Обход РСА для z3/k1/l7e, Гуру, Требуется ваша помощь! Поделиться Опции

[HDD-Killer]

Наверное большая половина пользователей мотофана (и не только) занимаются или занимались когда то поиском способов обхода РСА. Вот и я решил, неотставать... И как мне кажется кое в чем преуспел.
И так, что имеем (если я в чем то ошибась, поправте меня):
Метод, предложенный для LTE2-RSA заключается в том, что бы заставит проверять CG7 вместо CG1+CG3. Проверка CG7 выполняется не полностью... блок проверки начинается с адреса 0х1000 потому мы и передаем управление в подписаную зону (адрес 0х1140). а там джамп, выкидывающий из нее в неподписаную зону (адрес 0хС80) и там мы пишем свой код перехода на оригиналюную точку входа в CG1. Джамп этот на самом деле просто чать ресурсной строки (просто мы туда подаем управление, а значит процессор рассматривает его как код). То, что в подписаном блоке оказался именно такой набор байт - совпадение, которым авторы идеи обхода РСА и воспользовались.

Ну а суть вот в чем:
Проверка прошивки естественно не одна. Проверка подписи RSA, лишь одна из многих. Если в наглую поправить (пропатчить) CG1, то естественно при загрузке мобила ругнется, что подпись не совпадает... А знаете, как она ругнется? "Sig error 35:02" - ошибка, мол RSA не сходится. А знаете, что будет если по старой методе отключить РСА?
1. Поправим только СG7 и заливаем в паре с оригинальной cg18 - результат - ничего, мобила все проглатила и даже ничего не заметила...
2. Правим CG1 и заливаем в паре с оригинальной CG3. Результат - ругается сиг еррор 35:02. Естественно, мы сказали вместо CG1+СG3 провероить CG7. Но адрес подписи (в CG18) не правили и проверяет она старой подписью (от CG1+CG3).
3. Знаете, что происходит, еслди теперь поправить CG18? Проверка на РСА проходит нормально, то есть сарый метод РАБОТАЕТ! Но мобила при загрузке выплевывает Сиг еррор 39:02. Поняли разницу? ошибка другая... Дополнительная проверка есть, на то что б в подпись для CG1+CH3 была в пределах сг18...
Теперь поробуем просто в наглую скопировать подпись из CG7 в CG18 (в CG7 она начинается с оффсета 0 и ее длинна 45F байт, в CG18 она начинается с оффсета 0x10). Заливаем в мобилу - иполучаем.... sig error 55:02. Опять новая ошибка - что подтверждает теорию, о том, что sig error 39:02 проверял наличие подписи для CG1+CG3 в пределах CG18.
Только что это за новая ошибка 55:02. На что теперь мобила может ругаться???
Адреса конца CG1 в буте нет, следовательно вряд ли он проверяет, что точка входа в сг1 должна быть в пределах СG1... больше в CG1 мы ни чего не меняли. на CG7 он вообще не реагирует. Значит остается только CG18 или вся прошива в целом...
Народ, если у кого есть идеи - буду рад услышать.

З.ы. огромная просьба не флудить!!! иначе тему просто закроют.

[Vilko]

HDD-Killer,
проверяемый бут - в студию.
так-же желательно видеть и CG7 с CG18
иначе получается разговор ниочем )

[GandjaFuzz]

вот выкладываю бут от L7e-K1-Z3
+ Cg7, Cg 18 от L7e

Сообщение отредактировал GandjaFuzz - 26.4.2007, 17:52

[HDD-Killer]

нашел в буте нечто интересное - он проверяет, что бы адрес точки входа в CG1 был равен адресу (4-м байтам) по смещению 1С от начала CG1, т.е. там дублируется адрес точки входа:

Код

ROM:10000074                 LDR     R1, =0x10092000
ROM:10000076                 ADD     R2, R1, #0
ROM:10000078                 ADD     R1, R2, #0
ROM:1000007A                 ADD     R4, R2, #0
ROM:1000007C                 LDR     R3, [R2,#0x1C]
ROM:1000007E                 CMP     R3, R4

Я изменил и вторую копию адреса. Теперь все ок. В смысле не то, что бы... вобщем мобила при включении переходит во флэш-мод. Но ни каких ошибок не выдает... Что это значит и почему мобила не грузится и не выдает ни какой ошибки?
з.ы.

