经常看到有些朋友问如何解开某某ROM，如何修改某某机器的PagePool等等，嫌麻烦不再一一解答了，写个教程。

请先下载本人拙作osnbtool.exe以及压缩支持库cecompr_nt.dll。关于OS镜像等的说明请移步osnbtool发布贴查阅，osnbtool.exe的命令参数说明请参考所附readme，本文不再赘述。工具发布贴：http://www.pdaclan.com/thread-12817-1-1.html


一、ROM文件的构成以及用-sp命令分离出OS镜像
粗略看了一下部落所发布的各机型ROM，大多数都包含了完整地OS镜像，对于这些rom文件都能够被osnbtool.exe直接支持。这些ROM的结构的种类如下图：


使用osnbtool.exe –sp <rom文件>来了解rom的构成和分离出OS镜像。对于种类一和种类三，-sp会分离出fName.ext.PRE文件（头部）和fName.ext.OS.NB（OS镜像或OS镜像+尾部）；对于种类二和种类四-sp命令执行后会提示不用split。只要ROM已经是以OS镜像开头，不管后面又没有“ROM尾部”，osnbtool都会正确处理，因此种类二和种类四是在本文中都看作是纯OS镜像。

-sp命令示例一：
下面是对ASUS-P535的纯OS-ROM执行-sp后的情况：
D:\ tools>osnbtool -sp galaxyii.nb0
OS ROM Partition Tool V1.30 By Weisun :> PDAclan.com
Sector size : 0x00000200
OS IMAGE found.
Partitions infomation:                                      ß------下表列出各分区信息
**************************************
Part-0 type: BOOT SECTION image                ß------分区 0 ：BOOT
Part-1 type: XIP RAM Image                          ß------分区 1 ：XIP
Part-2 type: IMGFS file system                       ß------分区 2 ：IMGFS文件系统
**************************************
Source file does not need to split!                    ß------已经是纯OS镜像

-sp命令示例二：
下面是对SORG的ASUS-P750 ROM执行-sp后的情况（750的官方ROM结构和535完全一样，但是SORG自定义了ROM结构）：
D:\ tools>osnbtool -sp PegasusP.nb0
OS ROM Partition Tool V1.30 By Weisun :> PDAclan.com
Sector size : 0x00000200
OS IMAGE found.
Partitions infomation:                                      ß------下表列出各分区信息
**************************************
Part-0 type: XIP RAM Image                           ß------分区 0 ：XIP
Part-1 type: IMGFS file system                        ß------分区 1 ：IMGFS文件系统
**************************************
PegasusP.nb0.PRE written.                             ß------生成了.PRE文件（rom头部）
PegasusP.nb0.OS.NB written.                         ß------生成了.OS.NB文件（OS镜像）


基于上面2个例子，我们看到-sp命令同时完成了分离出OS镜像和列出分区信息的功能。善用这个命令就可以对种类一到四的ROM进行分解了。


对于-sp命令示例一，我们用 osnbtool.exe –d galaxyii.nb0 2 imgfs.bin导出imgfs文件系统镜像，对于-sp命令示例二，我们用osnbtool.exe –d PegasusP.nb0.OS.NB 0 XIP.BIN导出XIP镜像（注意源文件是fName.ext.OS.NB）。至于如何导出示例一的XIP和示例二的IMGFS，留给读者自己想。。。。



**********************************************************

7.23 增强了的 -sp 命令支持包含扇区计数BLK的源ROM文件，对其进行自动判断并且分离出纯正的OS-IMAGE、.Extra文件，如果ROM有头部内容的话也同样生成.PRE文件，示例如下：

