Desbloquear el Bootloader desde el modo EDL mediante MSMDownloadTool

Problema

Me gustaría saber el proceso correcto de "hackear" emmc_appsboot.mbn para poder flashear ya un bootloader desbloqueado desde el principio. No quería pedir un archivo de un teléfono ya desbloqueado porque me interesa el proceso y cómo funciona.

Lo que hice

He probado a editar yo mismo con un editor hexadecimal la línea que sigue a ANDROID BOOT! y cambié el hexágono de 00 a 01 pero el teléfono estaba perfectamente brickeado :D y tuve que pasar algunos ratos con los drivers (Qualcomm 9008) y aprender a ponerlo en modo EDL con el teléfono ni siquiera en fastboot, después pude "msmdownload" de nuevo reflashear todo. Ahora puedo en fastboot y recovery.

También probé a sustituir el recovery, con twrp, y efectivamente falló al ir al recovery por la suma de comprobación md5.

He editado hexagonalmente ambos archivos md5.img y md5sum.md5 sustituyendo el md5 de recovery.img por el de twrp (renombrado como recovery.img por supuesto) pero aun así, falló la suma de comprobación md5.

Supongo que hay algún otro archivo donde se almacenan estos hash y se comprueban durante el arranque.

¿Es seguro asumir que emmc_appsboot.mbn también se comprueba y si falla no se carga en absoluto?

Cuál es el proceso correcto en:

1) Editar emmc_appsboot.mbn para desbloquear el bootloader

2) Hacer que el sistema realmente arranque y funcione después de haber editado esos archivos (probablemente las comprobaciones de seguridad / hash están involucradas).

IMPORTANTE: Por favor, no sugiera "cómo desbloquear el bootloader" con usb-debugging etc, los métodos conocidos que son bien conocidos, amablemente

Referencia : Puede descargar aquí el MSMDownloadTool con todos los archivos relacionados con la ROM / OP3.