![]() |
![]() |
![]() |
![]() |
![]() |
Здравствуйте, гость ( Вход | Регистрация )
![]() |
| Archy |
14.1.2007, 16:42 Закрепленное сообщение!
Номер
#1
|
![]() Ветеран ![]() ![]() ![]() ![]() ![]() Группа: Почетные МотоФаны Сообщений: 447 Регистрация: 10.4.2005 Из: Киев Пользователь №: 40 468 Рейтинг: < -100 ( 475.5 ) 20000 > |
ВНИМАНИЕ! Тема только для опытных пользователей!
СВЕРШИЛОСЬ! Итак, мы закончили работу над методикой залома LTE2. Подходит для телефонов L2, L6, L7, V360, V3i и других. Исключение составляют телефоны с бутом 09.xx, на них пока что не удалось снять RSA. Немного теории: Дыра, через которую мы обходим RSA - в CG7 (подписи бута) - там часть данных самой подписи можно использовать как код, в котором джампом выводится управление, т.е. за пределы подписанного блока. Точку входа ставим на этот самый код... Ну и, соответственно, получаем управление за пределами подписи - остальное уже дело техники... Вот метод исправления CG7: - сливаем свой CG7(или вытаскиваем из shx своей прошивки, дело вкуса) перед патчем проверяем что байты по +1140 равны E5 9F C0 00, если нет - CG7 требует иной модификации. такие версии - "в студию". - патчим: по смещению 0xC80 в CG7 прописываем значения 46 C0 48 01 68 00 47 00 10 04 00 00 (изначально там будут FF) - вливаем обратно. CG18 (подпись прошивки) опять-же оказывается почти не нужна , нам от неё потребуются лишь первые 16 байт - заголовок, в котором раньше был адрес самой CG18 (11FE0010) - он меняется на адрес CG7 - т.е. 11F80000 (правим CG18 как написано тут) Код Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F - таким образом бут проверяет CG7, считая что проверяет CG18 - и в CG7 нет диапазона адресов CG1 - и, ясен пень, ошибка проверки CG1 таким образом не вылезает. ----------------------------------------------------------- 00000000 11 F8 00 00 ....дальше не важно................. .ш.A.. То есть вместо проверки прошивки идет повторная проверка CG7... Далее - начало CG1, которое правится (правим так): Код Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F ----------------------------------------------------------- 00000000 11 F8 11 41 ....дальше не важно................. .ш.A.. 00000010 B0 01 FF FB ....дальше не важно................. .яы... Поняли, в чем прелесть? Делаем эти изменения в указанных СG, собираем монстра - и шьём, даже ТЕСТ ПОИНТ НЕ ПОНАДОБИТСЯ! Методика патчинга - правим CG18, CG7, правим заголовок CG1, добавляем в "монстра" CG3 (с той же прошивки, откуда остальные кодовые группы), вносим свои изменения/патчи в CG1, затем прошиваем всё это ЦЕЛИКОМ. Всё... Единственное НО - пока не можем бэкапить - записывать ПДС, но уже пишется полностью открытый "дуал-бут" для ЛТЕ2, так что... На V3i другая адресация, поэтому патчить надо будет так: В CG18 в начале пишем 12F80000 В CG1 пишем по смещениям: 0000000: 12F81141 0000010: B001FFFB В CG7 правим как выше описано На L7e, K1, Z3 снова иная адресация, по идее патчить надо так: В CG18 в начале 13F80000 В CG1 пишем по смещениям: 0000000: 13F81141 0000010: B001FFFB В CG7 правим как выше описано НО! Почему-то не работает. Возможно, виновата какая-то дополнительная проверка в новых 0А.* бутах, может, что-то еще... P.s. Любые обсуждения авторства данной методики будут моментально наказаны БАНом. Авторство команды смартклипа, метод был слит оттуда с лёгкой правкой. НИКАКОГО ФЛУДА и ОФФА! Обсуждаем только по сути. p.s. Тема до зачистки:
Lte2_Rsa____.rar ( 18.35 килобайт )
Кол-во скачиваний: 4385p.p.s. Вот простенькая программа для снятия RSA. Работает только на распакованных файлах!
RandomRSA2.rar ( 165.14 килобайт )
Кол-во скачиваний: 16351З.з.з.ы. Собираем и шьем прошивку с помощью FB 3.0.2 и выше, также можно шить через RSD_lite версии 3.3 и выше. Сообщение отредактировал Random - 16.3.2007, 20:23 Прикрепленные файлы
Lte2_Rsa____.rar ( 18.35 килобайт )
Кол-во скачиваний: 4385
RandomRSA2.rar ( 165.14 килобайт )
Кол-во скачиваний: 16351 |
| Archy |
14.1.2007, 17:28
Номер
#2
|
![]() Ветеран ![]() ![]() ![]() ![]() ![]() Группа: Почетные МотоФаны Сообщений: 447 Регистрация: 10.4.2005 Из: Киев Пользователь №: 40 468 Рейтинг: < -100 ( 475.5 ) 20000 > |
В общем делать .SHX я не стану - СГ1 на Л7 и на В360 разнятся, есть, также, и другие ЛТЕ2 телефоны...
