Версия для печати темы
Нажмите сюда для просмотра этой темы в оригинальном формате
MotoFan.ru _ Ломаем и строим _ Lte2 Rsa - взломано.
Автор: Archy Вчера, 18:42
ВНИМАНИЕ! Тема только для опытных пользователей!
СВЕРШИЛОСЬ! Итак, мы закончили работу над методикой залома LTE2.
Немного теории:
Дыра, через которую мы обходим RSA - в CG7 (подписи бута) - там часть данных самой подписи можно использовать как код, в котором джампом выводится управление, т.е. за пределы подписанного блока.
Точку входа ставим на этот самый код...
Ну и, соответственно, получаем управление за пределами подписи - остальное уже дело техники...
Вот метод исправления CG7:
- сливаем свой CG7(или вытаскиваем из shx своей прошивки, дело вкуса)
перед патчем проверяем что байты по +1140 равны E5 9F C0 00, если нет - CG7 требует иной модификации. такие версии - "в студию".
- патчим:
по смещению 0xC80 в CG7 прописываем значения 46 C0 48 01 68 00 47 00 10 04 00 00 (изначально там будут FF)
- вливаем обратно.
Random: Как я понял из сообщений, не все точно поняли что нужно менять в CG1 и CG18. Нужно изменить только первые 4 байта CG18, а в CG1 - 4 байта в начале, и 4 байта по смещению 0x10, а не целиком менять все, как показано в примере.
CG18 (подпись прошивки) опять-же оказывается почти не нужна , нам от неё потребуются лишь первые 16 байт - заголовок, в котором раньше был адрес самой CG18 (11FE0010) - он меняется на адрес CG7 - т.е. 11F80000 (правим CG18 как написано тут)
-----------------------------------------------------------
00000000 11 F8 00 00 00 00 00 B1 01 13 02 06 FF FF 08 B7 .ø.....±....ÿÿ.·
То есть вместо проверки прошивки идет повторная проверка CG7...
Далее - начало CG1, которое правится (правим так):
-----------------------------------------------------------
00000000 11 F8 11 41 00 00 00 B1 00 13 02 06 FF FF 08 B7 .ø.A...±....ÿÿ.·
00000010 B0 01 FF FB 00 FF FF FF 08 03 00 01 10 09 20 00 °.ÿû.ÿÿÿ...... .
00000020 10 09 20 C3 10 09 20 C4 10 E5 FF FF FF FF FF FF .. Ã.. Ä.åÿÿÿÿÿÿ
00000030 FF FF FF FF 10 04 00 00 10 09 1F FF 11 0A 00 00 ÿÿÿÿ.......ÿ....
00000040 11 23 FF FF 10 00 F0 00 10 00 FF FF 10 01 00 00 .#ÿÿ..ð...ÿÿ....
00000050 10 01 FF FF FF FF FF FF FF FF FF FF FF FF FF FF ..ÿÿÿÿÿÿÿÿÿÿÿÿÿÿ
00000060 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF ÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿ
00000070 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF ÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿ
00000080 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF ÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿ
00000090 FF FF FF FF 10 E6 00 00 11 09 FF FF FF FF FF FF ÿÿÿÿ.æ....ÿÿÿÿÿÿ
000000A0 FF FF FF FF FF FF FF FF FF FF FF FF 11 FE 00 00 ÿÿÿÿÿÿÿÿÿÿÿÿ.þ..
000000B0 11 FE 07 FF FF FF FF FF FF FF FF FF .þ.ÿÿÿÿÿÿÿÿÿ
Поняли, в чем прелесть?
Делаем эти изменения в указанных СG, собираем монстра - и шьём, даже ТЕСТ ПОИНТ НЕ ПОНАДОБИТСЯ!
Методика патчинга - правим CG18, CG7, правим заголовок CG1, добавляем в "монстра" CG3 (с той же прошивки, откуда остальные кодовые группы), вносим свои изменения/патчи в CG1, затем прошиваем всё это ЦЕЛИКОМ. Всё...
Единственное НО - пока не можем бэкапить - записывать ПДС, но уже пишется полностью открытый "дуал-бут" для ЛТЕ2, так что...
Кстати этот метод (без изменений) работает и на L6 - хоть он и простой LTE, но главное СG7 у него есть.
На V3i другая адресация, поэтому патчить надо будет так:
В CG18 в начале пишем 12F80000
В CG1 пишем по смещениям:
0000000: 12F81141
0000010: B001FFFB
В CG7 правим как выше описано
P.s. Любые обсуждения авторства данной методики будут моментально наказаны БАНом.
Авторство команды смартклипа, метод был слит оттуда с лёгкой правкой. НИКАКОГО ФЛУДА и ОФФА!
Обсуждаем только по сути.
Автор: Chacha_Ivanov Вчера, 18:56
Вот это да!! Даже как-то неожиданно.Сейчас буду пробовать на L6.
Пробуй. Но только внимательно пересмотри, как оно на Л6 сделано - это же не ЛТЕ2....
Кстати, народ, можете попробовать по этой методике обойти 0а.02 бут на Е1...
Автор: sasha45 Вчера, 19:05
Archy, твою прикрепленную CG7 надо залить в телефон? и RSA обойден?
Еще измененную сг1 и сг18 - как на рисунках
Автор: Vilko Вчера, 19:15
Chacha_Ivanov,
L6, на что мне тут много раз указывали - не LTE2
Автор: sasha45 Вчера, 19:21
Вот тут такой тупой вопрос, а чем заливать CG7 формата .smg?
Сильно извиняюсь
Кхм
.smg - это .bin - бинарник
Кроме него надо залить измененную Cg1 и cg18
Делаешь .SHX с этими 3-мя группами - и шьешь.
