Lte2 Rsa - взломано., Готовое решение,проверено L6,L7,V360,V3i Поделиться Опции

[Archy]

ВНИМАНИЕ! Тема только для опытных пользователей!

СВЕРШИЛОСЬ! Итак, мы закончили работу над методикой залома LTE2.
Подходит для телефонов L2, L6, L7, V360, V3i и других.
Исключение составляют телефоны с бутом 09.xx, на них пока что не удалось снять RSA.

Немного теории:
Дыра, через которую мы обходим RSA - в CG7 (подписи бута) - там часть данных самой подписи можно использовать как код, в котором джампом выводится управление, т.е. за пределы подписанного блока.
Точку входа ставим на этот самый код...
Ну и, соответственно, получаем управление за пределами подписи - остальное уже дело техники...
Вот метод исправления CG7:

- сливаем свой CG7(или вытаскиваем из shx своей прошивки, дело вкуса)
перед патчем проверяем что байты по +1140 равны E5 9F C0 00, если нет - CG7 требует иной модификации. такие версии - "в студию".
- патчим:
по смещению 0xC80 в CG7 прописываем значения 46 C0 48 01 68 00 47 00 10 04 00 00 (изначально там будут FF)
- вливаем обратно.

CG18 (подпись прошивки) опять-же оказывается почти не нужна , нам от неё потребуются лишь первые 16 байт - заголовок, в котором раньше был адрес самой CG18 (11FE0010) - он меняется на адрес CG7 - т.е. 11F80000 (правим CG18 как написано тут)

Код

Offset      0  1  2  3  4  5  6  7   8  9  A  B  C  D  E  F
-----------------------------------------------------------
00000000   11 F8 00 00 ....дальше не важно.................   .ш.A..

- таким образом бут проверяет CG7, считая что проверяет CG18 - и в CG7 нет диапазона адресов CG1 - и, ясен пень, ошибка проверки CG1 таким образом не вылезает.
То есть вместо проверки прошивки идет повторная проверка CG7...
Далее - начало CG1, которое правится (правим так):

Код

Offset      0  1  2  3  4  5  6  7   8  9  A  B  C  D  E  F
-----------------------------------------------------------
00000000   11 F8 11 41 ....дальше не важно.................   .ш.A..
00000010   B0 01 FF FB ....дальше не важно.................   .яы...

Поняли, в чем прелесть?
Делаем эти изменения в указанных СG, собираем монстра - и шьём, даже ТЕСТ ПОИНТ НЕ ПОНАДОБИТСЯ!
Методика патчинга - правим CG18, CG7, правим заголовок CG1, добавляем в "монстра" CG3 (с той же прошивки, откуда остальные кодовые группы), вносим свои изменения/патчи в CG1, затем прошиваем всё это ЦЕЛИКОМ. Всё...

Единственное НО - пока не можем бэкапить - записывать ПДС, но уже пишется полностью открытый "дуал-бут" для ЛТЕ2, так что...

На V3i другая адресация, поэтому патчить надо будет так:
В CG18 в начале пишем 12F80000
В CG1 пишем по смещениям:
0000000: 12F81141
0000010: B001FFFB
В CG7 правим как выше описано

На L7e, K1, Z3 снова иная адресация, по идее патчить надо так:
В CG18 в начале 13F80000
В CG1 пишем по смещениям:
0000000: 13F81141
0000010: B001FFFB
В CG7 правим как выше описано
НО! Почему-то не работает. Возможно, виновата какая-то дополнительная проверка в новых 0А.* бутах, может, что-то еще... Кто имеет знакомых со смарт-клипами и один из этих телефонов, зайдите к ним, смените одну цифру в ИМЕИ и СНИМИТЕ ПОЛНЫЙ БЭКАП (без ПДСа), только не смаррт-клипом (он кодирует бэкапы). Ну и бэкап в студию!

P.s. Любые обсуждения авторства данной методики будут моментально наказаны БАНом.
Авторство команды смартклипа, метод был слит оттуда с лёгкой правкой. НИКАКОГО ФЛУДА и ОФФА!
Обсуждаем только по сути.

p.s. Тема до зачистки:

Lte2_Rsa____.rar   ( 18.35 килобайт ) Кол-во скачиваний: 5291

p.p.s. Вот простенькая программа для снятия RSA. Работает только на распакованных файлах!

RandomRSA2.rar   ( 165.14 килобайт ) Кол-во скачиваний: 18549

З.з.з.ы. Собираем и шьем прошивку с помощью FB 3.0.2 и выше, также можно шить через RSD_lite версии 3.3 и выше.