...поробуем просто в наглую скопировать подпись из CG7 в CG18 (в CG7 она начинается с оффсета 0 и ее длинна 45F байт, в CG18 она начинается с оффсета 0x10). Заливаем в мобилу - иполучаем.... sig error 55:02. Опять новая ошибка - что подтверждает теорию, о том, что sig error 39:02 проверял наличие подписи для CG1+CG3 в пределах CG18....

- был не прав... sig Err 55:02 - телефон ругался, что подписи не на своем месте.

[azunai]

а строение cg7 и cg18 одинаково ?(подписей)
если одинаково , то можно изменить cg18 под cg7 , иначе нельзя.
а если принудительно загнать её во флеш мод то тоже не ругается ?
а что если дойти до первого абзаца пункта3 из первого поста а потом сделать :

"нашел в буте нечто интересное - он проверяет, что бы адрес точки входа в CG1 был равен адресу (4-м байтам) по смещению 1С от начала CG1, т.е. там дублируется адрес точки входа:
КодROM:10000074 LDR R1, =0x10092000
ROM:10000076 ADD R2, R1, #0
ROM:10000078 ADD R1, R2, #0
ROM:1000007A ADD R4, R2, #0
ROM:1000007C LDR R3, [R2,#0x1C]
ROM:1000007E CMP R3, R4
Я изменил и вторую копию адреса. "
т.е. не делать :
"Теперь поробуем просто в наглую скопировать подпись из CG7 в CG18 (в CG7 она начинается с оффсета 0 и ее длинна 45F байт, в CG18 она начинается с оффсета 0x10). Заливаем в мобилу - иполучаем.... sig error 55:02. Опять новая ошибка - что подтверждает теорию, о том, что sig error 39:02 проверял наличие подписи для CG1+CG3 в пределах CG18"
моё мнение , что там важен этот адрес из бута , изменяя его прошивка не может загрузиться или вместо неё мы и грузим бут ...
PS извините , если не совсем в тему , просто стараюсь помочь...

[HDD-Killer]

azunai, Подписи имеют сходную но немного отличную структуру и зависят от различных параметров, посему менять их местами нельзя! Мобила это сразу видит и отключить эту проверку нельзя!
Кроме того, проверки на то

что sig error 39:02 проверял наличие подписи для CG1+CG3 в пределах CG18

нет в буте! Я ж отписал - был не прав!

[Алекс75]

HDD-Killer,
Vilko,
GandjaFuzz,
А если попробовать пойти другим путем?Я имею ввиду понижение бута на L7i и затем уже применение обхода RSA на LTE2?Кстати собрался сделать ТП и попробовать затереть бут,но есть пару вопросов
1.Какой лоадер для него использовать(чтоб стереть бут через ТП на L7e)
2.Есть ли способ проверить по аналогии с Е1 возможность возврата данного бута в телефон(не записалась ли бут в ОТП ошибку) потому что я уже несколько раз прошивал L7e патчеными прошивками(тестил) и каждый раз была одна и та же ошибка 39:02 не скажется ли это при попытке возврата назад данного бута,если его стереть.
P.S.Наверное мой пост не совсем в тему,но я так же пытаюсь поиметь на L7e обход RSA и думаю что понижение бута реально.Кстати за патченый бут спасибо GandjaFuzz, постараюсь сегодня же его протестить.

Кстати кто нить узнал как квалифицируются разные ошибки выдаваемые бутом?Насчет ошибки 39:02 вроде понятно,по крайне мере в буте описание есть и насколько я понял данная ошибка связана именно с расположением подписи прошивки,т.е. бут "видит" что проверяет подпись не там.Насчет ошибки 35:02 тоже вроде бы ясно-это ошибка проверки подписи,т.е. подпись неверная.Насчет ошибки 55:02 не понятно,в буте описания вообще не нашел.Поэтому мне кажется что.
1.Раз бут проверяет не только подпись но и ее местоположение,что закрывает возможность использовать способ для LTE2 то без правки самого бута никаких шансов к сожалению нет.
2.Если все таки есть возможность понизить бут на L7e что более чем реально,то какой для этого использовать лоадер,дабы затереть бут в бланке.
3.Есть информация об image для L7e и если есть,то какой в имидже бут. вообще хотелось бы поиметь имидж для L7e.Если у кого то есть бинарник зоны ПДС с L7e посмотрить пожалуйста полное название image который прошивался на чистую флеш память.
И еще.... выложите лоадер для стирания,считывания,записи зоны ПДС и бута на L7e а еще лучше для всех 64мб памяти,если таковой существует.И есть ли отличия в адресах его загрузки?Просто только недавно начал заниматься именно L7e поэтому на первых парах не хотелось бы в чем то ошибиться