Автор: Archy Вчера, 19:28
В общем делать .SHX я не стану - СГ1 на Л7 и на В360 разнятся, есть, также, и другие ЛТЕ2 телефоны...
Дружно просим Рэндома добавить функцию "Снять ЛТЕ2-РСА" во флеш-бэкап 
Автор: Inspiron Вчера, 19:29
Vilko, а какая платформа на L7e, можно ли вышеописанный метод использовать и для неё?
LTE2. Да.
Автор: Chacha_Ivanov Вчера, 19:32
Archy, адреса чего и где надо поправить? В CG7?
Найти и поправить соотв адреса кодовых групп и точки входа. Они отличаются ЛТЕ-ЛТЕ2.
Мда.=) Я чувствую мне этого не осилить, может ты поправишь, у тебя же есть Л6? Пожалуйста.
Автор: люмен Вчера, 20:38
Сейчас на V3i буду тестить...
Дуалбут от е398 не будет работать?
Автор: Respected Вчера, 20:40
LTE2. Да.
Сообщение отредактировал Archy - Сегодня, 20:50
Соответсвенно и для KRZR K1 ???
Автор: Vilko Вчера, 20:52
люмен,
дуалбут - буду дорабатывать.
Respected,
ну вроде да.
Автор: люмен Вчера, 22:27
Не получилось. Тестил на прошивке R4441D_G_08.01.03R итог: вечный бут.
Автор: Starov Вчера, 22:28
тесты на V3r - телефон после прошивки не включился... все адреса вроде те и т.д... почему не сработало не знаю...
Автор: RusBarS Вчера, 22:32
Ребят, а что на счет V3x? Там LTE2... Методика пайдет?
Автор: люмен Вчера, 22:45
Редактировал кодовые группы winhex'ом. Собирал Flash&Backup 3. Напишите точные адреса кодовых групп. Я использовал эти: cg1 - 100A0000, cg7 - 12F80000, cg18 - 12FE0000. Может неправильные? Когда пошивку разбираешь именно эти стоят.
Автор: lucrece Вчера, 23:17
Н-да, то ли руки кривые... Попробовал дважды (v360, 08.A0) - первый раз не включился совсем, во второй - включился, во флэш-мод
Автор: люмен Вчера, 23:24
Если все правильно сделать, то можно будет запихнуть iTunes в V3i DAP версию?
Автор: Алекс75 Вчера, 23:37
Я вот что хотел спросить....Кто нибудь уже протестил данный способ и поимел рабочее тело?А то хочу взять у приятеля K1 и снять проверку RSA,дабы покопаться в прошиве,но стремно если честно попадать на 14000
Автор: Алекс75 Вчера, 23:45
SANYO_K,
Вот только интересно какие телефоны кроме L7/V360/V3i/V3r ещё на LTE2 ?
Последний телефон на LTE1 L6,все после него уже LTE2,естественно 3G модели в расчет не берутся потому что там не катят методы обхода RSA как на p2k.Так что кроме того что ты описал еще L7,L7e,K1
Автор: Archy Вчера, 23:59
Народ, кто всё делал якобы правильно, но не получилось.
Заархивируйте бэкап cg1, cg18, cg7 с ВАШЕГО телефона, потом изменения, кот вы сделали, туда же, и залейте файл куда-нибудь. Ссылку в тему. Разбираться-смеяться будем вместе
В этом же сообщении подробно, пошагово, как шили, чем шили, по каким адресам...
Рекомендую ФБ 3.00.58
И ПРЕКРАЩАЙТЕ ПЛЗ ФЛУД (вычистил), это не_для_новичков тема, мне как-то неудобно тут "награды" раздавать...
Автор: GALL Сегодня, 7:48
Вопросы к авторам:
1. Из чего сделан вывод, что вышеописанная методика применима ко всем моделям LTE2? Может дыра найдена в ОДНОЙ из прошивок ОДНОЙ ИЗ LTE2-моделей?
2. Можно ли выложить первоначальный кусок кода до исправлений, чтобы сравнить со своей прошивкой?
Автор: Crond Сегодня, 8:27
А могу ли я вышеописаным способом слезть с проши aer и бута 08.d0?
И надо ли там править как-то по-особому?
И ещё: повлияет ли это как-то на доступ к ФС через Яву?
Автор: Supshow Сегодня, 8:35
GALL
Присоединяюсь к твоим вопросам. А то mcLexx свой V3i iTunes уже завалил...
Автор: RekGRpth Сегодня, 9:01
Archy, Vilko правильно ли я понял, что для отключения RSA нужно залить патч:
11FE0000: 11F80000
10092000: 11F81141
11F80C80: 46C048016800470010040000
?
и как это записать в виде патча для FB3?
10092000 - это начало CG1
Автор: Vilko Сегодня, 9:08
GALL,
это дыра НЕ прошивки а встроенного бута. соответственно версия прошивки тут не при чем.
Crond,
прям так вот слезть - нет. если сделаешь патч который при запуске прошивки потрет бут - то вполне
Автор: Crond Сегодня, 9:23
А остальное?
Автор: Vilko Сегодня, 9:36
так. небольшое уточнение.
CG7 от прошивки к прошивке может различатся. так что просто "влоб" вливание уже патченого файла с большой вероятностью непрокатит.
так что механизм такой:
- сливаем свой CG7(или вытаскиваем из shx своей прошивки, дело вкуса)
- патчим:
по смещению 0xC80 в CG7 прописываем значения 46 C0 48 01 68 00 47 00 10 04 00 00 (изначально там будут FF)
- вливаем обратно.
