Lte2 Rsa - взломано., Готовое решение,проверено L6,L7,V360,V3i Опции

[Archy]

ВНИМАНИЕ! Тема только для опытных пользователей!

СВЕРШИЛОСЬ! Итак, мы закончили работу над методикой залома LTE2.
Подходит для телефонов L2, L6, L7, V360, V3i и других.
Исключение составляют телефоны с бутом 09.xx, на них пока что не удалось снять RSA.

Немного теории:
Дыра, через которую мы обходим RSA - в CG7 (подписи бута) - там часть данных самой подписи можно использовать как код, в котором джампом выводится управление, т.е. за пределы подписанного блока.
Точку входа ставим на этот самый код...
Ну и, соответственно, получаем управление за пределами подписи - остальное уже дело техники...
Вот метод исправления CG7:

- сливаем свой CG7(или вытаскиваем из shx своей прошивки, дело вкуса)
перед патчем проверяем что байты по +1140 равны E5 9F C0 00, если нет - CG7 требует иной модификации. такие версии - "в студию".
- патчим:
по смещению 0xC80 в CG7 прописываем значения 46 C0 48 01 68 00 47 00 10 04 00 00 (изначально там будут FF)
- вливаем обратно.

CG18 (подпись прошивки) опять-же оказывается почти не нужна , нам от неё потребуются лишь первые 16 байт - заголовок, в котором раньше был адрес самой CG18 (11FE0010) - он меняется на адрес CG7 - т.е. 11F80000 (правим CG18 как написано тут)

Код

Offset      0  1  2  3  4  5  6  7   8  9  A  B  C  D  E  F
-----------------------------------------------------------
00000000   11 F8 00 00 ....дальше не важно.................   .ш.A..

- таким образом бут проверяет CG7, считая что проверяет CG18 - и в CG7 нет диапазона адресов CG1 - и, ясен пень, ошибка проверки CG1 таким образом не вылезает.
То есть вместо проверки прошивки идет повторная проверка CG7...
Далее - начало CG1, которое правится (правим так):

Код

Offset      0  1  2  3  4  5  6  7   8  9  A  B  C  D  E  F
-----------------------------------------------------------
00000000   11 F8 11 41 ....дальше не важно.................   .ш.A..
00000010   B0 01 FF FB ....дальше не важно.................   .яы...

Поняли, в чем прелесть?
Делаем эти изменения в указанных СG, собираем монстра - и шьём, даже ТЕСТ ПОИНТ НЕ ПОНАДОБИТСЯ!
Методика патчинга - правим CG18, CG7, правим заголовок CG1, добавляем в "монстра" CG3 (с той же прошивки, откуда остальные кодовые группы), вносим свои изменения/патчи в CG1, затем прошиваем всё это ЦЕЛИКОМ. Всё...

Единственное НО - пока не можем бэкапить - записывать ПДС, но уже пишется полностью открытый "дуал-бут" для ЛТЕ2, так что...

На V3i другая адресация, поэтому патчить надо будет так:
В CG18 в начале пишем 12F80000
В CG1 пишем по смещениям:
0000000: 12F81141
0000010: B001FFFB
В CG7 правим как выше описано

На L7e, K1, Z3 снова иная адресация, по идее патчить надо так:
В CG18 в начале 13F80000
В CG1 пишем по смещениям:
0000000: 13F81141
0000010: B001FFFB
В CG7 правим как выше описано
НО! Почему-то не работает. Возможно, виновата какая-то дополнительная проверка в новых 0А.* бутах, может, что-то еще... Кто имеет знакомых со смарт-клипами и один из этих телефонов, зайдите к ним, смените одну цифру в ИМЕИ и СНИМИТЕ ПОЛНЫЙ БЭКАП (без ПДСа), только не смаррт-клипом (он кодирует бэкапы). Ну и бэкап в студию!

P.s. Любые обсуждения авторства данной методики будут моментально наказаны БАНом.
Авторство команды смартклипа, метод был слит оттуда с лёгкой правкой. НИКАКОГО ФЛУДА и ОФФА!
Обсуждаем только по сути.

p.s. Тема до зачистки:  Lte2_Rsa____.rar ( 18.35 килобайт ) Кол-во скачиваний: 4385


p.p.s. Вот простенькая программа для снятия RSA. Работает только на распакованных файлах!  RandomRSA2.rar ( 165.14 килобайт ) Кол-во скачиваний: 16351


З.з.з.ы. Собираем и шьем прошивку с помощью FB 3.0.2 и выше, также можно шить через RSD_lite версии 3.3 и выше.

Сообщение отредактировал Random - 16.3.2007, 20:23

[Archy]

В общем делать .SHX я не стану - СГ1 на Л7 и на В360 разнятся, есть, также, и другие ЛТЕ2 телефоны...
Дружно просим Рэндома добавить функцию "Снять ЛТЕ2-РСА" во флеш-бэкап

[Inspiron]

Vilko, а какая платформа на L7e, можно ли вышеописанный метод использовать и для неё?

LTE2. Да.

Сообщение отредактировал Archy - 14.1.2007, 17:50

[люмен]

Сейчас на V3i буду тестить...

Дуалбут от е398 не будет работать?

[Vilko]

люмен,
дуалбут - буду дорабатывать.
Respected,
ну вроде да.

[iBarS]

Ребят, а что на счет V3x? Там LTE2... Методика пайдет?

[Алекс75]

Я вот что хотел спросить....Кто нибудь уже протестил данный способ и поимел рабочее тело?А то хочу взять у приятеля K1 и снять проверку RSA,дабы покопаться в прошиве,но стремно если честно попадать на 14000

[Алекс75]

SANYO_K,

Ещё одна великая дата для Мотофанов! 
Вот только интересно какие телефоны кроме L7/V360/V3i/V3r ещё на LTE2 ?

Последний телефон на LTE1 L6,все после него уже LTE2,естественно 3G модели в расчет не берутся потому что там не катят методы обхода RSA как на p2k.Так что кроме того что ты описал еще L7,L7e,K1

[Crond]

А могу ли я вышеописаным способом слезть с проши aer и бута 08.d0?
И надо ли там править как-то по-особому?
И ещё: повлияет ли это как-то на доступ к ФС через Яву?

[Vilko]

GALL,
это дыра НЕ прошивки а встроенного бута. соответственно версия прошивки тут не при чем.
Crond,
прям так вот слезть - нет. если сделаешь патч который при запуске прошивки потрет бут - то вполне