-sp命令示例三：
下面这个rom是在随便找了个SAMSUNG-i780的nb0，其中包含了头部以及os部分，文件中包含扇区计数BLK，osnbtool先把头部分离出来（头部不处理extra数据），再将OS部分分离为.os.nb(纯OS镜像)和.Extra，纯OS镜像把imgfs以及之前的分区长度全部按照标准还原，和nbsplit.exe -data 2048 -extra 8 导出的.payload文件不同，.payload没有还原长度，用osnbtool -d 以及2.1版本的imgfsfromnb.exe都不能导出正确的IMGFS.BIN，而osnbtool -sp导出的os镜像完全能够按照标准导出正确的imgfs.bin（至少用osnbtool -d 可以）：
D:\osnbtool>osnbtool -sp i780.nb0
OS ROM Partition Tool V1.34 By Weisun :> PDAclan.com
Sector size : 0x00000800                                        ß------自动扫描得到扇区尺寸
Extra data bytes : 0x00000008                               ß------插值长度（extra data）
OS IMAGE found.
Partitions infomation:
**************************************
Part-0 type: BOOT SECTION image                          ß------分区-0：BOOT
Part-1 type: XIP RAM Image                                     ß------分区-1：XIP
Part-2 type: IMGFS file system                                  ß------分区-2：IMGFS
Part-3 type: legit DOS partition                                 ß------分区-3：DOS-FAT
**************************************
i780.nb0.PRE written.                                               ß------首先把头部存为.PRE文件
i780.nb0.OS.NB written.                                           ß------得到符合标准的纯OS镜像
i780.nb0.Extra written.                                            ß------extra数据保存为.Extra文件，留作还原时用

下图为示例3导出的纯OS镜像.os.nb和nbsplit.exe导出的.payload的对比，请注意圈中文件长度：



对于示例3得到的.os.nb文件（纯OS镜像）用osnbtool -d 命令导出完整的imgfs.bin过程如下：
D:\osnbtool>osnbtool -d i780.nb0.OS.NB 2 imgfs.bin
OS ROM Partition Tool V1.34 By Weisun :> PDAclan.com
Sector size : 0x00000800                                        ß------扇区尺寸
Extra data bytes : 0x00000000                                 ß------因为源文件已经是纯OS镜像，extra数据为0
OS IMAGE found.
Partitions infomation:
**************************************
Part-0 type: BOOT SECTION image
Part-1 type: XIP RAM Image
Part-2 type: IMGFS file system                                ß------分区-2：IMGFS
Part-3 type: legit DOS partition
**************************************
Can not find compression signature.                         ß------未找到分区压缩标识（指的是srpx而不是imgfs的压缩）
Part-2 de-packing...
Successfully de-packed to imgfs.bin                         ß------输出了imgfs.bin

附注：
这个i780.nb0的MSFLASH签名段比较特殊，所以就算IMGFS分区符合MBR，用2.1版的imgfsfromnb.exe对.os.nb也不能正确导出imgfs.bin。同时在用imgfstonb.exe把imgfs导入时也会在错误的位置写入IMGFS_BLOCK_SIZE，而用osnbtool -c导入的话可以正确处理。




[ 本帖最后由 weisun 于 2008-7-23 16:46 编辑 ]

二、解开IMGFS文件系统以及合成ROM

在教程第一部分已经得到了imgfs.bin镜像，很多ROM diyer都能够熟练解开和打包，为了教程完整和对初学者照顾，再写一下解开和打包步骤：
Imgfstodump.exe imgfs.bin         得到DUMP文件夹，定制过程略。。。

Imgfsfromdump.exe imgfs.bin imgfs-new.bin         把定制好的DUMP文件夹打包生成imgfs-new.bin

Osnbtool.exe –c galaxyii.nb0 2 imgfs-new.bin         把新的IMGFS镜像插入源OS镜像，生成的新镜像文件会在源OS镜像文件名后再加上 .NEW后缀。（galaxyii.nb0是源OS镜像，如果-sp曾经分离出fName.ext.OS.NB，这里就要填这个文件名）

Copy /b/y fName.ext.PRE+fName.ext.OS.NB.NeW fName.ext         如果-sp时提示“Source file does not need to split!”就不需要这一步了，执行后生成原来的ROM文件。

