evasi0n是由pod2g、planetbeing、pimskeks、MuscleNerd四名黑客组成的evad3rs越狱梦之队开发的iOS完美越狱工具。可以完美越狱iOS 6.0-iOS 6.1.3,iOS 7.0-iOS 7.0.6(同时也包括iOS 7.1b1-iOS 7.1b3)版本的iOS设备(AppleTV除外)。最新版本添加了官方中文翻译,也就是官方中文版。
1、一台运行Windows XP以上操作系统(包括Windows XP)或Mac OS X (最低10.5 )或Linux(x86/ x86_64)的电脑。
2、iPhone,iPad或iPod touch(上述ios版本)。 (可在设置——通用——关于本机中查看)
3、带USB插口的电脑。
4、evasi0n软件
在使用iOS7越狱工具evasi0n越狱之前,请遵守官方的建议,进行以下操作,以免造成损失和错误。
首先,将iOS设备连接到电脑上,利用iTunes11官方客户端执行备份操作。以免越狱过程中失败等意外情况造成数据损失。其次,越狱前,请取消iOS设备的锁屏密码。使用锁屏密码,可能导致越狱失败或意外中断。
越狱过程中,关闭一切iTunes、Xcode等苹果iOS设备管理、连接软件。最好不执行其他操作,以免出现错误。
越狱过程中,保持越狱电脑的电力供应,最好使用充满电的笔记本。以免电力中断等意外情况中断越狱。
在越狱过程中会看到一个很关键的注意事项(见上图 1)。越狱进行到这一步时(大概 80%)设备上会出现 evasi0n 的 logo, 你需要解锁屏幕并在你的设备并点击。注意只点击一次!随后设备屏幕就会黑并回到主界面。
虽然evad3rs 团队已经发布了 iOS 7.0-7.0.5 完美越狱,但是他们的工作仍未结束。evasi0n 开放下载的当天,就已经有用户反应了iPad2(wifi)版越狱后设备在重启后发生白苹果的现象。接下来的时间里,evad3rs 团队一直都在为修复进行着努力。先确认自己的设备运行最新的iOS 7。并且此问题在1.0.2的版本上解决。
在使用evasi0n前,请务必使用iTunes或iCloud备份你的设备内容和SHSH。如果出现问题,您可以恢复您的数据。
请去掉您iOS设备的解锁密码,这可能会导致问题。
避免所有iOS和iTunes相关的任务,直到evasi0n运行完毕。
如果该进程被卡住,您可以安全的重新启动程序,重新启动设备(如果有必要,按住HOME+电源键,直到它关闭),并重新运行的过程。
最好关闭您的杀毒软件。
最好把您的设备接到机箱后面的USB插口上。
2013年2月27日消息,如果你在使用Evasi0n越狱工具,那么你得注意下一个iOS 6.1.3系统升级了。因为苹果似乎已经修补了至少一个Evad3rs越狱团队用来提供iOS 6完美越狱的漏洞。但是在2013年12月30日,@iH8sn0w发布了支持iOS6.1.3-6.1.5的越狱工具p0sixpwn,系统在iOS6.1.3-6.1.5的可以使用p0sixpwn越狱工具进行越狱,但evasi0n不支持iOS6.1.3-6.1.5的越狱。
而且,因为苹果在iOS7.1 beta4中修复了iOS的内核漏洞,所以evasi0n 7将短时间内不会支持iOS7.1beta4的后续beta版本和iOS7.1的后续版本。
准备越狱
1.下载evasi0n,请从官方下载,如不能下载可使用VPN。
2.确保你的设备是 上述支持版本(可在设置——通用——关于本机中查看)
3.确保已备份重要资料及关闭各类杀毒软件。
4.确保iOS设备的密码锁定已解除,密码锁定可能会引起问题。(解除操作:设置—通用—密码锁定—关闭)
5.过程中请耐心等待,并且不要打开iTunes或者xcode,最好在越狱结束之前不要对电脑进行任何操作。
6.关闭ifunbox等相关iOS程序,避免干扰evasi0n程序。
开始越狱
1.打开evasi0n(Vista/Win7/Win8用户请以管理员身份打开),连接设备。
2.点击Jailbreak,evasi0n工具运行过程中请勿断开连接。
3.待evasi0n提示解锁设备时,请解锁iOS设备,点击iOS设备桌面上的Jaibreak图标(只需一次),然后不要触动设备。
越狱完成
首先,evasi0n是以运行libimobiledevice开始,这是一个代替iTunes和iOS设备进行连接的程序(与其他苹果程序使用的协议相同)。通过这个程序,evasi0n发现iOS移动备份系统里出现了一个bug,可以进入某个本该无法进入的设置项。换句话说,就是一个表示设备time zone的文件。
然后,越狱工具会在这个time zone文件里插入一个"符号链接(SLK)",该链接会连接至某个"接口(socket)"--一个运作于不同程序之间的受限制的传输渠道。evasi0n改变了接口,使之可以与LaunchDaemon程序(无论哪款iOS设备开机时最先开始载入的进程,可以启动需要权限的应用)对话。这样做的结果就是,不管是iPhone还是iPad,只要移动备份系统开始运转,都会自动允许所有程序与time zone文件相连。
iOS的代码签名会将设备上运行的所有代码都打上苹果的签名认证(也就是为什么要越狱了)。而evasi0n会在设备里启动一个新应用,这个应用本身并没有任何的代码段,仅仅只是一个shebang脚本程序。然而一旦用户启动它,脚本命令就可以绕过苹果的签名认证。并运行"remount"指令。
#!/bin/launchctl submit -l remount -o/var/mobile/Media/mount.stdout -e /var/mobile/Media/mount.stderr -- /sbin/mount-v -t hfs -o rw /dev/disk0s1s1
将文件系统属性由只读变成可读写。如此,evasi0n就可以重置launchd.conf文件的结构,从而达到每次启动设备时都可以运行更改后的程序,这样做就实现了越狱的永久性,用户不必每次设备启动时都要通过USB重启程序。
然而,仅仅是以上这些还不能说越狱已经完成。操作系统核心部分的"苹果移动文件保护精灵"(AMFID)会阻止未经验证的软件运行,越狱工具会在AMFID内部载入一个库函数,每当AMFID开始验证代码签名时,同时运行的库函数会帮助应用显示"已通过验证"。
除此以外,iOS系统还有名为"位址空间布局随机化"(ASLR)的防护功能以阻止黑客篡改系统核心内存。它会利用随机方式配置资料位址,让操作系统内核能配置到一个恶意程式未能事先得知的位址,令攻击者难于进行攻击。对付它,evasi0n玩了一个花招,现如今大部分移动设备都采用的是ARM芯片,一旦某个应用出现异常,ARM异常处理程序会检测内存里异常所发生的位置。evasi0n会模拟出异常情况,等待ARM处理程序出现,就可以轻松获取系统核心内存的配置信息了。
最后,越狱工具会利用最后一个bug--iOS设备的USB接口(com.apple.iokit.IOUSBDeviceFamily)。它利用内核驱动程序仅仅判断是否为空指针,而不充分验证内容的漏洞。在内核中申请大量的连续空间(连续9次分配),并巧妙的改变数据大小以欺骗系统。通过USB管道的对象指针发送接收数据,借此获取和修改内核空间任意代码。如此一来,evasi0n就可以随心所欲地改写内核了。