Ковыряем бут Поделиться Опции

[igorCool]

Сразу к делу.

Как(чем) слить ROM (0x00000000 по 0х001С0000)?
В команде READ во встроенном буте (0x10000000) идет проверка на выход параметра за границы:
0х10000000-0х12000000

Код

Boot:100012D8                 LDR     R0, =0x3FC836C
Boot:100012DA                 LDRB    R0, [R0]
Boot:100012DC                 CMP     R0, #0
Boot:100012DE                 BEQ     loc_1000130A
Boot:100012E0                 BL      PhoneType      ; 1-engn;2,8-prod;other-dsbl
Boot:100012E4                 CMP     R0, #2
Boot:100012E6                 BNE     loc_1000130A
Boot:100012E8                 LDR     R0, =off_10000000    
Boot:100012EA                 CMP     R7, R0                       -здесь
Boot:100012EC                 BCC     error_83
Boot:100012EE                 MOVL    R3, 0x2000
Boot:100012F2                 ADD     R3, SP
Boot:100012F4                 LDR     R1, =off_10000000
Boot:100012F6                 MOVL    R2, 0x2000000
Boot:100012FA                 ADD     R1, R1, R2
Boot:100012FC                 LDR     R0, [R3,#0x38]
Boot:100012FE                 CMP     R0, R1                       -и здесь
Boot:10001300                 BCC     loc_1000130A
Boot:10001302
Boot:10001302 error_83                               ; CODE XREF: cmd_READ+64j
Boot:10001302                 MOV     R0, #0x83; 'Ã'
Boot:10001304                 BL      answer_err
Boot:10001308                 B       exit

В буте который загружается в телефон (ramldr) таже проблема.
При исправлении ramldr бута он не запускается, видимо идёт проверка CRC бута.
Вопрос: как отключить эту проверку, чтобы написать свой бут?
Где может находится эта проверка?

При изучении команды JUMP встроенного бута нашел, что он всегда прыгает на 03FD0010 и имеет в
своем теле процедуру обращающаюся по адресу 0x39023902 - что там? (может это и есть проверка)

Как видно из приведенного кода - если телефон имеет тип "engn" то проверки не происходит.
Можно ли указать телефону, что он "engn"?

Если я исправлю бут по 0x10000000 то тел загнется или все будет нормально?

И последнее:

Boot:100035BC LDR R12, =0x2189
Boot:100035C0 BX R12

Как передастся управление обратно после выполнения процедуры по 0x2189 или это IDA не правильно отобразила код? (это процедура проверки типа телефона "PhoneType")

[Random]

igorCool,
Проверка не CRC идет, а подписи по алгоритму RSA
engn я как понимаю - engineering, т.е. инженерная версия.
Как я предположу, это указывается в зоне PDS, к которой доступ на запись тоже перекрыт в обычном режиме.

[igorCool]

Т.е. в загружаемом буте находится подпись? или она вычисляется?

Мне кажется порядок действия таков:
1.Заливается бут
2.Вычисляется хеш (CRC) (програмно или аппаратно?)
3.Шифруется RSA
4.Сравнивается с хранящимся в телефоне значением.
5.Если совпадает то стартует загруженный бут.

Ваши предположения...

P.S. И всетаки чем можно слить ROM? (ведь вроде там находятся функции RSA)


Добавлено позже (11.3.2007, 18:51):

Как я предположу, это указывается в зоне PDS, к которой доступ на запись тоже перекрыт в обычном режиме.

А в каком режиме открыт? Есть ли на сегодняшний момент решения позволяющие править защищенные PDS?

[Vilko]

igorCool,
подпись находится и в буте что по адресу 0x10000000 и в загрузчике(то что ты назвал загружаемым бутом)
алгоритм действий - почти прав.
считается не crc а sha1
и не шифруется rsa а наоборот расшифровывается эталонное значение sha1 из этой-же подписи и они сравниваются.

кстати - состояние телефона - engeneering/prodaction/factory модель задаются младшими битами серийного номера. соответственно поменять их невозможно.

слить irom - можно командой memacs при рабочеей прошивке. только в ней надо отпатчить все проверки.




Добавлено позже (11.3.2007, 12:16):
кстати, а из

Код

Boot:100035BC LDR R12, =0x2189
Boot:100035C0 BX R12

выход идет по BX LR - если посмотришь внимательно то эта конструкция через BL была вызвана

[igorCool]

Риторический вопрос (хотя ответ приветствуется): Интересно Vilko как ты слил эту область, если для того чтобы ее слить надо патчить прошивку, что бы патчить прошивку надо обойти RSA, что бы обойти RSA надо слить эту область и разобраться в ее работе. Однако замкнутый круг . И как из него выйти?