[ 本帖最后由 weisun 于 2008-7-6 19:14 编辑 ]

三、对XIP.BIN修改PagePool值以及合成ROM

XIP分区在OS镜像中大多是分配在Part-1，也有少数分配在Part-0，目前还没有看到过XIP在其他分区的。
XIP分区镜像有压缩和不压缩之分，压缩的XIP镜像就是所谓的“SRPX”签名的分区。


这里需要说明一下以前的xip2srpx.exe在压缩新生成的XIP.BIN镜像有时会发生错误，一些喜欢移植XIP的玩家在ROM引导失败后浪费了很多时间去查找XIPPORT地址分配等问题，其实都是压缩镜像时惹的祸。Xip2srpx.exe的错误发生在Compress block table不能变长导致随后的data block内容不完整。Osnbtool.exe以及前一个版本srpxtool.exe起初就是为了解决这个问题而作，同时出于方便考虑支持了压缩和导入OS镜像一步完成，省却原来还要用HEX修改分区镜像头部等麻烦的操作。osnbtool.exe的“SRPX”压缩算法采用M$的标准头文件，保证了压缩是完全无误的。
另外说明一点osnbtool.exe –c命令在导入各分区时，不论输入的分区镜像文件尺寸有何变化，都能够正确重组整个OS镜像的结构。

1、第一步：XIP分区的导出

对于非压缩的XIP分区导出示例：
D:\ tools>osnbtool -d i350.nb0 0 xip350.bin
OS ROM Partition Tool V1.30 By Weisun :> PDAclan.com
Sector size : 0x00000200
OS IMAGE found.
Partitions infomation:

**************************************
Part-0 type: XIP RAM Image                       ß------指出分区 0 为XIP
Part-1 type: IMGFS file system
**************************************
Can not find compression signature.            ß------未找到签名，说明为未压缩分区
Part-1 de-packing...
Successfully de-packed to xip.bin               ß------导出到xip.bin


对于压缩的XIP分区导出示例：
D:\ tools>osnbtool -d 535.nb0 1 xip.bin
OS ROM Partition Tool V1.30 By Weisun :> PDAclan.com
Sector size : 0x00000200
OS IMAGE found.
Partitions infomation:
**************************************
Part-0 type: BOOT SECTION image
Part-1 type: XIP RAM Image                   ß------指出分区 1 为XIP
Part-2 type: IMGFS file system
**************************************
Signature: SRPX                                    ß------签名
CompressVersion: 5                               ß------压缩版本
Uncompressed size: 2FF000                   ß------未压缩前的size
Deompress processing...
Successfully decompressed to xip.bin     ß------成功解压到xip.bin


2、第二步：修改PagePool值
自动搜索PP偏移地址并修改到要求的数值示例：
D:\ tools>osnbtool -ap xip.bin 16
OS ROM Partition Tool V1.30 By Weisun :> PDAclan.com
Find "NKKD8" signature at offset: 0x000D6288    ß------“NKKD8”偏移地址
Find instruction at offset: 0x000D6548                ß------instruction偏移地址
Find PagePool Value at offset: 0x000D6558         ß------PP值偏移地址
Old value: 0x00500000(5MB)                             ß------ PP原值
Sure to modify it to 0x01000000 (16MB)(y/n)? y ß------是否修改到新值？y
New value: 0x01000000(16MB) written to offset 0x000D6558. ß------写入完成

指定PP偏移地址并修改到要求的数值示例：
D:\ tools>osnbtool -pp xip.bin 0x000D6558 5
OS ROM Partition Tool V1.30 By Weisun :> PDAclan.com
Offset: 0x000D6558                                      ß------指定的PP值偏移地址
Old value: 0x01000000(16MB)                       ß------ PP原值
Sure to modify it to 0x00500000 (5MB)(y/n)? yß------是否修改到新值？y
New value: 0x00500000(5MB) written to offset 0x000D6558. ß------写入完成


