逆向解析RK3399安卓设备树：从boot.img到可编辑dts的完整指南

1. 设备树基础与RK3399的特殊性

设备树（Device Tree）是嵌入式Linux系统中描述硬件配置的数据结构，它解决了传统ARM架构中硬件信息硬编码的问题。对于RK3399这类嵌入式处理器，设备树文件通常以.dts（源文件）和.dtb（二进制文件）两种形式存在。在安卓系统中，这些文件会被打包进boot.img镜像。

RK3399的设备树有以下几个特点：

• 采用双Cortex-A72+四Cortex-A53的六核架构，需要特殊定义CPU集群
• 包含Mali-T860MP4 GPU和双通道内存控制器的复杂外设
• 瑞芯微的专用IP核（如VPU、ISP）需要特殊节点描述
• 安卓系统通常会修改标准DTS以适配特定硬件功能

我在实际项目中遇到过一块没有公开资料的RK3399开发板，通过逆向分析发现它的设备树与公版有23处关键差异，主要集中在DDR初始化时序和PMIC配置部分。

2. 提取boot.img中的设备树

2.1 获取boot.img的三种方法

对于RK3399安卓设备，获取boot.img的常用方式包括：

1. 通过AndroidTool导出（需进入Loader模式）：

AndroidTool.exe -x 0x00000000 -o boot.img

2. 从OTA包提取：

unzip ota_package.zip payload.bin python3 payload_dumper.py payload.bin --output_dir=output

3. 通过dd命令从运行中的设备提取（需root）：

adb shell su -c "dd if=/dev/block/by-name/boot of=/sdcard/boot.img" adb pull /sdcard/boot.img

我推荐第一种方法，因为它在大多数瑞芯微平台上最稳定。记得操作时要按住设备的Recovery键再上电，直到工具识别到LOADER设备。

2.2 解包boot.img

RK3399的boot.img通常采用Android bootimg格式，可以使用unmkbootimg工具解包：

unmkbootimg -i boot.img --output_dir unpacked

解包后会得到：

• kernel（zImage）
• ramdisk（initramfs）
• second stage（包含dtb文件）

如果遇到无法解包的情况，可能是瑞芯微使用了自定义格式，这时可以尝试：

dd if=boot.img bs=1 skip=64 | gzip -dc > ramdisk.cpio

3. 从二进制到可编辑文本

3.1 分离设备树 blob

解包后的second stage通常包含多个dtb文件，需要用瑞芯微的resource_tool处理：

./resource_tool --unpack --image=second.gz

这个工具会在out目录生成：

• logo.bmp（启动logo）
• rk-kernel.dtb（主设备树）
• 其他附属dtb文件

3.2 反编译dtb为dts

使用Device Tree Compiler（dtc）进行反编译：

dtc -I dtb -O dts -o output.dts rk-kernel.dtb

常见问题处理：

• 如果报错"magic number"，检查文件是否完整
• 添加-@参数保留符号信息
• 使用--include指定头文件路径

我建议添加这些参数获得更友好的输出：

dtc -I dtb -O dts -@ --include-dirs=/path/to/kernel-headers -o full.dts rk-kernel.dtb

4. 设备树逆向实战技巧

4.1 关键节点解析

RK3399设备树中需要特别关注的节点：

// CPU配置示例 cpus { cpu-map { cluster0 { // A53集群 core0 { cpu = <&cpu0>; }; core1 { cpu = <&cpu1>; }; }; cluster1 { // A72集群 core0 { cpu = <&cpu2>; }; }; }; }; // 内存控制器 dmc: dmc@ff610000 { compatible = "rockchip,rk3399-dmc"; reg = <0x0 0xff610000 0x0 0x4000>; }; // 电源管理 pmu: power-management@ff310000 { interrupts = <GIC_SPI 120 IRQ_TYPE_LEVEL_HIGH>; };

4.2 常见修改场景

1. 修改内存参数：

memory@00000000 { device_type = "memory"; reg = <0x0 0x00000000 0x0 0x80000000>; // 修改为实际内存大小 };

2. 调整CPU频率：

&cpu_l0 { operating-points = < 816000 1000000 600000 900000 >; };

3. 禁用外设：

&i2c1 { status = "disabled"; // 禁用I2C1总线 };

5. 重新打包与验证

5.1 编译修改后的DTS

dtc -I dts -O dtb -o rk-kernel-new.dtb modified.dts

建议添加-Wno-unit_address_vs_reg忽略部分警告。

5.2 重新生成boot.img

使用瑞芯微的工具链：

./resource_tool --pack --image=second_new.gz logo.bmp logo_kernel.bmp rk-kernel-new.dtb mkbootimg --kernel zImage --ramdisk initramfs.cpio.gz --second second_new.gz -o new_boot.img

验证生成的镜像：

file new_boot.img # 应显示"Android bootimg" unmkbootimg -i new_boot.img # 检查是否能正常解包

6. 高级调试技巧

6.1 设备树调试

在Linux启动命令行添加：

dmesg | grep -i dts # 查看设备树加载日志 ls /proc/device-tree # 查看运行时设备树

6.2 常见问题排查

1. 启动卡住：检查串口日志，常见于内存参数错误
2. 外设不工作：确认clock和power domain配置正确
3. 内核崩溃：检查中断映射和DMA配置

有一次我遇到USB3.0不工作的问题，最终发现是设备树中缺少PHY配置：

&usbdrd_dwc3_0 { dr_mode = "host"; phys = <&u2phy0_otg>; phy-names = "usb2-phy"; };

7. 工具链与资源

推荐的工具链组合：

• 解析工具：dtc 1.6.0+（支持新语法）
• 二进制分析：hexdump/010 Editor
• 瑞芯微专用：resource_tool v2.4

在Ubuntu下安装完整工具链：

sudo apt install device-tree-compiler android-tools-mkbootimg

对于深度逆向，可以尝试：

fdtdump rk-kernel.dtb # 二进制级别分析

我在实际项目中总结的经验是：RK3399的设备树修改要特别注意电源域（power domain）的配置，错误的配置可能导致芯片局部过热。建议每次修改后都用红外测温仪检查芯片表面温度分布。