Дружно просим Рэндома добавить функцию "Снять ЛТЕ2-РСА" во флеш-бэкап |
| Inspiron |
14.1.2007, 17:29
Номер
#3
|
|
Новичок ![]() Группа: Пользователи Сообщений: 11 Регистрация: 13.12.2006 Пользователь №: 111 262 253255993Модель телефона: L7e Прошивка: 0AR Рейтинг: < -100 ( 0 ) 20000 > |
Vilko, а какая платформа на L7e, можно ли вышеописанный метод использовать и для неё?
LTE2. Да. Сообщение отредактировал Archy - 14.1.2007, 17:50 |
| люмен |
14.1.2007, 18:38
Номер
#4
|
![]() Интересующийся ![]() ![]() Группа: Пользователи Сообщений: 68 Регистрация: 24.10.2005 Из: Н.Новгород Пользователь №: 55 743 318748577Модель телефона: ROKR E6 Прошивка: 07P Рейтинг: < -100 ( 3 ) 20000 > |
Сейчас на V3i буду тестить...
Дуалбут от е398 не будет работать? |
| Vilko |
14.1.2007, 18:52
Номер
#5
|
![]() Мотокодер ![]() ![]() ![]() ![]() ![]() ![]() Группа: Администратор Сообщений: 1 330 Регистрация: 23.6.2003 Из: Москва Пользователь №: 71 57190216Модель телефона: E398+, Е1000, ... |
люмен,
дуалбут - буду дорабатывать. Respected, ну вроде да. |
| iBarS |
14.1.2007, 20:32
Номер
#6
|
![]() Интересующийся ![]() ![]() Группа: Пользователи Сообщений: 72 Регистрация: 7.1.2006 Из: Кемерово Пользователь №: 64 876 751747Модель телефона: P1i Прошивка: R9K009 Рейтинг: < -100 ( 8.5 ) 20000 > |
Ребят, а что на счет V3x? Там LTE2... Методика пайдет?
|
| Алекс75 |
14.1.2007, 21:37
Номер
#7
|
![]() Мото-реаниматор ![]() ![]() ![]() ![]() ![]() ![]() Группа: Почетные МотоФаны Сообщений: 1 169 Регистрация: 29.12.2004 Из: Калининграда Пользователь №: 30 882 235627650Модель телефона: ZN5 Прошивка: Прошивка...:) Рейтинг: < -100 ( 523 ) 20000 > |
Я вот что хотел спросить....Кто нибудь уже протестил данный способ и поимел рабочее тело?А то хочу взять у приятеля K1 и снять проверку RSA,дабы покопаться в прошиве,но стремно если честно попадать на 14000
|
| Алекс75 |
14.1.2007, 21:45
Номер
#8
|
![]() Мото-реаниматор ![]() ![]() ![]() ![]() ![]() ![]() Группа: Почетные МотоФаны Сообщений: 1 169 Регистрация: 29.12.2004 Из: Калининграда Пользователь №: 30 882 235627650Модель телефона: ZN5 Прошивка: Прошивка...:) Рейтинг: < -100 ( 523 ) 20000 > |
SANYO_K,
Цитата Ещё одна великая дата для Мотофанов! Вот только интересно какие телефоны кроме L7/V360/V3i/V3r ещё на LTE2 ? Последний телефон на LTE1 L6,все после него уже LTE2,естественно 3G модели в расчет не берутся потому что там не катят методы обхода RSA как на p2k.Так что кроме того что ты описал еще L7,L7e,K1 |
| Crond |
15.1.2007, 6:27
Номер
#9
|
![]() Мастер ![]() ![]() ![]() ![]() Группа: Пользователи Сообщений: 193 Регистрация: 28.6.2006 Из: <01011001> Пользователь №: 89 479 358153108Модель телефона: 01010110 00111000 Прошивка: 111001 Рейтинг: < -100 ( 30 ) 20000 > |
А могу ли я вышеописаным способом слезть с проши aer и бута 08.d0?
И надо ли там править как-то по-особому? И ещё: повлияет ли это как-то на доступ к ФС через Яву? |
| Vilko |
15.1.2007, 7:08
Номер
#10
|
![]() Мотокодер ![]() ![]() ![]() ![]() ![]() ![]() Группа: Администратор Сообщений: 1 330 Регистрация: 23.6.2003 Из: Москва Пользователь №: 71 57190216Модель телефона: E398+, Е1000, ... |
GALL,
это дыра НЕ прошивки а встроенного бута. соответственно версия прошивки тут не при чем. Crond, прям так вот слезть - нет. если сделаешь патч который при запуске прошивки потрет бут - то вполне |
![]() |
| Текстовая версия | Сейчас: 8.2.2010, 22:09 |