- выполняем остальные действия из 1го поста.
Автор: Akceptor Сегодня, 10:49
А есть какой пробный патч чтоб потестить?
ЗЫ
Возможно стоит сделать уже закрепленное сообщение с мануалом?
Спасибо
Автор: Random Сегодня, 10:50
Archy,
Все таки стоило бы написать что особых тестов на куче моделей не проводили, поэтому получение трупа - вполне реально на данном этапе
p.s. Снятие RSA на LTE2 в Flash&Backup3 будет в ближайшее время, точнее оно уже сейчас в возможно (на L7 бут 08d0, проша 4513..ACR_RB и DCR - сработало), но надо провести ряд тестов.
Автор: ЬЗК Сегодня, 11:16
Ну полноценного трупа я не получил, хотя залить собранную прошу мне не удалось, тело впадает в ступор и вываливается в бут с Phone Code SIG error после перезагруза.
L7 Прошива AER_RB из неслезаемых, бут 08D0
Кстати хотел спросить, монстра собираем только из указанных трех модулей или же полноценного со всеми модулями и просто меняем в нем патченые три?
Автор: JetPilot_s300 Сегодня, 12:06
Archy, Так как все таки обстоят дела с LTE (в частности L6)? Возможен ли этот метод и какой должна быть CG7 ???
Автор: Рёцке Сегодня, 12:19
Vilko,
v360 boot 08.A0 R4513...ABR
1. слил FB3 shx с тремя группами
2. разобрал SHXDecoderом
3. поправил в hex редакторе нужные группы по последней инструкции
4. собрал SHXDecoderом (пробовал собирать RandomSHXом, но полученная SHX шить отказывалась)
5. прошивал в FB3
итог - тело мертво. сижу шью бэкап.
UPD: тело успешно поднялось.
UPD2: доложил группы CG7 и CG18 до и после модификаций
Присоединённые эскизы
Присоединённые файлы
before.rar ( 30.89кб )
Кол-во скачиваний: 2
after.rar ( 30.91кб )
Кол-во скачиваний: 1
Автор: GALL Сегодня, 12:31
это дыра НЕ прошивки а встроенного бута. соответственно версия прошивки тут не при чем.
Но версии бутов ведь разные бывают!? Почему ни у кого не получается в ветке? Вы бы подробненького описали на какой модели, прошивке всё это успешно провернулось.
Автор: Random Сегодня, 12:36
GALL,
Ну, у меня получилось.
Автор: Рёцке Сегодня, 12:49
Random,
на e398? или на какой модели?
Автор: Random Сегодня, 12:54
Рёцке,
Ну выше написал же. На L7 на двух разных прошивках, бут 08.D0 (спасибо Harry_27)
Автор: люмен Сегодня, 13:50
Готов предоставить V3i для он-лайн тестов.
Автор: mcLexx Сегодня, 14:17
- патчим:
по смещению 0xC80 в CG7 прописываем значения 46 C0 48 01 68 00 47 00 10 04 00 00 (изначально там будут FF)
Ну вот, чтож Вы раньше не сказали...
Телефон Razr V3i, версия ПО R47A_G_08.D9.3CR, бут 0А.30
1) Я слил с телефона (FB_3) все группы кроме DRM и Lang'a, т.е. CG1, CG3, CG7, CG18 в формате SHX;
2) Разобрал это на бинарики RandomSHX'ом;
3) Переправил CG18;
4) Переправил CG1;
5) Подменил CG7 на тот что прикреплён в первом посте;
5) Собрал это всё обратно в RandomSHX;
5) Прошил RSD Lite;
6) Тело сразу выкинуло в бут;
7) Прошил полного монстра: На этой же платформе, на этом же флексе, вобщем полностью тем, чем было прошито до всего этого;
8) После прошивки тел вырубился и фсё...
Тел не входит в бут, комп его вобще не видит, вобщем абсолютно никаких признаков жизни...
Что мне теперь делать?
Мне говорят что можно сделать ТП без снятия бокса, путём разрезания кабеля и соединения проводов. Подскажите плз., где подробнее читать о ТП для V3i.
Автор: Starov Сегодня, 14:24
ничего не получается.... платформа R4515, бут - 0a.30
тело при включении зажигает подсветку клавиатуры, а потом вырубается.....
ничего не получается.... платформа R4515, бут - 0a.30
тело при включении зажигает подсветку клавиатуры, а потом вырубается.....
Автор: bas005 Сегодня, 14:39
Мда. Неполулось.
тел в360 бут 08.А0
за основу брал прошивку асr. Изменял цг1 цг7 цг18
Мда. Неполулось.
тел в360 бут 08.А0
за основу брал прошивку асr. Изменял цг1 цг7 цг18
Автор: KosteT Сегодня, 14:54
Эх ребята... Где же вы раньше были Я В360 свой продал 
Правда теперь у меня mpx220, прям не знаю может назад поменять ? Что скажите? 
Автор: GALL Сегодня, 15:47
Random, ну значит на бутах A-версий с большой долей вероятности нифига этот вариант не прокатит.
Автор: Рёцке Сегодня, 16:15
ну .A0 помоему несложно повышается до .D0
если я правильно понял то некоторые модели L6 с таким бутом приведенным выше способом исправляются.
хотя хотелось бы конечно найти способ не использующий повыешние бута )
Автор: Supshow Сегодня, 16:30
Рёцке
GALL говорит о буте 0А.30 - 0А.52... Этих бут-рефрешеров пока в сети нет. И я не видел, чтобы кто-то смог понизить такой бут.