[Vilko]

Риторический вопрос (хотя ответ приветствуется): Интересно Vilko как ты слил эту область, если для того чтобы ее слить надо патчить прошивку, что бы патчить прошивку надо обойти RSA, что бы обойти RSA надо слить эту область и разобраться в ее работе. Однако замкнутый круг . И как из него выйти?

на обычном LTE эта область сливается и через флеш-мод, там ее не защищают.
на ЛТЕ2 я ее и не сливал - консервативность моторолы позволила предположить что там мало что изменилось )

[igorCool]

обработчик memacs похож на обработчик READ? А то я чувствую долго буду его искать в прошивке...

[Vilko]

обработчик memacs похож на обработчик READ? А то я чувствую долго буду его искать в прошивке...

тебе просто нужен irom от LTE2?
держи.

[igorCool]

Несколько вопросов:
Как узнали адреса устройств? (Например что usb - 0x24852000)

При включении прыгаем на адрес 0x00015170

Код

ROM:00015170                 MOV     R0, #0
ROM:00015174                 MOV     R1, #0
ROM:00015178                 MOV     R2, #0
ROM:0001517C                 MOV     R3, #0
ROM:00015180                 MOV     R4, #0
ROM:00015184                 MOV     R5, #0
ROM:00015188                 MOV     R6, #0
ROM:0001518C                 MOV     R7, #0
ROM:00015190                 MOV     R8, #0
ROM:00015194                 MOV     R9, #0
ROM:00015198                 MOV     R10, #0
ROM:0001519C                 MOV     R11, #0
ROM:000151A0                 MOV     R12, #0
ROM:000151A4                 TEQP    R1, #0xD3                 -зачем это?
ROM:000151A8                 LDR     SP, =0x3FEFF80
ROM:000151AC                 LDR     R0, =0x24840000
ROM:000151B0                 LDR     R1, =0xFCAFF304
ROM:000151B4                 STR     R1, [R0]
ROM:000151B8                 LDR     R0, =0x24840004
ROM:000151BC                 LDR     R1, =0x7300CFF
ROM:000151C0                 STR     R1, [R0]
ROM:000151C4                 BL      sub_44

ROM:00000044 sub_44                                  
ROM:00000044                 ADR     R8, off_110
ROM:00000048                 LDMIA   R8, {R0,R1}
ROM:0000004C                 ADD     R0, R0, R8
ROM:00000050                 ADD     R1, R1, R8
ROM:00000054                 SUB     R11, R0, #1
ROM:00000058                 CMP     R0, R1
ROM:0000005C                 BEQ     loc_B0

При этом off_110 указывает на строку "open", и с этого адреса загружаются регистры R0 и R1. Тоесть надо расматривать off_110 как данные?

Далее идем по коду и встречаем:

Код

ROM:00013CB4                 BL      __rt_stackheap_init
ROM:00013CB8                 BL      sub_1509C
ROM:00013CBC                 LDR     R12, =0xFFFF19D7
ROM:00013CC0                 ADD     R12, R12, PC
ROM:00013CC4                 TST     R12, #1
ROM:00013CC8                 ADRNE   LR, (loc_13CDC+1)
ROM:00013CCC                 MOVEQ   LR, PC
ROM:00013CD0                 BX      R12
ROM:00013CD4                 ADR     R12, (loc_13CDC+1)
ROM:00013CD8                 BX      R12
ROM:00013CDC                 CODE16
ROM:00013CDC                 BL      sub_13ECC

Это преход на главную процедур?
По BX R12 мы попадаем на 0x5696 (0xFFFF19D7+0x00013CC0), но там:

Код

ROM:00005694                 BL      cmd_main_Start
ROM:00005698                 POP     {R1-R7}
ROM:0000569A                 POP     {R3}
ROM:0000569C                 BX      R3

Как видно 0x5696 - нету. При этом в cmd_main_Start имеется команда чтения из 0x3F80018, что не реально т.к. область RAM еще не инициализированна.

В чем загвоздка?

Сообщение отредактировал igorCool - 13.3.2007, 4:37

[Vilko]

итак, несколько ответов
1:

TEQP R1, #0xD3 -зачем это?

эту команду ина неправильно отображает, единственный замеченный подобный случай. на самом деле это
MSR CPSR_c, #0xD3

2:

При этом off_110 указывает на строку "open", и с этого адреса загружаются регистры R0 и R1. Тоесть надо расматривать off_110 как данные?