Сообщение отредактировал Алекс75 - 1.5.2007, 7:50

[HDD-Killer]

Покавырял еще бут, поговорил с нашим уважаемым гуру Vilko и пришел к выводу, что старый спозоб обхода RSA-LTE2 не покатит для наших мобил... Причин тому несколько, одна из которых, и самая весомая, в том, что там отдельно проверяется, что адрес 10092000 длина 4 байта (т.е адрес точки входа) не изменен(т.е. подписан).
Однако не расстраивайтесь Как говорил один известный, среди своих знаколмых, человек "Все, что запускается можно взломать!" Вобщем поиски продолжаются.

Алекс75, Хочу вас огорчить, ибо более низкие буты от других мобил не подходят из-за привязки к адресам... По крайней мере я подходящих бутов не видел. Если у кого есть бут от L7i - в студию!
Править сам бут тоже нет возможности, поскольку он подписан.

лоадер для стирания,считывания,записи зоны ПДС и бута на L7e а еще лучше для всех 64мб памяти,если таковой существует

На сколько мне известно - такого лоадера нет!

[Алекс75]

HDD-Killer,

На сколько мне известно - такого лоадера нет!

А как же лоадер из имиджа?По крайне мере он может стирать-записывать ПДС и бут.А клипса как репайрит ПДС,сливает фулл,анлочит?Значит в природе существует такой лоадер?
А насчет бута.....неужели безвыходная ситуация?Например....рассуждения вслух...
1.Делаем(находим,мониторим клипсу и т.д.) и получаем лоадер для считывания всей памяти.
2.Коротим ТП сливаем фулл бекап,заменяем в бекапе бут например на 08D0 с изменениями(проверяет не свою подпись,а подпись в CG7)
3.Вливаем данный фулл
И....имеем возможность снять рса.Нов данный момент нет лоадера для этого,что есть плохо.Если бы найти имидж для L7e и оттуда взять,то можно было бы хотя бы стирать/записывать пдс и бут.
Кстати насчет правки бута спрашивайте у GandjaFuzz поскольку он мне дал правленый бут 08D0,но мне так и не удалось прошить его в L7e через ТП.

Сообщение отредактировал Алекс75 - 1.5.2007, 10:46

[HDD-Killer]

Алекс75, Чем ты его (бут) заливал? FB это невозможно... Юзай P2K Easy Tool. Но я бы на твоем месте сначала подумал, перед тем как делать:
1. Если что то пойдет не так получишь охрененные проблемы с мобилой... Т.е. такие, которые с помощью тп не решишь...
2. В новых мобилах сменилась адресация, поменялось еще множество тонкостей, связаных с работой прошивы, потому ставить бут от старой мобилы не убедившись что он совместим с твоей прошивой нет смысла: ни откатиться не сможешь, ни прошу залить...

З.ы. Так и не понял, зачем тебе фул бэкап? И зачем тебе такой лоадер? Только что бы бут сменить??? На многих мобилах спокойно понижают буты и без того... В свое время я не мог (да и не пытался) снять фул бэкап с R1, да и лоадера у меня особого не было... Однако бут я понизил безпроблем!

З.з.ы.

неужели безвыходная ситуация

Работаю...и не я один. Решение найдется обязательно...

[Алекс75]

HDD-Killer,

З.ы. Так и не понял, зачем тебе фул бэкап? И зачем тебе такой лоадер? Только что бы бут сменить???

Причем здесь бут?Это как безопасный секс(да простят меня модеры за такое сравнение).Имея фулл бекап я смогу в любой момент его залить назад.Да и поковыряться в ПДС не мешало бы,остальные CG впринципе интереса никакого не представляют,по крайне мере до той поры пока не снята проверка RSA.Впринципе можно создать параллельную тему...Поскольку в данной теме рассматривается вариант обхода RSA софтово.А например в этой теме Test Point на L7e без потери гарантии. можно рассматривать варианты понижения бута и как следствие обход RSA по методе LTE2.Не стоит отметать вариант с понижением,если в самом буте сменить адрес проверки его(бута) подписи на адрес в CG7 то должно прокатить,вот только как его(низкий бут) влить в телефон?Я могу без демонтажа экрана сделать в данный момент ТП за минуту,но мне нужна помощь таких людей как Vilko, и GandjaFuzz, поскольку они знают АСМ и реально могут или по крайне мере могут попытаться сделать(переделать) лоадер для сохранения ПДС и бута при работе с Blank Neptun.Кстати насчет изи туллса не совсем понял...в какой именно версии есть поддержка L7e?Или я отстал от жизни?
P.S.Не мешало бы с подобными обсуждениями переехать в тему(см выше) поскольку они не совсем соответствуют теме.Цель правда одна,но пути разные.