Автор: Рёцке Сегодня, 16:38
Supshow, мне стоило догадаться. )
кстати о какой модели телефона v360 говориться в заглавии темы?
проверено на L7, V360
Автор: Vilko Сегодня, 16:41
Supshow,
если не ошибаюсь - got_moto и smartclip сносят эти буты без ТП.
значит можно отмониторить
Автор: RekGRpth Сегодня, 16:44
Ну, в общем, попробовал я сделать всё это (лучше б не пробовал!)
В результате:
Изменённые CG7 и CG18 прошились в FB3 нормально, а вот CG1 - ни в какую.
САМОЕ неПРИКОЛЬНОЕ, что до прошивания CG1 он её стер
результат - тел во флеш моде с ошибкой SIGN_ER 02:35
попробовал разными прогами шить - то же самое
...
разобрал, сделал ТП - результат нулевой (я ещё подумал, мож за одно и с AER слезу )
раз 20 замыкал этот ТП и пробовал шить разными прогами разные проши - нифига: всё тот же бут 09.02
но всё же с N-ого раза RSD3.1 всё-таки прошил оригинальную CG1 и тел включился 
так что будте ОСТОРОЖНЫ
Автор: Supshow Сегодня, 16:46
Vilko
Не успел попробовать. GOT уже вроде бесплатные аккаунты не раздает.
Смарт и ultimabox работают через ТП. Даже в случае с V3r (простой и тем более MyFavs V3r).
И потом, даже если снести родной бут, что делать дальше? Ведь даже инженерные сэмплы V3i шли с бутом 0А.20 (хотя ходят слухи, что этот бут был неподписанным)... Не думаю, что встанет более низкая версия бута (хотя тут я могу и ошибаться).
Автор: Harry_27 Сегодня, 16:48
Бут 08d0 прошивка R4513_G_08.B7.ACR_RB (L7), как уже говорил Random, все получилось
Кому интересно, что и как изменилось, - качайте, смотрите (если будете ставить себе, то только на свой страх и риск).
http://harry27.mylivepage.ru/file/?fileid=995 (8,3 Мб)
Автор: GALL Сегодня, 16:55
Кажется вижу причины неудач для V3i. Нашёл отличие для V3i: CG18 начинается с адреса 12FE0000! CG7 начинается с адреса 12F80000. А теперь сравните, какие адреса для данных групп у L7
Автор: Supshow Сегодня, 16:59
GALL
СG сидят по разным адресам - 100%. Хотя бы из-за объема памяти V3i (64 метра). У сливера вроде 32.
Автор: GALL Сегодня, 17:00
Идея в сабже кстати здравая, надо только точно знать - изменятся ли изменяемые куски кода для других моделей, у которых адреса в других местах находятся. То что самы адреса надо другие прописать - это понятно. А вот всё остальное можно оставить так , как здесь описано?
Автор: mcLexx Сегодня, 17:16
- патчим:
по смещению 0xC80 в CG7 прописываем значения 46 C0 48 01 68 00 47 00 10 04 00 00 (изначально там будут FF)
так нужно?
Автор: люмен Сегодня, 17:22
Выложите правки кодовых групп для V3i с поправкой на начальные адреса.
Автор: Random Сегодня, 17:36
На V3i соответственно будет так:
В CG18 в начале пишем 12F80000
В CG1 пишем по смещениям:
0000000: 12F81141
0000010: B001FFFB
В CG7 правим как выше описано
И пробуем. Не факт, что заработает, но всякое бывает
Автор: GALL Сегодня, 17:40
люмен, Не флуди! Сам можешь без проблем,внимательно прочитав первое сообщение Archy, исправить. И пробовать на аппарате!
Random, с CG1 - не факт. У меня в оригинале вначале CG1 стоит "10AD". Ты хочешь сказать, что 10AD-это какое-то смещение для типовой прошивки?
Автор: Scalar Сегодня, 17:42
mcLexx,
замкнуть первый и 4ый пин на кабеле, и воткнуть это в тело.
не факт что поможет.
Автор: GALL Сегодня, 17:47
ТП делается только при снятом боксе и замыканием ножек микрухи. Разрезание провода и перепайка контактов на нём не поможет.
Автор: Random Сегодня, 17:47
GALL,
Нас не интересует что там в оригинале стоит. Мы туда свой адрес пишем, он не зависит от исходного.
Автор: uintik Сегодня, 18:05
Народ,дайте чем всё собрать, а то всё поправил а собрать не могу. SHXCoDec_266 ругается на dll которая с ним идёт, а Flash&Backup 3 при попытке собрать даёт ошибку и висьнет. Хочу провисти тест на R4513_G_08.B7.ABR_RB.
Автор: Vilko Сегодня, 18:09
уточнение по Cg7
перед патчем проверяем что байты по +1140 равны E5 9F C0 00
если нет - патч НЕ делаем, эта CG7 требует доп-модификации. такие версии - сюда.
Автор: люмен Сегодня, 18:17
В CG18 в начале пишем 12F80000
В CG1 пишем по смещениям:
0000000: 12F81141
0000010: B001FFFB
В CG7 правим как выше описано
Random, не работает
Автор: Рёцке Сегодня, 18:18
Vilko
у меня по 0x1140 как раз E5 9F C0 00
однако патч не встал. идеи? (то как ставил патч описывал выше (http://forum.motofan.ru/index.php?showtopic=94215&st=32#) и выгладывал группы cg7 и cg18)
кстати если с cg18 и cg7 как-то менее-более ясно то что(по сути) мы меняем в cg1?
Автор: Random Сегодня, 18:21
люмен,
Проверь CG7 насчет замечания, сделанного Vilko чуть выше.