нет.
если посмотришь внимательно - то заметишь что к указателю в 110 потом прибавляеться адрес этого указателя, т.е. это указатель не абсолютный а относительно своего адреса.
3.
неправильно посчитал. не "0xFFFF19D7+0x00013CC0" а 0xFFFF19D7+0x13CC8" (есть такая тонкость при операциях с PC, что прибавлять надо следующее значение а не текущее)
получим адрес 0569E, вполне допустимый, и по нему код:

Код

IROM:0000569E main
IROM:0000569E                 PUSH    {R7,LR}
IROM:000056A0                 BL        irom_boot
IROM:000056A4                 POP     {R7}
IROM:000056A6                 POP     {R3}
IROM:000056A8                 MOV     R0, #0
IROM:000056AA                 BX      R3
IROM:000056AA; End of function main

Добавлено позже (13.3.2007, 10:02):
ну и про адреса устройств - это дело изучения. например в загрузчиках (ramdld) вполне очевидны адреса usb и видео. поскольку явно выделяются процедуры работы и с тем и с другим.

Добавлено позже (13.3.2007, 11:11):
и кстати iram(3F80000-3FFFFFF) не нужно инитить. она сразу по включении доступна.

[igorCool]

Интересно, по адресу 0x20000 код повторяется, DualBIOS ?

[Vilko]

igorCool,
скорее просто глюк чтения. заново начало с 0 читать, когда дошли до конца ROM... )

[igorCool]

igorCool,
скорее просто глюк чтения. заново начало с 0 читать, когда дошли до конца ROM... )

я тоже так подумал, но в коде есть ссылочки на эту область (на 0x20000)

P.S. Инет имею только по выходным - служу однако... Соответственно и отвечать могу только по выходным

[Vilko]

igorCool,
гм. пример? я - не нашел таковых

[igorCool]

igorCool,
гм. пример? я - не нашел таковых

Код

ROM:000060C4                 PUSH    {R3-R7,LR}
ROM:000060C6                 LDR     R2, =unk_1967C
ROM:000060C8                 ADD     R3, SP, #0x18+var_18
ROM:000060CA                 LDRB    R4, [R2,#4]
ROM:000060CC                 MOV     R5, #0
ROM:000060CE                 STRB    R4, [R3]
ROM:000060D0                 LDRB    R4, [R2,#5]
ROM:000060D2                 STRB    R4, [R3,#1]
ROM:000060D4                 ADD     R3, R0, R1
ROM:000060D6                 MOVL    R1, loc_20000        <-здесь
ROM:000060DA                 CMP     R3, R1
ROM:000060DC                 BLS     loc_6108
ROM:000060DE                 LDR     R1, =0x3F828B8
ROM:000060E0                 MOVL    R2, 0x400
ROM:000060E4                 ADD     R4, R1, R2
ROM:000060E6                 B       loc_60FC

и еще в нескольких местах

Добавлено позже (17.3.2007, 17:22):
В команде JUMP бута, в процедуре проверки подписи имеется три процедуры, содержащие в конце одинаковые блоки

Код

Boot:100006E4                 BL      PhoneType      ; 1-engn;2,8-prod;other-dsbl
Boot:100006E8                 CMP     R0, #1
Boot:100006EA                 BEQ     exit
Boot:100006EC                 LDR     R0, =0x24850000
Boot:100006EE                 LDRH    R0, [R0]
Boot:100006F0                 LSL     R0, R0, #0x13
Boot:100006F2                 BPL     exit
Boot:100006F4                 LDR     R0, =0x2D8D0000
Boot:100006F6                 LDR     R0, [R0]
Boot:100006F8                 LSL     R0, R0, #0x18
Boot:100006FA                 BPL     exit

что это за устройства: 0x24850000 и 0x2D8D0000 ?
Как видно если с них получен определенный ответ то проверка подписи возможно будет верна.

[Vilko]

это не указатели, это числовые константы просто
24850000 - это UID(SN) устройства

2D8D0000 - это sequrity-контроллер, он проверяет вроде, не идет ли отладка внешним устройством типа jtag

Сообщение отредактировал Vilko - 17.3.2007, 8:50

[igorCool]

Пара вопросов:

1. Имеет ли смысл функция начинающаяся на:

Код

BOOT:1000278C                 PUSH    {R4}
BOOT:1000278E                 LDRB    R2, [R0]
BOOT:10002790                 ADD     R0, #1
BOOT:10002792                 LDR     R1, =0x3FC5A44
BOOT:10002794
BOOT:10002794 loop:                                  
BOOT:10002794                 LDR     R3, =0x3FC5A44
BOOT:10002796                 MOVL    R4, 0x400
BOOT:1000279A                 ADD     R3, R3, R4
BOOT:1000279C                 CMP     R1, R3
BOOT:1000279E                 BCS     exit               <-здесь (больше или равно)
BOOT:100027A0                 B       next

Ведь с первого взгляда проверка всегда выполняется.

