Патчим L6/L2., Идеи,патчи,вопросы. Поделиться Опции

[Motohobiman]

Поздравляю всех владельцев телефонов L2 и L6 с обходом RSA. Отписывайтесь что у кого и как, систематизируем инфо пока.

Тема только для опытных юзеров!За последствия кривых патчей никто отвечать не будет.МОЖНО ЛЕГКО ИСПОРТИТЬ ТЕЛЕФОН,БУДТЕ ВНИМАТЕЛЬНЫ ПОЖАЛУЙСТА !

Немного теории:
Дыра, через которую мы обходим RSA - в CG7 - там часть данных самой подписи можно использовать как код, в котором джампом выводится управление, т.е. за пределы подписанного блока.

Вот и техника, тут и описание метода и необходимые программы. - Lte2 Rsa - взломано.

Действуем примерно так:

1. Запускаем Flash&Backup3.0.4+ переходим на вкладку обработка прошивок, открываем прошивку или бэкап. Нужны только кодовые группы CG1, CG3, CG7. CG18.
2. Ставим галочку "Убрать проверку RSA подписи (новый метод, подходит для LTE2 телефонов),
Ставим галочку на "Применить патчи:", добавляем патчи в формате fpa.
3. Теперь сохраняем прошивку в формате shx или жмём "Быстрая прошивка"

Для изменения прошивки понадобятся несколько программ:
1. Любой hex-редактор (например WinHEX)
2. Flash&Backup3 (www.motorola-tools.com)

Как патчить вручную:
1. Открываем CG1.smg (с отключенной проверкой RSA) нашим hex-редактором.
2. Меняем значения как написано в инструкции к патчу.
3. Сохраняем, собираем, прошиваем.


Всем патчерам респект!

-----Dj-AntoXa-----

Обновление патчей. Собрано со всех страниц. Для прошивок 52.45(в формате fpa) и 52.47(в формате fpa) и 65.0BR(в формате fpa и exe)

Сообщение отредактировал Dark Beat - 11.1.2009, 11:35

[Chacha_Ivanov]

Вот мои наработки за 2 дня, все для 26R_B, изменять значения можно в любом 16-ном редакторе, например WinHex. Открываем CG1 и правим, естественно перед залитием должна быть снята подпись.

Замена входа в опкод с menyu + 048263* на menyu + 0. Данные в формате: Адрес:Значение.

Код

00319B23: 00  
00319B25: 26  
00319B27: 00  
00319B29: 00  
00319B2B: 00  
00319B2D: 00  
00319B2F: 00

Полный доступ к скрытым папкам.

Начиная со смещения 5FAAC0 ищем значения 16 (их там легко там найти), и меняем на 10. Так делаем для всех папок.

Замена бут-скрина.
Адрес бут-сплэша (картинки Xэлломото) - 4F01D3
Меняем эту картинку через программу Moto Boot Screen Replacer, предварительно прописав адрес в ini-файле.

Смена клавиш блокировки.

Как и обещал, выкладываю адреса для смены клавиш блокировки:

Код

00319923: 14
004666DB: 0F

После этого клавиатура будет блокироваться по меню+меню и разблокироваться по меню+правая кнопка.

[Chacha_Ivanov]

Вобщем мне, благодаря bas005, удалось запустить корелеты на китайской прошивке - R3443H1_G_0A.64.19R. Фишка оказывается в том что надо всего лишь сохранить старые настройки МВ с автозапуском. После этого можно запускать корелет как обычно по Menyu+5.=)

Автор метода - GanjaFuzz.

Значения в CG1 меняем так:

ищем
B5FFB091200090059004270F1C1C220C
меняем на
B5FFB0912000E0109004270F1C1C220C

ищем
B5702500006B181A78522A01D0092A02
меняем на
20014770006B181A78522A01D0092A02

ищем
2000220200415C6B2B05D100546A
меняем на
3501220300415C6B2B04DA00546A

ищем
B5F01C0F1C061C141C10494CB085F001FC561C05D1044837304CF7BDFC46E0DD
меняем на
B5F01C0F1C061C141C10494CB085F001FC661C05D1044837304CF7BBF9C4E0DE

Прошу обратить внимание на последнюю паттерну, ее вы не найдете целиком, поэтому начинайте искать допустим первые байт 10, также менять надо ТОЛЬКО последние 4 байта. Вот и все. Всем удачи.=)

[Chacha_Ivanov]

Патч для замены пункта меню IRDALink на Itunes. То есть мы можем вставить пункт меню Itunes в любое место меню, и соответственно потом повесить вызов МВ на смарт-кнопку например.

Автор патча - Iceman2000.

Применяем автопатч, прошиваемся, заливаем файл.

Сообщение отредактировал Chacha_Ivanov - 6.3.2007, 13:34

[clipsa]

Для выключения зарядки с меню, прошивка R3443H1_G_0A.65.0BR
меняем

адрес стар.знач новое знач
32fd90 F00DFAEC > 200046C0
331bd0 00000614 > 0000813
c3c084 06140000 > 08130000

Для изменения клавиш разблокировки ищем


302078002814D10024011C20 меню
30207800280AD10024011C20 звездочка

Выделенное меняем на то чего захотите (в рамках Патчим L6/l2. (#682480)

два одинаковых значения не применять

[clipsa]

Motohobiman, К сожалению не помогает....

да еще тут поигрался на прошу R3511_G_0A.52.45R_A патч на отключение зарядки, может кому пригодится
если не умеем применять патч открываем его блокнотом и правим прошивку ручками согласно данным патча

[clipsa]

Забыл сразу написать, может кто не знает, выключение зарядки появляется вместо пункта "Анимация", для этого активируем Seem 32 offset 001e bit 3 (или в p2ktools фичи >другие настройки > анимация, и еще для корректного отображения в меню правим файл dnp.prf (StringID 37 > Зарядка от USB) или заливаем этот

[clipsa]

Пользовательский словарь ITAP 6.5kB для R3443H1_G_0A.65.0BR


адрес старое знач новое значение
B149AE: 13 19
B149AF: EC 64

или
ищем 125C9A74000013EC10B9A2EC1E000001
меняем на 125C9A740000196410B9A2EC1E000001

После патчинга удалите файл iTAP_User_Dictionary с диска a:\ телефона

И перезагрузите

[clipsa]

Вот собрал автопатчеры:
два только для R3443H1_G_0A.65.0BR и один универсальный

внутри архива 3 файла (зарядка, itap, блокировка клавиатуры)

[clipsa]

Предельный размер mms 500kb

После патчинга правим seem 004e_0001 по адресу 2e0 пишем 07 по адресу 2e1 пишем d0

Извините опечатка получилась надо После патчинга правим seem 004e_0001 по адресу 2e1 пишем 07 по адресу 2e2 пишем d0 файлик завтра обновлю
обновил файлик

Сообщение отредактировал clipsa - 27.2.2007, 5:45