Автор: uintik Сегодня, 18:25
Random, вот проверь cg7 от R4513_G_08.B7.ABR_RB.
Присоединённые файлы
CG7.rar ( 29.57кб )
Кол-во скачиваний: 1
Автор: Рёцке Сегодня, 18:40
uintik, ничем не отличается от моего.
Автор: uintik Сегодня, 18:41
Рёцке,правленого?
Автор: GALL Сегодня, 18:47
перед патчем проверяем что байты по +1140 равны E5 9F C0 00
если нет - патч НЕ делаем, эта CG7 требует доп-модификации. такие версии - сюда.
На V3i это условие выполняется. Вопрос по поводу CG1 остаётся открытым.
люмен, Попробуй CG1 править точно так как писал Archy, а CG18 - как Random.
Авторы! Дайте посмотреть, какой был кусок CG1 до правки.
Random: Чем тебе мой ответ по поводу CG1 не понравился? =)
Автор: Рёцке Сегодня, 18:51
uintik, разумеется )
GALL свой cg1 до правки я кидал в 32м сообщении )
Автор: GALL Сегодня, 18:52
Первые два байта не относятся к адресу: Просто так совпало!
Автор: Random Сегодня, 19:02
GALL,
Еще раз повторюсь.
Первые 4 байта в CG1 - точка входа в прошивку в нормальном случае.
Мы меняем их на точку входа в CG7, которая с CG1 никак не связана.
Теперь веришь?
Автор: GALL Сегодня, 19:04
А вот какое начало у моего оригинального CG1:
Offset: 0 1 2 3 4 5 6 7 8 9 A B C D E F
____________________________________________________
00000000 10 AD D7 8D 00 00 00 B1 00 13 02 06 FF FF 08 D9
00000010 FF FF FF FF 00 FF FF ...................................................
И где тут адрес??
Автор: uintik Сегодня, 19:06
Рёцке, глянь теперь ето. И подскажи, чем собрать, а то Flash&Backup 3 пишет:I/O erorr 6.
Присоединённые файлы
CG18________cg1_.rar ( 173.69кб )
Кол-во скачиваний: 0
Автор: GALL Сегодня, 19:07
Random, Конечно, верю, если "Первые 4 байта в CG1 - точка входа в прошивку в нормальном случае." - взято со слов Vilko&Archy.
Автор: люмен Сегодня, 19:07
GALL, Не хочет шиться, критическая ошибка.
Random, проверил, все правильно.
Перепробывал все, что можно, не пойму в чем дело...
Тестирую на прошивке R4441D_G_08.01.03R
Адреса: CG1 - 100A0000
CG7 - 12F80000
CG18 - 12FE0000
Правильно?
Автор: Random Сегодня, 19:08
GALL,
Сейчас пофлудим, чтобы понятнее было, но потом удалю.
10 AD D7 8D - это точка входа в твою оригинальную прошивку.
мы ее меняем на
12 F8 11 41 - спец. точка входа в CG7 (для V3i), чтобы телефон ушел в CG7 и не запустил проверку подписи.
Извини меня, дружище, но я не меньше них осведомлен о таких вещах.
Автор: GALL Сегодня, 19:12
люмен, А может ты как-то неправильно шъёшь? А бэкап неправленный обратно пришивается?
Автор: люмен Сегодня, 19:14
Random, если не сложно, опиши процедуру для В3и подробно?
GALL, обратно все прошивается.
Автор: GALL Сегодня, 19:15
Тупой вопрос: надо монстра собирать из всех кодовых групп или рефлэшем,собранным из CG1, CG7,CG18 будет достаточно?
Автор: люмен Сегодня, 19:18
GALL, я и так, и так пробовал, одно и то же.
Автор: Random Сегодня, 19:20
Тестирую на прошивке R4441D_G_08.01.03R
Адреса: CG1 - 100A0000
CG7 - 12F80000
CG18 - 12FE0000
Правильно?
Возможно для бута на V3i надо еще что-то допатчить, все-таки методика проверялась на бутах 08.xx
Автор: люмен Сегодня, 19:29
Ё-мое. И долго ждать придется? Ведь мало у кого из разработчиков есть V3i.
Бут 0А.30
Автор: GALL Сегодня, 19:30
Обидно...
Щаз пропатчат L7 и успокоятся...Автор: uintik Сегодня, 19:41
http://img123.imageshack.us/my.php?image=cg1oz9.jpg http://img163.imageshack.us/my.php?image=cg18sh6.jpg народ кто шарит гляньте правильно я подправил? Random, подскажи что значит в Flash&Backup 3 ошибка: I/O erorr 6?
Автор: Voit21 Сегодня, 19:54
А мне не обидно Не бойся ты, как толком разберутся так дело и до твоего V3i дойдёт.
Автор: Iceman2000 Сегодня, 20:01
У самого при сборке готовых CG выскочила такая же ошибка...дважды перепробовал...тщетно!!
Решилась пробшлема:
Надо при сборке указывать на загрузчик отдельно....тогда сборка идет нормально!
Автор: Chacha_Ivanov Сегодня, 20:01
Поздравляю всех обладателей L6\L2, у нас этот метод обхода работает!!!
Только что с помощью многоуважаемого Randoma'a у меня все получилось, для примера я изменил версию прошивки, и все сработало как надо, так что плацдарм для патчей готов.
Автор: uintik Сегодня, 20:06
Решилась пробшлема:
Надо при сборке указывать на загрузчик отдельно....тогда сборка идет нормально!