有些兄弟可能会问，既然可以自动搜索PP地址，为什么还要有指定PP地址命令呢？

这里说明一下，osnbtool.exe –ap命令的搜索算法模拟了人工使用HEX编辑器在XIP.BIN中寻找PP位置的逻辑，但是计算机程序总有机械的一面，虽然目前还没有遇到这个算法找不到的PP值地址，但是不排除特殊情况。如果遇到-ap不能找到PP地址，在不用HEX编辑器的情况下可以利用-ap的提示配合-pp指定地址去测试哪个是PP值，一般PP值的位置在instruction地址后面加0x10左右的地方，就从此地址开始。

自己用HEX编辑了一个-ap不能找到PP地址的XIP.BIN，示例如下：
D:\ tools>osnbtool -ap xip.bin 16
OS ROM Partition Tool V1.30 By Weisun :> PDAclan.com
Find "NKKD8" signature at offset: 0x000D6288
Find instruction at offset: 0x000D6548                            ß------找到instruction地址为0x000D6548
Can not find value of PagePool.

D:\Share\p535prj\debug>osnbtool -pp xip.bin 0x000D6558 16
OS ROM Partition Tool V1.30 By Weisun :> PDAclan.com
Offset: 0x000D6558                                                    ß------先试试看instruction地址+0x10的地方
Old value: 0x00000000(0MB)                                       ß------原值为0，看来不是(怀疑PP原值为0的可以试改这里)
Sure to modify it to 0x01000000 (16MB)(y/n)? n           ß------先不改，取消
User cancel.

D:\ tools>osnbtool -pp xip.bin 0x000D6554 16
OS ROM Partition Tool V1.30 By Weisun :> PDAclan.com
Offset: 0x000D6554                                                  ß------往前挪4个字节（DWORD）看看
Old value: 0x8854099C(2181MB)                               ß------更不像了。。。
Sure to modify it to 0x01000000 (16MB)(y/n)? n         ß------还是取消
User cancel.

D:\ tools>osnbtool -pp xip.bin 0x000D655C 16
OS ROM Partition Tool V1.30 By Weisun :> PDAclan.com
Offset: 0x000D655C                                                 ß------往后挪4个字节（DWORD）看看
Old value: 0x0050BB00(5MB)                                    ß------这个比较像
Sure to modify it to 0x01000000 (16MB)(y/n)? y         ß------好的，就改吧
New value: 0x01000000(16MB) written to offset 0x000D655C.  ß------改好了
如上在instruction地址+0x10附近查找哪一个值比较像，就改掉它刷机测。万一-ap改的没有效果也可以用此方法。目前遇到asus-p526以及gsmart-i350的pp偏移量比较特殊，最新版的-ap自动搜索已经改进并支持。在此感谢本坛大大STAR3000和ACWAN的测试！

3、第三步：XIP分区的导入并生成新的OS镜像

对于压缩的XIP分区导入示例：
D:\ tools>osnbtool -c i350.nb0 0 xip.bin
OS ROM Partition Tool V1.30 By Weisun :> PDAclan.com
Sector size : 0x00000200
OS IMAGE found.
Partitions infomation:
**************************************
Part-0 type: XIP RAM Image                         ß------指出分区 0 为XIP
Part-1 type: IMGFS file system
**************************************
Can not find compression signature.               ß------未找到签名，说明为未压缩分区
Part-0 inserting...
Successfully inserted xip.bin into i350.nb0.NEWß------导入了xip.bin，生成i350.nb0.NEW