Сообщение отредактировал Random - 16.3.2007, 20:23

[Archy]

В общем делать .SHX я не стану - СГ1 на Л7 и на В360 разнятся, есть, также, и другие ЛТЕ2 телефоны...
Дружно просим Рэндома добавить функцию "Снять ЛТЕ2-РСА" во флеш-бэкап

[Inspiron]

Vilko, а какая платформа на L7e, можно ли вышеописанный метод использовать и для неё?

LTE2. Да.

Сообщение отредактировал Archy - 14.1.2007, 17:50

[люмен]

Сейчас на V3i буду тестить...

Дуалбут от е398 не будет работать?

[Vilko]

люмен,
дуалбут - буду дорабатывать.
Respected,
ну вроде да.

[iBarS]

Ребят, а что на счет V3x? Там LTE2... Методика пайдет?

[Алекс75]

Я вот что хотел спросить....Кто нибудь уже протестил данный способ и поимел рабочее тело?А то хочу взять у приятеля K1 и снять проверку RSA,дабы покопаться в прошиве,но стремно если честно попадать на 14000

[Алекс75]

SANYO_K,

Ещё одна великая дата для Мотофанов! 
Вот только интересно какие телефоны кроме L7/V360/V3i/V3r ещё на LTE2 ?

Последний телефон на LTE1 L6,все после него уже LTE2,естественно 3G модели в расчет не берутся потому что там не катят методы обхода RSA как на p2k.Так что кроме того что ты описал еще L7,L7e,K1

[Crond]

А могу ли я вышеописаным способом слезть с проши aer и бута 08.d0?
И надо ли там править как-то по-особому?
И ещё: повлияет ли это как-то на доступ к ФС через Яву?

[Vilko]

GALL,
это дыра НЕ прошивки а встроенного бута. соответственно версия прошивки тут не при чем.
Crond,
прям так вот слезть - нет. если сделаешь патч который при запуске прошивки потрет бут - то вполне

[Random]

Archy,
Все таки стоило бы написать что особых тестов на куче моделей не проводили, поэтому получение трупа - вполне реально на данном этапе

p.s. Снятие RSA на LTE2 в Flash&Backup3 будет в ближайшее время, точнее оно уже сейчас в возможно (на L7 бут 08d0, проша 4513..ACR_RB и DCR - сработало), но надо провести ряд тестов.

Сообщение отредактировал Random - 15.1.2007, 10:25

[Vilko]

Supshow,
если не ошибаюсь - got_moto и smartclip сносят эти буты без ТП.
значит можно отмониторить

[Supshow]

Vilko
Не успел попробовать. GOT уже вроде бесплатные аккаунты не раздает.
Смарт и ultimabox работают через ТП. Даже в случае с V3r (простой и тем более MyFavs V3r).
И потом, даже если снести родной бут, что делать дальше? Ведь даже инженерные сэмплы V3i шли с бутом 0А.20 (хотя ходят слухи, что этот бут был неподписанным)... Не думаю, что встанет более низкая версия бута (хотя тут я могу и ошибаться).

[Harry_27]

Бут 08d0 прошивка R4513_G_08.B7.ACR_RB (L7), как уже говорил Random, все получилось
Кому интересно, что и как изменилось, - качайте, смотрите (если будете ставить себе, то только на свой страх и риск).
R4513_G_08.B7.ACR_RB_Reflash_Remove_RSA (8,3 Мб)

[GALL]

Кажется вижу причины неудач для V3i. Нашёл отличие для V3i: CG18 начинается с адреса 12FE0000! CG7 начинается с адреса 12F80000. А теперь сравните, какие адреса для данных групп у L7

[Vilko]

уточнение по Cg7
перед патчем проверяем что байты по +1140 равны E5 9F C0 00
если нет - патч НЕ делаем, эта CG7 требует доп-модификации. такие версии - сюда.

[Iceman2000]

   народ кто шарит гляньте правильно я подправил?     Random, подскажи что значит в Flash&Backup 3 ошибка: I/O erorr 6?

У самого при сборке готовых CG выскочила такая же ошибка...дважды перепробовал...тщетно!!

Решилась пробшлема:
Надо при сборке указывать на загрузчик отдельно....тогда сборка идет нормально!

Сообщение отредактировал Iceman2000 - 15.1.2007, 18:03

[Chacha_Ivanov]

Поздравляю всех обладателей L6\L2, у нас этот метод обхода работает!!!

Только что с помощью многоуважаемого Randoma'a у меня все получилось, для примера я изменил версию прошивки, и все сработало как надо, так что плацдарм для патчей готов.

[Vilko]

Chacha_Ivanov,
теоретически - сий метод применим на всех аппаратах где есть Cg7 - даже на Е1 с 0А бутами - можно будет их снять без ТП. но это теория.
проверять надо.

[Nur87]

все-таки методика проверялась на бутах 08.xx

извените. а на 09.хх это работает?

