XX教你玩 MiniPC （二）MK908升级包分析

前一篇已经讲完了怎么debug MK908的硬件，关键点是引出了调试用串口，这在后续的分析过程中起到很大作用。

这一篇，将脱离MK908的硬件，从MK908的升级包的角度来看出厂时，MK908的启动和工作方式。

先发布一下，这篇用到的工具的下载地址链接：http://pan.baidu.com/share/home?uk=3409825988

这些是我这几个星期调查过程中，探索到的有用的工具。当然实验过程中用到的工具比分享的要多很多，给大家分享的工具是经过测试以后，觉得很好的对大家有帮助的工具。

先说明一下这篇要用的工具和材料。

afptool --- 升级包的二次解包工具

rkimagemaker --- 升级包的一次解包工具

rk2918_tools-master.zip --- afptool,rkimagemaker等工具的源码

rk统一工具...  ---  包括量产工具，开发工具等等，每个工具都有说明

update_mk908... --- MK908的升级包

量产工具+驱动 ... --- 顾名思义了。

这里主要使用的工具就是 rkimagemaker和afptool，还有就是16进制的编辑工具，比如 winhex, ue等等。把这些工具下载安装好后，就可以向下进行了。

先说明一点信息。MK908的CPU使用的是RK3188，rockchip（瑞芯微）公司出品，4核1.6G。

在rockchip的发展过程中，由于一些原因（兼容和扩展性？），在原来android firmware的基础上重新打包，这也是为什么会有2次解包的原因。

首先，来看看rkimagemaker的源码，我们主要关心它的头文件，因为头文件中包含了重要的 header信息，即这个包的格式信息。这个结构体将在升级包的头部，索引后续的所有操作。

最明显的，包的开头有MAGIC字段，用于标识包的类型，“RKFW”应该是 rockchip firmware 的缩写了吧，意思就是 rockchip公司的固件。

向下就是头长度，版本等信息。最重要的是loader_offset,loader_length,image_offset,image_length四个字段。分别表示 bootloader的文件内偏移，大小，子包的文件偏移和大小。根据这两组信息，就可以到指定位置取得bootloader和image的数据。其他的信息，我们可以比照代码，自己理解领会。

先用winhex看看Magic是否正确。

可以看到，Magic是正确的，按照头的格式，得到以下内容（注意大小端，以及内存的存储方式）

header size：0x66

version：4.1.1

code：1.6

日期：2013.9.5  15：45：03

chip：112

loader_offset：0x66

loader_size：0x0002f8ae  190K

image_offset：0x02f914

image_size：0x1d2fc004  466M

我们可以计算出bootloader的地址大小，以及image的地址大小。

下面用工具解包。

成功后在 当前目录下生成两个新的文件：boot.bin   firmware.img。boot.bin就是bootloader的二进制文件，firmware.img就是android的升级包。对比一下两个包的大小，跟上面从 winhex分析的结果一样，这说明我们分析的思路是正确的。

在此插一嘴：升级包的组织形式跟系统启动关系不大，把多个包组在一起的目的是方便升级，防止升级时丢包。升级包在升级时会被升级工具按照我们刚才的思路解析，读取出每个子包，再传给MK908。

继续分析生成的2个文件。boot.bin 这个是bootloader的二进制文件，没有源码，估计rockchip也不会轻易流出源码。但是尽管如此，我们还是有办法知道bootloader的内部原理，这个放在下一篇来说吧。这一篇先说firmware.img---android 升级包。

还是先看看afptool的源码吧，关注的依然是头文件。

还是有开头的MAGIC，“RKAF”这个跟上层的magic不同，应该是 rockchip android firmware的缩写吧。从这两个magic的不同可以看出，rockchip为了后续产品（非android）的兼容性，在android firmware的基础上，重新封装了包。也能看出rockchip的决心不只在于android。

我们也可以使用winhex 查看里面的magic是否对应，以及其他一些信息。

好吧，说多了。与上层包不同，android firmware的包头将依赖于两个配置文件 parameter和package-file。其中paramter 也会被烧写到mk908的flash上，在启动中起到很大的作用，而package-file则是指导afptool生成image的。

首先解包，然后再看里面的内容。

这次多了好多文件啊。还是先解释每个文件的作用吧。

parameter和package-file上面说过了。

RK3188Loader  --- bootloader，跟上层接触的boot.bin 一模一样，大家可以自己比较一下。

misc.img --- android 启动模式选择的重要分区，里面存储了 BCB结构体

boot.img --- android 启动的重要镜像，包含kernel和ramdisk，使用mkbootimg生成

recover.img  ---跟boot.img结构一样，比boot.img有更多的工具，用于系统恢复和升级

system.img  -- android 系统的所有内容

backup.img --- update镜像，在recover也损毁的时候，恢复系统。

两个script  --- 用于升级时，具体的动作。

好了，还是一个一个的分析吧。这些涉及到了android系统自身的一些机制，其中比较麻烦的是misc和recover两个镜像的关系。要想弄明白，最好是自己看看代码。

代码位置 $Android_SRC/bootable/recovery ，当然还有Makefile，在 build/core/Makefile。

也有前人分析的过程，感觉还是挺好的。http://linux.chinaunix.net/techdoc/develop/2009/04/25/1108935.shtml

用winhex查看misc.img，发现全是0，这当然是正确的，我们在第一次开机时，不需要进到recover模式。

用winhex查看boot.img和recover.img，发现有着相同的Magic：“ANDROID!”，因为它们是用相同的工具生成的。为了理解这两个文件的格式，我们还是看看mkbootimg的源码。同样看头文件

下面还有image的内容分布。

对照其中的注释，大家应该理解bootimg的格式了吧。

那么现在就是如何解开这个文件包了。以下操作强烈建议你使用linux系统，我的环境是 ubuntu12.04。从网盘上下载 perl语言编写的脚本unpack-bootimg.pl。这个脚本的功能就是按照上面分析的格式，进行反向解包。

可以看到，多了几个文件，和一个文件夹。其中 kernel当然就是内核镜像了，ramdisk文件夹就是解完的最终文件系统。其实，这里perl脚本帮我们完成了ramdisk的解包工作，实际上我们可以自己动手解包。

recovery.img的解包过程跟boot.img一样，大家自己试试看。下面我们看看system.img的内容。

linux下有个强大的工具，当你不知道文件是什么格式的时候，可以试试它--- file命令。

发现这是一个ext3文件系统的镜像，下一步就是mount ，查看了。

system.img也被解开了。

backup.img 的格式跟 firmware.img是一样的，大家用 afptool 解它看看，自己分析一下吧。

两个升级脚本文件，是在升级时使用的，里面是用edify脚本语言写的程序，包括烧写擦除等操作，想弄明白，还是看看recovery的代码吧。

终于把升级包解析完了，这样我们在DIY时，该怎么取舍，就不会很迷惑了。下一篇 给大家讲讲 bootloader的工作流程吧。