openwrt使用sysupgrade升級的時候，只會對固件的頭部image進行校驗是否合法，不會校驗固件的完整性，所以當固件只有頭部正常其他地方被破壞修改后，這個固件就是危險的，一旦升級就會出現(xiàn)變磚的情況。

為了驗證固件的完整性和合法性，可以有兩種方式進行保護。

• 添加一個校驗文件，跟固件打包在一起
• 在原有的固件前面/后面追加校驗信息

方式1：壓縮、解壓校驗升級

1.壓縮

在編譯生成sysupgrade.bin之后，計算該固件的md5sum/sha256sum，然后將校驗值和固件的型號model、版本version等信息寫入校驗文件中，內(nèi)容如下：

check_file

md5sum:63be2932ff52dfb99ece030338b51ec6
model:ZHAAA
version:1.0.0

所以升級包會有兩個文件

sysupgrade.bin
check_file

2.解壓校驗

使用sysupgrade升級的時候，先將壓縮包解壓，然后判斷型號model是否一致、判斷固件的md5sum是否一致，一致則可以走正常升級寫入邏輯。

方式2：簽名、驗簽升級

使用上面的方式有一個明顯的弊端，會占用兩份內(nèi)存，下載下來的壓縮包是一個包、解壓后又要占用內(nèi)存。

所以可以把校驗信息直接追加到固件里面，在寫入flash的時候，把校驗信息剝離掉即可。

1 簽名過程

需要先寫一套簽名工具，比如我這邊的zsign。

在openwrt編譯的最后會調(diào)用./target/linux/mtk/image/Makefile里面的BuildFirmware函數(shù)，內(nèi)容如下

# u-boot: 512K
# config: 512K
# factory: 256K
# firmware: 32MB
# kpanic: 512K
# bdinfo: 512K
# reserve: 512K
# opt: ~
define BuildFirmware/zrNAND
        @mkdir -p $(BIN_DIR)/$(2)/$(ROM_PREFIX)
        $(call MkImageLzma,$(2),$(3),$(5))
        $(call Sysupgrade/KRuImage,$(1),$(2),$(4),128k)
        $(eval BUILD_TIME:= $(shell cat $(TARGET_DIR)/etc/zihome_build_time))
        $(eval DEST_PREFIX := $(BIN_DIR)/$(2)/$(ROM_PREFIX)/$(2)-$(ROM_PREFIX)_$(BUILD_TIME))
        $(CP) $(call sysupname,$(1),$(2)) $(DEST_PREFIX)-sysupgrade.bin; \
        if [ -f "$(BIN_DIR)/$(2)-uboot.bin" ]; then \
                $(CP) $(BIN_DIR)/$(2)-uboot.bin $(DEST_PREFIX)-uboot.bin; \
                if [ -f $(TOPDIR)/zkeys/rom-keys/zihome.key -a $(TOPDIR)/zkeys/rom-keys/zihome.crt ]; then \
                        (dd if=$(DEST_PREFIX)-uboot.bin bs=524288 conv=sync;) >$(DEST_PREFIX)-uboot-pad.bin; \
                        $(STAGING_DIR_HOST)/bin/zsign -b $(DEST_PREFIX)-uboot-pad.bin -s $(DEST_PREFIX)-sysupgrade.bin -o $(DEST_PREFIX)-sign -k $(TOPDIR)/zkeys/rom-keys/zihome.key;\
                        (dd if=$(DEST_PREFIX)-uboot-pad.bin bs=524288 conv=sync; dd if=$(DEST_PREFIX)-sign) >$(DEST_PREFIX)-uboot-sign.bin; \
                        (dd if=$(DEST_PREFIX)-uboot-sign.bin bs=1310720 conv=sync; dd if=$(DEST_PREFIX)-sysupgrade.bin ) >$(DEST_PREFIX)-flash.bin; \
                        $(STAGING_DIR_HOST)/bin/mt7621-nand-ecc e 2048 64 $(DEST_PREFIX)-flash.bin $(DEST_PREFIX)-factory.bin >/dev/null 2>&1; \
                        rm -rf $(DEST_PREFIX)-sysupgrade.bin; \
                        rm -rf $(DEST_PREFIX)-uboot-pad.bin $(DEST_PREFIX)-uboot-sign.bin $(DEST_PREFIX)-sign $(DEST_PREFIX)-uboot.bin; \
                else \
                        (dd if=$(DEST_PREFIX)-uboot.bin bs=1310720 conv=sync; dd if=$(DEST_PREFIX)-sysupgrade.bin ) >$(DEST_PREFIX)-flash.bin; \
                fi; \
        fi;

        $(call DebugRoot/prepare,$(DEST_PREFIX)-debug-root.tar.gz)
endef

• 使用zsign -b $(DEST_PREFIX)-uboot-pad.bin -s $(DEST_PREFIX)-sysupgrade.bin -o $(DEST_PREFIX)-sign -k $(TOPDIR)/zkeys/rom-keys/zihome.key生產(chǎn)簽名文件
• 把簽名文件追加到uboot分區(qū)(512K)之后
• 把sysupgrade文件追加到firmware分區(qū)(512+512+256=1280K)開始處，得到flash.bin固件
• 使用mt7621-nand-ecc命令將flash固件轉(zhuǎn)換成factory固件(NAND FLASH特有，需要追加oob信息)

上面的命令用到zsign生成簽名后生成最后的固件$(DEST_PREFIX)-flash.bin和$(DEST_PREFIX)-factory.bin

2.固件驗簽

1 驗簽過程

對應(yīng)的需要寫一套驗簽工具，比如我這邊的zcheck。

當sysupgrade的時候，先使用zcheck進行校驗是否正常。

./lib/upgrade/platform.sh:40: zcheck -b "$board" -R -o 0x80000 -f "$1" >>$UPGRADE_LOG_FILE 2>&1

如果正常的話，寫入flash的時候會跳過前面1280K，只讀取后面sysupgrade的信息進行寫入。

# skip 1280K
get_image "$1" | dd bs=2k skip=640 conv=sync 2>/dev/null | mtd write - "${PART_NAME:-image}" >>$UPGRADE_LOG_FILE 2>&1