记录一下如何将无法激活的iPhone 4s降级到iOS 6.1.3并“激活”和越狱

djh 发布于

最后更新于

免责声明

本文仅为个人技术实践的经验记录与分享,并非官方教程或专业建议。文中涉及的操作(包括但不限于使用checkm8漏洞、降级系统、删除系统文件等)具有巨大风险,可能导致设备无法使用、数据丢失或违反制造商的软件条款。请在充分理解风险并自行承担责任的前提下,谨慎参考本文内容。对于因遵循本文步骤操作而造成的任何设备损坏、数据损失或法律问题,作者概不负责。

请注意:

  1. 操作前请务必备份重要数据(如可能)。
  2. 本文方法针对特定情况(无法正常激活的iPhone 4s),不一定适用于所有设备或系统版本。
  3. 文中提及的工具、项目及链接为公开资源,使用请遵守其各自许可协议。
  4. 笔者支持用户对其拥有的设备享有更深入的控制权(如越狱/Root),但此观点不构成对违反任何服务条款行为的鼓励。
  5. 请勿将本文用于任何侵害他人合法权益用途。
  6. 本文所有操作均源于作者作为设备合法所有者,为恢复其无法正常使用的自有财产而进行的尝试与记录,根本目的是维护所有权与控制权,绝非为侵害任何他人权益提供方法。

操作有风险,动手需谨慎。

原因

我很久之前购买了一台二手iPhone 4s,系统版本是iOS 9.3.5。由于iOS 9.3.5在这台设备上运行非常卡顿,所以我决定将其降级到iOS 6.1.3。

经过一番折腾后成功降级,但是等打开后发现无法在插入sim卡后激活,原本以为是由于iOS版本太过老旧导致,于是又更新到了iOS 9.3.5,结果依然无法激活,并且在尝试使用爱思助手等工具强制激活今夜主屏幕后会在很短时间内又回到激活界面,如此循环往复,导致手机基本无法使用。

前几天突然想起来有这件事,遂打算解决。经过在各种地方收集信息,无法激活似乎是由于苹果的激活服务器拒绝激活以9900开头的IMEI号的设备导致。

过程记录

在前几天上网闲逛时发现有用户提到几个关键词开发板 SSHRamDisk 删除setup.app,并了解到Legacy-iOS-Kit项目可以方便地进行降级、越狱和配置SSHRamDisk等操作,虽然支持的设备不是特别新,但是4s作为究极老设备确实是支持的,于是我看了看项目wiki弄懂了流程,以下为流程记录:

  1. checkm8攻击(详细操作参考wiki)

    1. 准备一个raspberry pi pico
      wiki中显示固件主要支持烧录到两个设备:raspberry pico和ardunio。由于后者还需要外接一个USB拓展板,而我正好有更容易使用的前者,因此打算基于pico实现。
    2. 为pico烧录checkm8-pico的针对4s(8940)使用的固件
    3. 让4s进入DFU模式
    4. 使用特殊形式的线(wiki将其描述为Micro USB 2 in 1 OTG Y cable,我购买的相同形状线缆商品名称为安卓micro USB OTG供电数据线,具体形状查看wiki内的图片)连接电源、pico和手机
    5. 等待checkm8攻击成功(pico灯半秒闪烁一次)

  2. 使用Legacy-iOS-Kit进行降级

    此项目的提示非常完善,只需要跟着引导走即可在不需要准备6.1.3的系统文件的情况下自动完成降级(降级后似乎可以选择直接越狱)。
    由于我的MacBook没有买type-c的拓展坞,无法直接连接手机,并且据说Linux虚拟机对此项目的支持不好,因此最后翻出来一台很老的笔记本刷了Linux mint来运行项目。

  3. 降级成功后再次进行checkm8攻击

    不确定是否需要正常开机一次,因为抱有幻想我又正常进入系统换了张手机卡尝试激活了一次,结果当然是显而易见地失败了。

  4. 安装SSHRamDisk

  5. 连接后执行mount.sh

  6. 执行rm -r /mnt1/Applications/setup.app以删除steup.app并正常重启即可

相关解释

以下是我个人的解释,由于并非深入了解过相关生态,仅作为笔记用途,并不保证准确。

checkm8

复杂的原理也没弄明白,只能说是一个老的iOS设备的严重的安全漏洞,攻击成功后会被Legacy-iOS-Kit识别为pwned DFU模式,可以拥有类似于越狱后的更高的权限来进行特殊操作,从而实现在在无法激活手机并越狱的情况下的降级或者启用ssh服务。

SSHRamDisk

用于在设备上创建一个可提供ssh服务的ramdisk,从而允许我们直接访问到设备的文件系统。一般来说ramdisk应该是重启后就消失了,不会对设备造成可逆的影响。

mount.sh

连接到SSHRamDisk后/mnt1/mnt2是空的,需要手动执行mount.sh进行挂载以访问文件系统,但是我没有具体查询他们具体代表什么又做了什么。

其他影响

由于没有正常激活,这个设备应该是没法使用移动网络的,只能当一个赛博文玩安装安装老游戏或者摸摸拟物化风格了。

另外根据观察,每次重启后都会在锁屏后弹出一次无法激活,随后解锁再锁屏后不会再显示,除此以外没有任何影响。

总结

我现在挺喜欢这个手机的,很小巧,很喜欢在备忘录中打字的感觉,因此偶尔会拿起来玩凉席啊。

曾经我不理解为什么有些人坚定拥护用户对自己手机的root的权利,当时我对此并也没有很明确的态度。

但是现在我遇到了这个情况,假如用户根本不被允许root,所有root相关的项目都被封禁,这个设备就真成一块高价砖头了。

因此现在我非常支持用户拥有对自己设备root的权利。

相关参考

djh

djh

事已至此,先吃饭吧

99
4
133
NOTICE

正式启用CDN!

CATEGORIES
TAGS
acme.sh aliyun android archlinux arduino arm asm bios bison bitcomet blog brainfuck c/c++ c11 c23 caddy cdn cheat_engine clash conda coredns crdroid cuda debian devcontainer devops docker docker-compose dokuwiki edgeone express fail2ban fastapi fedora flex gcc gin git gitea github golang hadoop hexo hollow_knight ios ipc iphone iptables java jlink jupyter k2p k3s kaleidoscope keil latex latexmkrc lfs linux lisp llvm log4js macos mariadb matplotlib memos msvc nasm nginx nodejs ntp onedrive opencv openwrt overleaf php posix postgresql proxmox psd psd-tools python raidrive raspberry_pi_pico rdp rockylinux rom sdcc setuptools shell siyuan spark sqlite ssh stc89c52rc swift system_v systemd termux ubuntu unity usb vcvarsall_bat ventoy vim vps vs2022 vscode vtoyboot vue3 webdav windows wireguard wordpress wsl2 xelatex yaml yum 中文字体 加密 单片机 反向代理 大数据 应用 开发 移动开发 算法 红米k30 编译原理 跳转表 链接 零刻 鸿蒙