Автор: Vilko Сегодня, 20:07
Chacha_Ivanov,
теоретически - сий метод применим на всех аппаратах где есть Cg7 - даже на Е1 с 0А бутами - можно будет их снять без ТП. но это теория.
проверять надо.
Автор: Nur87 Сегодня, 20:13
Автор: люмен Сегодня, 20:14
Ну помогите кто-нибудь ломануть RSA на V3i...
Автор: ЬЗК Сегодня, 20:15
ошибка потому что ты не учитываешь RAMDLD, попробуй не разбирать и собрать прошиву, а последовательно заменить модули CG1, 7, 18
то есть открываем, удаляем родной и вставляем правленный, не забудь пометить адреса начала их нужно указать при добавлении
Автор: Алекс75 Сегодня, 20:16
Vilko,
теоретически - сий метод применим на всех аппаратах где есть Cg7 - даже на Е1 с 0А бутами - можно будет их снять без ТП. но это теория.
проверять надо.
1.Правим CG1 и CG18
2.Собираем рефлеш 1,7 и 18 групп + бут 0А02
3.Прошиваемся и....имем труп или?
Это я к теме о возврате бута 0А02 в Е1
При любом раскладе ща акум дозаряжу и протестирую.
Править CG7 тоже надо. Думаю ты это и хотел сказать, просто пропустил.
Да естественно
Я все понимаю,вот только сказать не могу Постараюсь завтра отписаться о результатах возврата 0А02 в Е1
Автор: Iceman2000 Сегодня, 20:16
Вообщем так: выбрал свой профиль---> в разделе Обработка прошивок нажимая конпку Добавить собираешь нужные тебе CG. Собрав нужные CG нажимаешь Выбрать RAMDLD и указываешь путь к загрузчику ( если ставил FB3 по умолчанию то найти можешь тут C:\Program Files\Random's Developments\Flash&Backup 3\Loaders ну или там куда ставил...в папке Loaders выбираешь свой бут ( соответствующий профилю телефона....указываешь начальный адрес и нажимаешь потом Сохранить как...вот и все...рефлеш готов
Автор: Nur87 Сегодня, 20:19
Iceman2000,
Автор: Random Сегодня, 20:19
Nur87,
Для этого и создали тему, чтобы те кто хотел - проверили методику на своих телефонах.
Иначе как можно узнать о работоспособности, не проверив это на деле?
Так что если есть опыт поднятия тела - то вперед, к экспериментам!
Автор: uintik Сегодня, 20:34
Народ,выбираю лодер спрашивает начальный адрес даю ему етот: 10092000. Собирает, при попытке залить ,трубка выдаёт critikal error 40 80. Мож я чёта нито делаю?
Для L7 этот адрес будет 03FС8000
Автор: Iceman2000 Сегодня, 20:40
Для V360 тоже самое...
Ну да, он такой почти на всех LTE2 =)
Автор: ЬЗК Сегодня, 20:45
то есть открываем, удаляем родной и вставляем правленный, не забудь пометить адреса начала их нужно указать при добавлении
L7 AER_RB boot 09D0
патчевание не идет
слил только указанные группы, пропатчил, проверил соответствие адресов CG, в CG7 байты по +1140 равны E5 9F C0 00.
SHX пересобирал последовательно заменяя модули и прописывая адреса кодогрупп.
FB шить отказался вылетел при прошиве CG1, RSD lite прошил нормально без ошибок, тело ушло в перегруз.
При включении КОРОТКОЕ мигание клавой и черный экран.
Теперь внимание, заливка обратно родного набора CG1, 7, 18 не помогла, code sig error.
Помог только подьем из фулл бэкапа.
Выводы:
не совсем все так явно с адресами кодогрупп, либо при проверке подписей что то куда то еще пишется.
короткое мигание клавой визуально выглядит не так как при пользовании GOT_MOTO значит уровней проверки как минимум два, не считая того на котором тело выдает ошибки проверки подписей типа code sig error.
Автор: Mr.stEin Сегодня, 20:47
Три раза пытался снять этот RSA на моей L7. Все время пояляется phone code sig error. Что делаю неправильно не понимаю. Напишите подоробнее как сделать правильно.
Прошивка The Hot Mix L7 (ACR_RB).
Тоже самое кстати.
Автор: ATHLON64 Сегодня, 20:50
RusBarS, на V3x не LTE2, у него UMTS POG RAINBOW!
Автор: _Skyline_ Сегодня, 20:58
такая жэ фигня как и у Mr.stEin, как не извращался не чяго непомогло ..............
ATHLON64, вот тебе для аватры (прикреплённый архив) чтоб под ник было..........
Присоединённые файлы
_____________2_.rar ( 14.97кб )
Кол-во скачиваний: 4
Автор: Ponemetski Сегодня, 21:08
У нас есть кг5? Если да то какого ее назначение?
Автор: uintik Сегодня, 21:10
Всё даломался моя л7 померла входит только в бут при подключении к компу сразу выбивает ошибку:01 1B тоже выдал RSD Lite 3.2 вконце прошивания. завтра отьнису в магазин по гораньтии.
Автор: Iceman2000 Сегодня, 21:11
Итак! У меня тел V360 бут 08.A0
После правки CG шился FB3 и все прошилось на ура....далее телефон выключился и тишина...в бут заходит как обычно....при попытке включить оч.быстрое мигание клавой и выключается ( не в бут заходит) На экране надписей типа Sig error нету!
Заливка родных CG1, CG7, CG18 не спасла но телефон уже висел в постоянном буте причем на экране ошибок не было!
Теперь заливка родных CG1, CG7, CG18 плюс CG3 оживила телефон!!