对于压缩的XIP分区导入示例：
D:\ tools>osnbtool -c 535.nb0 1 xip.bin
OS ROM Partition Tool V1.30 By Weisun :> PDAclan.com
Sector size : 0x00000200
OS IMAGE found.
Partitions infomation:
**************************************
Part-0 type: BOOT SECTION image
Part-1 type: XIP RAM Image                        ß------指出分区 1 为XIP
Part-2 type: IMGFS file system
**************************************
Source OS image:                                        ß------以下为源OS镜像中的参数
Signature: SRPX                                          ß------签名
CompressVersion: 5                                     ß------压缩版本
Uncompressed size: 2FF000                         ß------未压缩前的size
Source Part-1 Size: 1F4000                          ß------压缩分区size
--------------------------------------                 ß------以下为新的OS镜像中的参数
Compress processing...
NEW Uncompressed size: 2FF000                ß------未压缩前的size
NEW Compressed size: 1B3137                    ß------XIP镜像压缩后的size
New Part Size: 1B377B                                ß------导入新OS镜像后的XIP分区size
Successfully compressed xip.bin into 535.nb0.NEWß------导入新OS镜像 535.nb0.NEW



上面这些步骤弄好了就可以用新做好的OS镜像刷机了，至于XIP.BIN的分解移植等不在本文讨论范围，请参考其他教程。



[ 本帖最后由 weisun 于 2008-7-21 12:10 编辑 ]

四、解开一些ROM的XOR掩码


有的机型支持多种包装的rom文件刷机，比如华硕535、525、750系列，可以直接刷OS镜像，又可以刷官方发布的升级包。而有些官方升级包的ROM文件使用了掩码，要分解这类ROM需要先解掩码，osnbtool提供了-x命令在解开掩码的同时显示rom中分区信息供参考。


下面是AsusP535官方WM6的CAP文件用-x解开后的情况：
D:\ tools>osnbtool -x asusp535.cap 0xA87BA0D5 ß------这0xA87BA0D5就是掩码
OS ROM Partition Tool V1.30 By Weisun :> PDAclan.com
Unmasked to asusp535.cap.XOR                        ß------解掩码后得到的.XOR文件
Sector size : 0x00000200
OS IMAGE found.                                            ß------找到了OS镜像
Partitions infomation:                                         ß------以下为分区信息表
**************************************
Part-0 type: BOOT SECTION image
Part-1 type: XIP RAM Image
Part-2 type: IMGFS file system
**************************************
如果-x后没有分区信息表的话说明掩码错了。最好问明白再来，穷举法试不出来的。。呵呵


接下来可以-sp了：
D:\ tools>osnbtool -sp asusp535.cap.XOR
OS ROM Partition Tool V1.30 By Weisun :> PDAclan.com
Sector size : 0x00000200
OS IMAGE found.
Partitions infomation:
**************************************
Part-0 type: BOOT SECTION image
Part-1 type: XIP RAM Image
Part-2 type: IMGFS file system
**************************************
asusp535.cap.XOR.PRE written.
asusp535.cap.XOR.OS.NB written.
不用再解释这些东东的含义了吧。。。。。。asusp535.cap.XOR.OS.NB就是535的OS镜像，要卡刷的话必须改名为：GalaxyII.nb0


用过本人的p535captool –d AsusP535.cap得到GalaxyII.nb0的朋友可能会问，这两种方法得到的OS有何区别？回答是没有区别。
P535captool是专用于535的，而osnbtool是通用工具。虽然也可以用Xda3nbftool的-x命令，但是osnbtool会列出镜像分区情况，更实用些吧。。。

至于怎样看出rom的掩码是多少。。。方法简单但是要说清楚颇费口水，以后再说吧。。


列出一些官方ROM的掩码(Asus变态吧，这么多都加掩码。。。)：
AsusP535：0xA87BA0D5
AsusP750：0xA87BA0D6
AsusP526：0x23232323
AsusP527：0x23232323
AsusA696：0xB0B0B0B0
。。。。。。其他的以后看过再补充

[ 本帖最后由 weisun 于 2008-7-6 21:31 编辑 ]

预留

难道是沙发！
技术强贴，裸体顶起来！

强烈顶上去，非常感谢楼主！

WEISUN 老大出手，造就一大批高手