2. Смысл следующего кода:

Код

BOOT:1000281E                 ADD     R0, SP, #0x70+var_38
BOOT:10002820                 LSR     R0, R0, #0x18
BOOT:10002822                 STRB    R0, [R4]        @ ptr
BOOT:10002824                 ADD     R0, SP, #0x70+var_38
BOOT:10002826                 LSR     R0, R0, #0x10
BOOT:10002828                 STRB    R0, [R4,#1]     @ ptr
BOOT:1000282A                 ADD     R0, SP, #0x70+var_38
BOOT:1000282C                 LSR     R0, R0, #8
BOOT:1000282E                 STRB    R0, [R4,#2]     @ ptr
BOOT:10002830                 ADD     R0, SP, #0x70+var_38
BOOT:10002832                 STRB    R0, [R4,#3]     @ ptr

В R0 заносим адрес стека(?), смещаем этот адрес(?) и записываем. Или это запись адреса в обратном порядке (было 0х12345678 записываем 0х87654321) ? Для чего?

[Vilko]

igorCool,
1й фрагмент - видимо не имеет смысла.
2й - это конвертация BE-LE(меняет байты в dword местами)

[igorCool]

В кодовых групах, сразу за указателем на начало, стоит B1 (в буте например по адресу 0х10000004).
В прошивке много проверок этой B1 (есть или нет). Что это?

Далее идет два dw, у меня для кодовых групп DSP, DRM, Lang, Sign : 010C0206 FFFF0BA0
А для BOOT и Flash: 000C0206 FFFF0BA0

Что это - версия?


Добавлено позже (18.3.2007, 15:20):
Поделитесь списком устройств, типа "адрес - устройство"?

[Vilko]

igorCool,
B1 это метка, признак "правильности" данных.
а остальное - это тип и версия CG

[igorCool]

В буте есть функция (см. ниже) по результату которой запускается FlashMode либо сама прошивка.
Часть функции:

Код

BOOT:100002DA                 PUSH    {R4,R5,R7,LR}
BOOT:100002DC                 MOV     R3, #1          
BOOT:100002DE                 MOV     R2, #0          
BOOT:100002E0                 MOV     R1, #3          
BOOT:100002E2                 MOV     R0, #4          
BOOT:100002E4                 BL      Config_IO
BOOT:100002E8                 MOV     R3, #0
BOOT:100002EA                 MOV     R2, #0
BOOT:100002EC                 MOV     R1, #0xC
BOOT:100002EE                 MOV     R0, #0
BOOT:100002F0                 BL      Config_IO
BOOT:100002F4                 MOV     R1, #3
BOOT:100002F6                 MOV     R0, #4
BOOT:100002F8                 BL      GetElement
BOOT:100002FC                 ADD     R5, R0, #0
BOOT:100002FE                 MOV     R1, #0xC
BOOT:10000300                 MOV     R0, #0
BOOT:10000302                 BL      GetElement
BOOT:10000306                 ADD     R4, R0, #0
BOOT:10000308                 CMP     R5, #0
BOOT:1000030A                 BEQ     exit_0
BOOT:1000030C                 CMP     R4, #0
BOOT:1000030E                 BNE     loc_BOOT_10000318
BOOT:10000310
BOOT:10000310 exit_0:                                 @ CODE XREF: Detect+30j
BOOT:10000310                 MOV     R0, #0
BOOT:10000312
BOOT:10000312 exit:                                   @ CODE XREF: Detect+6Ej
BOOT:10000312                                         @ Detect+A0j ...
BOOT:10000312                 POP     {R4,R5,R7}
BOOT:10000314                 POP     {R3}
BOOT:10000316                 BX      R3

Это обработчик нажатия #+* ?

[Vilko]

гм. не совсем понял что это за фрагмент, но если он именно бут/прошивку выбирает, то это скорее больше похоже на чтение состояния 4,5 контакта разъема.
клавиатура это порт 0x2484E000

[borisk]

ja pitajus raskrit Motorolovskuju proshivku RAZR V3<br />s procesorom "Neptune LTE"<br />nepodskajesh kakim disasemblerom polzovatsa?<br />zarnie blagodaren

[Vilko]

borisk,
Учимся Патчить Прошивку.