Теперь что получается: защита видимо вовсе не одна....и какая то роль принадлежит DSP, иначе почему только при прошивке DSP телефон ожил?
Пища для размышлений так сказать......
Автор: ЬЗК Сегодня, 21:14
убей из процессов прошивальщики и откинь батарею, включи и прошей бэкап через РСД лайт, если при включени выдаст ошибку откинь и подкинь кабель и чутка подожди
Автор: Random Сегодня, 21:17
Iceman2000,
По методу обхода старт прошивки с DSP начинается (как я понял) так что это вполне взаимосвязано может быть
Автор: Doz7 Сегодня, 21:20
Уважаемые, дайте плиз ссылку на подходящий HEXредактор, тоже хочу принять участие в "пробах")
Автор: uintik Сегодня, 21:21
неа нифига? при соединении с rds ошибка на дисплее трубки.
Автор: sasha45 Сегодня, 21:25
CODE
Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F
-----------------------------------------------------------
00000000 11 F8 11 41 00 00 00 B1 00 13 02 06 FF FF 08 B7 .ø.A...±....ÿÿ.·
00000010 B0 01 FF FB 00 FF FF FF 08 03 00 01 10 09 20 00 °.ÿû.ÿÿÿ...... .
00000020 10 09 20 C3 10 09 20 C4 10 E5 FF FF FF FF FF FF .. Ã.. Ä.åÿÿÿÿÿÿ
00000030 FF FF FF FF 10 04 00 00 10 09 1F FF 11 0A 00 00 ÿÿÿÿ.......ÿ....
00000040 11 23 FF FF 10 00 F0 00 10 00 FF FF 10 01 00 00 .#ÿÿ..ð...ÿÿ....
00000050 10 01 FF FF FF FF FF FF FF FF FF FF FF FF FF FF ..ÿÿÿÿÿÿÿÿÿÿÿÿÿÿ
00000060 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF ÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿ
00000070 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF ÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿ
00000080 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF ÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿ
00000090 FF FF FF FF 10 E6 00 00 11 09 FF FF FF FF FF FF ÿÿÿÿ.æ....ÿÿÿÿÿÿ
000000A0 FF FF FF FF FF FF FF FF FF FF FF FF 11 FE 00 00 ÿÿÿÿÿÿÿÿÿÿÿÿ.þ..
000000B0 11 FE 07 FF FF FF FF FF FF FF FF FF .þ.ÿÿÿÿÿÿÿÿÿ
Поняли, в чем прелесть?
а вот послденяя строчка, там стоят пробелы после FF, там их как надо делать? или оставить там как есть?
Автор: uintik Сегодня, 21:25
c Flash&Backup 3 конектится, но при попытке залить, ошибка.
Автор: Mr.stEin Сегодня, 21:29
Random, я правильно понял что в CG1 нужно заменить выделенные на те что в примере сверху???
10 AB BC 91 00 00 00 B1 00 13 02 06 FF FF 08 B7
FF FF FF FF 00 FF FF FF 08 01 00 01 10 09 20 00
или нет?
Автор: Random Сегодня, 21:29
sasha45,
Я же написал:
Mr.stEin,
4 байта - это не 4 буквы
Для наглядности жирным обведу. В твоем случае менять надо:
10 AB BC 91 00 00 00 B1 00 13 02 06 FF FF 08 B7
FF FF FF FF 00 FF FF FF 08 01 00 01 10 09 20 00
Автор: Iceman2000 Сегодня, 21:32
Знающие люди если не сложно поясните для чего и главное на что такое мы меняем 4 байта по смещению 0x10 в CG1?
Да и еще в дополнении к моему эксперименту по обходу RSA:
Я когда правил CG1 заодно чтобы удостовериться в правильности обхода заменил название прошивки....так вот когда тело у меня умерло то в буте название прошивки было стандартным а не тем на которе менял...это почему так?
ЗЫ: И не нужно говорить что я не то название сменил хоть там их и два...я сменил название написанное заглавными буквами т.е то которое отображается телефоном
Автор: ЬЗК Сегодня, 21:35
Теперь заливка родных CG1, CG7, CG18 плюс CG3 оживила телефон!!
а если попробовать CG1, CG7, CG18 правленные лить в комплекте с родной CG3?
Автор: Mr.stEin Сегодня, 21:35
Random, Ну я менял так как ты сказал но в результате получал phone code sig error. Вот и решил спросить =)).
Автор: sasha45 Сегодня, 21:35
Random, как я понял то 4 байта - это 4 пары по два числа(символа
4 байта - это XX XX XX XX. Ох и замучаешься потом чистить эту тему =)
спасибо
Автор: Random Сегодня, 21:36
В буте название из PDS читается, а не из прошивки.
Если бы прошивка запустилась - она бы в PDS сохранила свое название, но она не запустилась у тебя.
Автор: Iceman2000 Сегодня, 21:37
Думаю не выйдет....я же лил CG1,7,18 когда стояла родная CG3
Там вдимо при первом запуске после прошивки в DSP что то меняется...а потому залив вместе с требуемыми CG еще и CG3 то при первом запуске то же самое и получишь----труп.
Автор: uintik Сегодня, 21:39
Для знатоков вылаживаю логи rds .
Присоединённые файлы
RSD_Lite.rar ( 2.3кб )
Кол-во скачиваний: 1
Автор: ЬЗК Сегодня, 21:47
думаю надо попробовать, да и еще, я обратил внимание что RSD не так извлекает CG1
если взять патченую прошиву и разбить на кодогруппы то указанная выше КГ отличается у РСД и ФБ3, а остальные один в один, щас буду искать причину, проверьте у себя плиз кто нибудь
Автор: ЬЗК Сегодня, 21:54
Народ, нашел свою ошибку. Я в cg18 не до конца изменил адрес. =))Так что внимательно читайте и меняйте. Щас прошьюсь и отпишусь.
