刷新非库存的ROM后，是否可以锁定Nexus 4/7引导加载程序？

我知道做a fastboot oem unlock既可以解锁引导加载程序，也可以擦除设备上的数据。不幸的是，虽然这允许我安装诸如Cyanogenmod之类的非备用ROM，但我的理解是，它也允许任何拥有物理访问该设备的权限的人来闪存或引导其他（可能是恶意的）内核。

然后可以执行一次fastboot oem lock并且仍然能够加载非库存ROM吗？如果可能的话，在引导过程中会出现什么样的警告（如果有）？最后，是否fastboot oem unlock还要清除数据？

我了解，即使引导加载程序被锁定，也可以通过刷新CWM或TWRP等恢复程序来刷新恶意映像。请假设仅使用默认恢复。

此外，是否正在执行类似的操作以保护任何非链接设备上的非备用ROM？

是。安装自定义固件后，可以锁定引导加载程序。

锁定的引导加载程序将不允许您临时启动自定义二进制文件（使用fastboot boot boot.img，也不允许您直接写入闪存芯片。但是未锁定的引导加载程序可以为您提供此功能，新提供的命令包括：

• fastboot闪存分区映像
• fastboot引导内核映像

因此，如果锁定，则您将只能引导本身需要执行信任链并确保安全性的普通系统或恢复系统。当前的自定义恢复映像不会强制执行任何安全性，因此在安装自定义固件之后，您将必须安装安全的库存恢复。

关于股票恢复，这会不会让你安装任何即将推出的定制版本，只有股票的固件（也就是数字由谷歌签署）将安装。

因此，要获得一个没有漏洞的信任链，您需要首先解锁引导加载程序，然后安装自定义恢复程序，安装自定义固件（等），然后重新安装库存恢复程序（从Google的股票图片），然后重新锁定引导程序。

目前，升级到较新固件版本的过程将有些棘手：

我认为，存在用户级工具可以从常规的（有根的）自定义固件（如CyanogenMod）中解锁引导加载程序，而不会造成完全擦除的损失。这样，您可以不进行任何擦除就可以解锁引导加载程序，然后（临时）引导自定义恢复（通过fastboot boot cwm-recovery.img），执行adb sideload update.zip，最后再次使用fastboot oem lock重新锁定引导加载程序。

一个注意事项：我想我在某处已经读到Nexus 4解锁/重新锁定一次后，并没有完全擦掉Nexus 4。我对此不确定，您将需要测试一次。