么容易的。
2。除非是硬解，拆开机子，到也不是很难。
3。我个人觉得，既然recovery搞定了，要备份能备份，
要刷机能刷机，所有想干的都能干了，还在乎s-on，
干什么阿。
4。s-on还是有好处的，再怎么折腾，也能保修，呵呵
##### 小秋 2011.11.27
最新补充 ####
关于基址 base的计算方法
boot.img recovery.img 还有一个重要的参数，基址
base,用于告诉手机从哪个地址开始，是准备给内存盘
的入口，哪个地址是给kernel的入口。如果你对不上
号，对不起，不能不能启动手机。
在android系统ROM的boardconfig.h中存在地址偏移
的define:
#define PHYSICAL_DRAM_BASE 0x00200000 //这就是定义基址，各手机是
不一样的
#define KERNEL_ADDR (PHYSICAL_DRAM_BASE + 0x00008000) //内核地址
#define RAMDISK_ADDR (PHYSICAL_DRAM_BASE + 0x01000000) //散存盘
地址
#define TAGS_ADDR (PHYSICAL_DRAM_BASE + 0x00000100)
#define NEWTAGS_ADDR (PHYSICAL_DRAM_BASE + 0x00004000)

boot.img是怎么打包在一起的呢?找到bootimg.c文件，
看吧。 header + padding + kernel + padding + ramdisk +
padding + …
所以一个boot.img或者recovery.img开头的结构具体
如下:
4 * 2, magic，固定为”ANDROID!”
4 * 1, kernel长度，小端unsigned类型
4 * 1, kernel地址，应为base + 0x00008000
4 * 1, ramdisk长度，小端unsigned
4 * 1, ramdisk地址，应为base + 0x01000000
4 * 1, second stage长度，小端unsigned，为0
4 * 1, second stage地址，应为base + 0x00f00000
4 * 1, tags地址，应为base + 0x00000100
4 * 1, page大小，小端unsigned, 为2048或者4096
4 * 2, 未使用，固定为0x00
4 * 4, 板子名字，一般为空
4 * 128, 内核命令参数，一大串
4 * 8, id,不知道啥玩意，0x00

以我们官方原生的recovery为例,如下图:
从图中我们可以知道： 41 4E 44 52 4F 49 44 21 就是
Magic Number ,内容是固定的ANDROID!。一一对应
kernel_size就是D4 C9 31 00 –>0x0031C9D4。注意，小
端读法。是Byte内，顺读，整个类型中，逆读。
kernel_addr 即00 80 40 80 –>0x 80408000。根据
KERNEL_ADDR (PHYSICAL_DRAM_BASE + 0x00008000),
所以PHYSICAL_DRAM_BASE=0x80400000.
ramdisk_size是：D3 25 10 00 –>0x001025D3。
ramdisk_addr 即00 00 40 81 –>0x81400000。根据
RAMDISK_ADDR (PHYSICAL_DRAM_BASE + 0x01000000),
所以PHYSICAL_DRAM_BASE=0x80400000.
second_stage size:00000000
second_stage addr:00 00 30 81 –>0x81300000.根据
RAMDISK_ADDR (PHYSICAL_DRAM_BASE + 0x00f00000),
所以PHYSICAL_DRAM_BASE=0x80400000.
tags_addr:00 01 40 80 –>0x80400100.根据TAGS_ADDR
(PHYSICAL_DRAM_BASE + 0x00000100), 所以
PHYSICAL_DRAM_BASE=0x80400000.
page_size:00 80 –>0x0800.这是页长。页长一般都为
1K(1024)的整数倍吧,此处页长是0x0800,转为十进制，
则是2048

根 据 上 面 的 计 算 咱 们A6390/A6388 的 基 址
为:PHYSICAL_DRAM_BASE=0x80400000
同时我们在图上还能看到,传入内核的参数为:
‘rootwait console=ttyS2,115200n8
videoout=omap24xxvout omapfb.vram=0:2M
omap_vout.vid1_static_vrfb_alloc=y
omap_vout.video1_numbuffers=6
omap_vout.vid2_static_vrfb_alloc=y
omap_vout.video2_numbuffers=6’

综上, 我们在打包A6390/A6388 的boot.img 或
recovery.img时,使用mkbootimg的具体参数为:
./mkbootimg –cmdline ‘rootwait
console=ttyS2,115200n8 videoout=omap24xxvout
omapfb.vram=0:2M omap_vout.vid1_static_vrfb_alloc=y
omap_vout.video1_numbuffers=6
omap_vout.vid2_static_vrfb_alloc=y
omap_vout.video2_numbuffers=6’ –kernel
recovery.img-kernel –ramdisk ramdisk-new.gz –base
0x80400000 -o boot-new.img

其中recovery.img-kernel为新内核;ramdisk-new.gz为新
的内存盘;boot-new.img为生成的新img.
按照此方法打包的boot.img或recovery.img因为基址
和内核参数都正确可以直接在A6390/A6388上使用,
不用做任何修改.
即不用做上面”自制A6390的recovery”的第8、9、10
步。这三步在当时做的时候虽然可用了，但是不知为
啥可用，现在总算解释清楚了