Если бы прошивка запустилась - она бы в PDS сохранила свое название, но она не запустилась у тебя.
а если вместо названия влить в ПДС переход или процедуру стирания ПДС? Скажем используя для AER повышающую прошиву Е0R_RB (или как там ее)
Автор: люмен Сегодня, 22:08
Есть! Мне удалось прошить V3i патченными кодовыми группами. Как мне теперь проверить, действительно ли отключена проверка RSA?
Автор: Mr.stEin Сегодня, 22:11
Народ, нашел свою ошибку. Я в cg18 не до конца изменил адрес. =))Так что внимательно читайте и меняйте. Щас прошьюсь и отпишусь. - это я писал а вставилось в его пост =)))
Ну исправив эту ошибку телфон прошил. Code sig error не вылез, но телефон не захотел включаться. Просто моргает экраном и вырубается. Щас еще раз попробую.
Автор: ЬЗК Сегодня, 22:14
если включился с правленными кодогруппами значит ок, я так понимаю
вот
для чистоты эксперимента, что бы скопировать и вставить целиком блок CG1
11F81141000000B100130206FFFF08B7
B001FFFB00FFFFFF0803000110092000
100920C3100920C410E5FFFFFFFFFFFF
FFFFFFFF1004000010091FFF110A0000
1123FFFF1000F0001000FFFF10010000
1001FFFFFFFFFFFFFFFFFFFFFFFFFFFF
FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
FFFFFFFF10E600001109FFFFFFFFFFFF
FFFFFFFFFFFFFFFFFFFFFFFF11FE0000
11FE07FFFFFFFFFFFFFFFFFF
Автор: Vint13 Сегодня, 22:22
Прошил правленные кодгруппы вместе с родной CG3. Ошибки не выскочили и телефон включился без проблем.
Автор: Random Сегодня, 22:24
B001FFFB00FFFFFF0803000110092000
100920C3100920C410E5FFFFFFFFFFFF
FFFFFFFF1004000010091FFF110A0000
1123FFFF1000F0001000FFFF10010000
1001FFFFFFFFFFFFFFFFFFFFFFFFFFFF
FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
FFFFFFFF10E600001109FFFFFFFFFFFF
FFFFFFFFFFFFFFFFFFFFFFFF11FE0000
11FE07FFFFFFFFFFFFFFFFFF
Вот это что такое? Это вообще для V360 только, на V3i таким образом точно не будет работать.
люмен,
Что сделал, чтобы заработало?
Слей с телефона Cg18 - если первые байты в ней 12F80000 - то значит прошита патченная и работает.
Автор: ЬЗК Сегодня, 22:30
гуд, итак метода, все суды
сливаем с тела CG1,CG7, CG18 и CG3, первые три патчим как указано в шапке, собираем прошиву не забывая про RAMDLD
льем в тело пишем результаты
ЗЫ
Щас баттарею заряжу и попробую сам.
СРАВНИТЕ КТО НИБУДЬ CG1 слитые из SHX FlashBackup'ом и RSD
сдается мне это очень важно
Обрати внимание, что RSD делит CG1 на две части - CG0 и СG1. Flash&Backup этого не делает, т.к. в свое время сочли это не нужным.
Автор: Mr.stEin Сегодня, 22:40
Все я тоже снял RSA.
НЕ ЗАБЫВАЙТЕ ДОБАВЛЯТЬ CG3 без нее телефон не хочет запускаться. Проверено на собственном опыте.
RSD создает файл CG0 размером 200 байт, которые берутся из начала CG1.
Random, добавь информацию про CG3 в закрепленное сообщение =)
Добавил =)
Автор: ЬЗК Сегодня, 22:54
это баг или фича?
файлы то одинакового размера, каким образом эти 200 байт добавляются? можно в личку
Автор: Mr.stEin Сегодня, 22:54
Random, вот я нашел у себя прогу MotoPatchMaker. Если я сейчас через нее сделаю патч на смену клавиш блокировки, я могу залить с помощью FB3 его?
Думаю нет. Движок патчинга в текущей версии расчитан на LTE, соответсвенно адреса там другие. А абсолютной адресации пока не поддерживает. Вообщем ждите новой версии =)
Автор: люмен Сегодня, 23:12
Random, первые байты 12F80000. Я просто изначально одну ошибку сделал, потом уловил ее.
Объясни теперь, как мне слезть с бута 0А.30?
Если я обычный дуалбут прошью, он запустится?
Нет. Подождите немного. Пока проверяется сам метод. Патчи и новый дуалбут будет позже. И с бута слезть тоже получиться, но чуть позже. И еще - ты делал по моей инструкции? Или что-то поменял?
По инструкции. Спасибо тебе.
Автор: Iceman2000 Сегодня, 23:16
Тоже снял RSA на V360....
ЗЫ: И все таки интересно почему телефон при заливки патченных CG1,7,18 так себя ведет без повторной прошивки оригинальной CG3? Видимо там что то меняется при первом включении....то что повторно уже не меняется...как считаете? Просто интересно....
Извините если офф...
ЗЫЫ: Только что проверил оригинальный DSP и тот что слил с телефона после заливки патченных CG....они идентичны....
Тогда совсем непонятно почему у некоторых без прошивки CG3 все нормально запустилось а у нас нет...
Автор: люмен Сегодня, 23:19
Iceman2000, странно, но у меня без CG3 нормально все.
Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)