网上似乎找不到比较完整的无限试密码教程,也看不惯某鱼的天价收费服务,决定写一份供大家参考,本人日常混迹4s贴吧群,就发在这个吧好了
注意是获得无限次试密码的机会,不是保资料绕过屏幕锁,还是需要手动尝试的,完全不知道密码的情况下一般只有4位数字密码有机会试出来。iOS7+的设备输一次密码会卡住6秒左右,是正常现象
所需工具:macOS或linux实体机,legacy iOS kit工具包 (在GitHub下载),filezilla或cyberduck等图形化工具,plist编辑器 (爱思助手,PlistEditPro等),A5设备需要arduino uno开发板和USB hostshield。此外需要一定搞机基础
适用情况:32位设备不限系统,64位设备仅限iOS7-8,有密码和已停用均可。32和64位设备的方法不同,以下分别介绍
32位设备:直接修改文件
进入DFU模式 (A5设备需要用开发板进入pwndfu),运行legacy iOS kit,选择other utilities,SSH ramdisk,如果看到这个提示,写13A452即可,没有提示就不用管。(iOS9-10的A5A6设备需要用iOS9的ramdisk挂载/mnt2,当然低系统设备用这个也行)
接下来会先跑代码再显示苹果图标,然后选择connect to SSH,输入mount.sh挂载文件系统,可能会出现报错,不用理会,/mnt2不是空的就正常,说明挂载成功
使用filezilla等工具访问设备文件,连接方式如图:sftp://127.0.0.1,用户名root,密码alpine,端口6414,其它工具大同小异
找到/mnt2/mobile/Library/Preferences/com.apple.springboard.plist这个文件,下载到本地并打开,这里用的是爱思助手,找到SBDeviceLockFailedAttempts字段,把数值改为-9999 (理论上4位数字密码最多一万次就能试出来,相当于无限尝试)或绝对值更大的负数。注意这是负数,有负号
删除其它所有以SBDevice开头的字段,包括SBDeviceLockBlocked,SBDeviceLockBlockTimeIntervalSinceReferenceDate,SBDeviceLockBlockStateGeneration等,注意两行都删掉才算删除一个字段
保存文件,覆盖原有的com.apple.springboard.plist,iOS8-10还需要删除/mnt2/mobile/Library/SpringBoard/LockoutStateJournal.plist文件,实际上不用管系统版本,删一遍肯定没问题
输入reboot_bak重启,无论之前是否停用,此时都会来到输入密码的界面并可以无限尝试。有时可能出现一切操作均正确,修改却没有生效的情况,原因不清楚,不过重复几次以上步骤就能解决
如果系统版本不高于iOS7而且只需要提取照片,那么无需试密码,可以直接把整个/mnt2/mobile/Media/DCIM文件夹复制出来
64位设备:软链接
iOS7-8的64位设备无法正常读写/mnt2,不能下载或覆盖com.apple.springboard.plist,也就不能直接修改,需要把com.apple.springboard.plist复制到/mnt1,在/mnt2/mobile/Library/Preferences创建软链接指向/mnt1/com.apple.springboard.plist。大部分步骤可以通过legacy iOS kit自动完成,只需要修改legacy iOS kit的resources/sshrd目录下的sbplist.tar文件 (原版legacy iOS kit的功能是输入10次错误密码保系统抹除)
解压sbplist.tar的com.apple.springboard.plist,只需要SBDeviceLockFailedAttempts一个字段,设成-9999等数值,其它字段全都可以不要,大致这样
保存修改,打包成.tar格式,替换原有的sbplist.tar。进入DFU,选择SSH ramdisk,使用iOS12的ramdisk
跑完代码之后选择Erase All (iOS 7 and 8),接下来一路确认即可,设备会重启并获得无限试密码次数
如果是iOS7的A7设备,加载iOS12的ramdisk会导致无限恢复模式,需要加载iOS8的ramdisk (上面那张图输入n),加载之后重启即恢复正常
注意是获得无限次试密码的机会,不是保资料绕过屏幕锁,还是需要手动尝试的,完全不知道密码的情况下一般只有4位数字密码有机会试出来。iOS7+的设备输一次密码会卡住6秒左右,是正常现象
所需工具:macOS或linux实体机,legacy iOS kit工具包 (在GitHub下载),filezilla或cyberduck等图形化工具,plist编辑器 (爱思助手,PlistEditPro等),A5设备需要arduino uno开发板和USB hostshield。此外需要一定搞机基础
适用情况:32位设备不限系统,64位设备仅限iOS7-8,有密码和已停用均可。32和64位设备的方法不同,以下分别介绍
32位设备:直接修改文件
进入DFU模式 (A5设备需要用开发板进入pwndfu),运行legacy iOS kit,选择other utilities,SSH ramdisk,如果看到这个提示,写13A452即可,没有提示就不用管。(iOS9-10的A5A6设备需要用iOS9的ramdisk挂载/mnt2,当然低系统设备用这个也行)
接下来会先跑代码再显示苹果图标,然后选择connect to SSH,输入mount.sh挂载文件系统,可能会出现报错,不用理会,/mnt2不是空的就正常,说明挂载成功
使用filezilla等工具访问设备文件,连接方式如图:sftp://127.0.0.1,用户名root,密码alpine,端口6414,其它工具大同小异
找到/mnt2/mobile/Library/Preferences/com.apple.springboard.plist这个文件,下载到本地并打开,这里用的是爱思助手,找到SBDeviceLockFailedAttempts字段,把数值改为-9999 (理论上4位数字密码最多一万次就能试出来,相当于无限尝试)或绝对值更大的负数。注意这是负数,有负号
删除其它所有以SBDevice开头的字段,包括SBDeviceLockBlocked,SBDeviceLockBlockTimeIntervalSinceReferenceDate,SBDeviceLockBlockStateGeneration等,注意两行都删掉才算删除一个字段
保存文件,覆盖原有的com.apple.springboard.plist,iOS8-10还需要删除/mnt2/mobile/Library/SpringBoard/LockoutStateJournal.plist文件,实际上不用管系统版本,删一遍肯定没问题
输入reboot_bak重启,无论之前是否停用,此时都会来到输入密码的界面并可以无限尝试。有时可能出现一切操作均正确,修改却没有生效的情况,原因不清楚,不过重复几次以上步骤就能解决
如果系统版本不高于iOS7而且只需要提取照片,那么无需试密码,可以直接把整个/mnt2/mobile/Media/DCIM文件夹复制出来
64位设备:软链接
iOS7-8的64位设备无法正常读写/mnt2,不能下载或覆盖com.apple.springboard.plist,也就不能直接修改,需要把com.apple.springboard.plist复制到/mnt1,在/mnt2/mobile/Library/Preferences创建软链接指向/mnt1/com.apple.springboard.plist。大部分步骤可以通过legacy iOS kit自动完成,只需要修改legacy iOS kit的resources/sshrd目录下的sbplist.tar文件 (原版legacy iOS kit的功能是输入10次错误密码保系统抹除)
解压sbplist.tar的com.apple.springboard.plist,只需要SBDeviceLockFailedAttempts一个字段,设成-9999等数值,其它字段全都可以不要,大致这样
保存修改,打包成.tar格式,替换原有的sbplist.tar。进入DFU,选择SSH ramdisk,使用iOS12的ramdisk
跑完代码之后选择Erase All (iOS 7 and 8),接下来一路确认即可,设备会重启并获得无限试密码次数
如果是iOS7的A7设备,加载iOS12的ramdisk会导致无限恢复模式,需要加载iOS8的ramdisk (上面那张图输入n),加载之后重启即恢复正常