[angel_s]

HDD-Killer
не тут ты ошибаешся лоадер есть специальный подписаный моторолой,с помощью которого можно у сливать и заливать пдс,менять бут и т.д
Но скожем так его проктически нереально достать
если я неошибаюсь то на v3 мы с помощью него понижали бут,только у моторов лоадер подкождую мобилу разный

[HDD-Killer]

Я могу без демонтажа экрана сделать в данный момент ТП

Расскажи подробнее в чем суть того, что ты хочешь сделать, т.е. какой бут бы хочешь лить и что в нем менять??? А то я что-то тебя не понимаю... А вот с ТП проблем у меня нет.. Делается очень легко и никаких извращений с проводами и ковырянием под экраном нет... Фактически даже корпус снимать не обязательно...

[Алекс75]

HDD-Killer,

Расскажи подробнее в чем суть того, что ты хочешь сделать, т.е. какой бут бы хочешь лить и что в нем менять??? А то я что-то тебя не понимаю... А вот с ТП проблем у меня нет.. Делается очень легко и никаких извращений с проводами и ковырянием под экраном нет... Фактически даже корпус снимать не обязательно...

Насчет бута...это 08D0 в котором заменены адреса,а так же заменен адрес проверки RSA,т.е. бут должен проверять подпись не свою а CG7(опять же с подробностями к GandjaFuzz, )Но повторюсь что я еще не нашел лоадера который бы мог стереть бут 0АС0 даже в бланке).Ну а насчет ТП....Поделись как ты его делаешь не разбирая телефона?Если ты имеешь ввиду софтово,т.е. "порча" прошивки для получения бланка,то это не то)))Хоть телефон и будет при этом определяться как бланк,но бут все равно будет работать и не даст ничего сделать.Если каким то иным способом буду благодарен за любую инфу,поскольку я не теряя гарантии нашел только один способ,а о других не слышал.

[HDD-Killer]

Алекс75, с отменой подписи бута я в принцепе разобрался, и вроди даже отменил ее... Вот только та же проблема, залить и проверить нечем... нет такого лоадера пока... А вобще я все же пытаюсь найти метод снятия РСА без ТП и тема была заведена именно с целью поиска такого решения... А идея отключить проверку бута и там отменять проверку CG1+CG3 не нова...
з.ы. По поводу тп, про твой тел, ничего сказать не могу... Я L7e даже в руках ни разу не держал... А У меня все просто... Снять заднюю панель конечно надо, но если делать все аккуратно, то гарантия не пострадает... А щас я вообще тп вывел под аккумулятор... Потому и разборка не требуется...

[Алекс75]

HDD-Killer,

А вобще я все же пытаюсь найти метод снятия РСА без ТП и тема была заведена именно с целью поиска такого решения

Мне кажется что "на войне все средства хороши".При любом раскладе мы все стремимся к одному и тому же.Насколько я понял
GandjaFuzz, то он собирается переделать лоадер с имиджа для V3i,чтобы с его помощью попытаться стереть бут 0А02.Поиметь лоадер который заливает в телефон клипса при работе с L7e не представляется возможным,поскольку работа идет через сервер,а отмонитторить порт клипсы тоже не получится из за защиты.Если у кого то есть какие то варианты его(лоадер) поиметь или же есть какая либо инфа об имидже для L7e или хотя бы есть полное название image для L7e,т.е. первая прошивка записаная в ПДС отпишитесь в теме.

[HDD-Killer]

Вариант в принципе есть GOT. Хотя и сомнительный... А по поводу того, что "на войне все средства хороши" так проблема в том, что тп не всем доступно... А хотелосьбы найти способ "for_all".
з.ы. Если уж пт использовать, то проще в родном буте для 0A.C0 просто отключить зашиту от стирания диопазона 0x10 00 00 00 - 0x10 00 FF FF. Щас этим и занимаюсь.

Сообщение отредактировал HDD-Killer - 5.5.2007, 8:03

[HDD-Killer]

Люди! Может у кого есть boot.idb (база от IDA) с нормально разобранным лоадором какой-нибойдь старой версии... А то времени нормально заняться, что б с нуля разбираться что там и как нехватает... Так хоть было бы с чем сравнивать.

[gsm-dev]

Люди! Может у кого есть boot.idb (база от IDA) с нормально разобранным лоадором какой-нибойдь старой версии... А то времени нормально заняться, что б с нуля разбираться что там и как нехватает... Так хоть было бы с чем сравнивать.

Вот тебе бут дизасмленный на AC0. Там в принципе не все если что надо будет стучи.


По отключению сигнатуры все очень просто. .
Правильный бут, 1 патч во флеше и правильно запрыгнуть в нее.
--------------------------------------------------------------------
Use your maind.

Br. GSM-DEV

Сообщение отредактировал gsm-dev - 8.5.2007, 8:14

[HDD-Killer]

gsm-dev, Я просил лоадер а не вариацию разбора бута... Его я сам неплохо разобрал... И лоадер не обязательно новый... просто с нуля лоадер разбираться времени нет...

[gsm-dev]

gsm-dev, Я просил лоадер а не вариацию разбора бута... Его я сам неплохо разобрал... И лоадер не обязательно новый... просто с нуля лоадер разбираться времени нет...

Вот лоадер AB2.


Br. gsm-dev

[HDD-Killer]

gsm-dev, Хмм... Не думай, что я придераюсь, но...

Format is not support

[Алекс75]

HDD-Killer,

gsm-dev, Хмм... Не думай, что я придераюсь, но...

Наверное все таки придираешься Сам посмотри

[Vilko]

HDD-Killer,
иду 4.9 возьми.

[HDD-Killer]

Vilko, У меня 5-я версия... Они что, не совместимы???

[Vilko]

я знаю какая у тебя есть )
если б были совместимы - не советовал бы.

[GandjaFuzz]

вообщем народ, разобрал наш родной бут полностью 0A.C0, обошёл РСА и поубивал проверки которые нам мешали снять РСА... осталось только лоадер достать... бут выложу завтра или после завтра...

[Vilko]

GandjaFuzz,
не спеши. там еще есть что доработать ))

[павлеГ]

оч. интересно...
судя по тому то ГОТ может в случае чего поднять телефон - могу записаться в тестеры....

[HDD-Killer]

GandjaFuzz, Бут я тоже давно поправил... Покрайней мере предпологаю, что должно работать... Но проверить нечем... Вот лоадер хотелось бы вашь посмотреть!!!
Vilko, Дай линк плз... И еще, конвертнуть его ни как нельзя... А то еще 50 метров качать только из-за одного лоадера... У меня трафик не резиновый)))

[okay]

вопрос такой...
если на етих телах обойдут-таки РСА, то эта метода прокатит на v3x?

[Vilko]

okay,
нет.

[HDD-Killer]

Vilko, Что ты так сразу? Бут переделанный и на V3x должен пойти... там же тоже LTE2. То есть дрова пойти теоретически должниы... А остальное можно и адаптировать Главное метода пойдет!
Или там проц другой???

[angel_s]

Сразу надо читать характеристики телов а потом писать. На 3G телах не Lte2 платформа а rainbow.

[bag]

Перепрошивка MotoSLVR L7e

господа скажите что сие значит? получается сломали РСА или это бред?

[Respected]

bag,
ссылка на сообщение у тебя неправильная. Надо не просто копировать ссылку, а нажимать на неё левой клавишей мыши. Вот правильная ссылка Перепрошивка MotoSLVR L7e
Выход монстра не означает, что обойдена RSA. И зачем делать такие выводы, если в том сообщении, которое ты указал, вообще ничего об этом не сказано.

[HDD-Killer]

Народ, есть одна мысль...но нужны оригинальные буты ЛТЕ2 плотформы (кроме 0АС0 естественно). Если у кого какие есть - скиньте... Желательно побыстрее)

Сообщение отредактировал HDD-Killer - 26.5.2007, 9:59

[bigserg555]

HDD-Killer, если ещё нужны,то a0.52,08.A0R,0A30,08D0

Сообщение отредактировал bigserg555 - 27.5.2007, 16:39

[HDD-Killer]

bigserg555, Нужны именно LTE2! 08D0, который ты дал - от L2/L6 Это не LTE2, а LTE.
За остальные спасиб...

[lucrece]

С чего ты решил, что 08.D0 только на LTE стоит? Он (а также 08.A0 и др.) отлично себя чувствует на LTE2 (L7, V360)