[ЬЗК]

  народ кто шарит гляньте правильно я подправил?    Random, подскажи что значит в Flash&Backup 3 ошибка: I/O erorr 6?

ошибка потому что ты не учитываешь RAMDLD, попробуй не разбирать и собрать прошиву, а последовательно заменить модули CG1, 7, 18
то есть открываем, удаляем родной и вставляем правленный, не забудь пометить адреса начала их нужно указать при добавлении

[Алекс75]

Vilko,

Chacha_Ivanov,
теоретически - сий метод применим на всех аппаратах где есть Cg7 - даже на Е1 с 0А бутами - можно будет их снять без ТП. но это теория.
проверять надо.

Хотелось услышать твое мнение относительно такого эксперимента...
1.Правим CG1 и CG18
2.Собираем рефлеш 1,7 и 18 групп + бут 0А02
3.Прошиваемся и....имем труп или?
Это я к теме о возврате бута 0А02 в Е1
При любом раскладе ща акум дозаряжу и протестирую.

Править CG7 тоже надо. Думаю ты это и хотел сказать, просто пропустил.

Да естественно Я все понимаю,вот только сказать не могу
Постараюсь завтра отписаться о результатах возврата 0А02 в Е1

Сообщение отредактировал Алекс75 - 15.1.2007, 18:46

[Iceman2000]

обьясьните точней, а то чёта не пойму.

Вообщем так: выбрал свой профиль---> в разделе Обработка прошивок нажимая конпку Добавить собираешь нужные тебе CG. Собрав нужные CG нажимаешь Выбрать RAMDLD и указываешь путь к загрузчику ( если ставил FB3 по умолчанию то найти можешь тут C:\Program Files\Random's Developments\Flash&Backup 3\Loaders ну или там куда ставил...в папке Loaders выбираешь свой бут ( соответствующий профилю телефона....указываешь начальный адрес и нажимаешь потом Сохранить как...вот и все...рефлеш готов

[Random]

Nur87,
Для этого и создали тему, чтобы те кто хотел - проверили методику на своих телефонах.
Иначе как можно узнать о работоспособности, не проверив это на деле?
Так что если есть опыт поднятия тела - то вперед, к экспериментам!

[uintik]

Народ,выбираю лодер спрашивает начальный адрес даю ему етот: 10092000. Собирает, при попытке залить ,трубка выдаёт critikal error 40 80. Мож я чёта нито делаю?

Для L7 этот адрес будет 03FС8000

Сообщение отредактировал Random - 15.1.2007, 18:37

[Iceman2000]

Для L7 этот адрес будет 03FС8000

Для V360 тоже самое...

Ну да, он такой почти на всех LTE2 =)

Сообщение отредактировал Random - 15.1.2007, 18:43

[ATHLON64]

RusBarS, на V3x не LTE2, у него UMTS POG RAINBOW!

[Iceman2000]

Итак! У меня тел V360 бут 08.A0
После правки CG шился FB3 и все прошилось на ура....далее телефон выключился и тишина...в бут заходит как обычно....при попытке включить оч.быстрое мигание клавой и выключается ( не в бут заходит) На экране надписей типа Sig error нету!
Заливка родных CG1, CG7, CG18 не спасла но телефон уже висел в постоянном буте причем на экране ошибок не было!
Теперь заливка родных CG1, CG7, CG18 плюс CG3 оживила телефон!!
Теперь что получается: защита видимо вовсе не одна....и какая то роль принадлежит DSP, иначе почему только при прошивке DSP телефон ожил?
Пища для размышлений так сказать......

[Random]

sasha45,
Я же написал:

Нужно изменить только первые 4 байта CG18, а в CG1 - 4 байта в начале, и 4 байта по смещению 0x10, а не целиком менять все, как показано для примера.

Mr.stEin,

4 байта - это не 4 буквы

Для наглядности жирным обведу. В твоем случае менять надо:
10 AB BC 91 00 00 00 B1 00 13 02 06 FF FF 08 B7
FF FF FF FF 00 FF FF FF 08 01 00 01 10 09 20 00

Сообщение отредактировал Random - 15.1.2007, 19:34

[ЬЗК]

Итак! У меня тел V360 бут 08.A0

Теперь заливка родных CG1, CG7, CG18 плюс CG3 оживила телефон!!

а если попробовать CG1, CG7, CG18 правленные лить в комплекте с родной CG3?

[sasha45]

Random, как я понял то 4 байта - это 4 пары по два числа(символа

4 байта - это XX XX XX XX. Ох и замучаешься потом чистить эту тему =)

спасибо

Сообщение отредактировал sasha45 - 15.1.2007, 19:39

[Random]

И не нужно говорить что я не то название сменил хоть там их и два...я сменил название написанное заглавными буквами т.е то которое отображается телефоном

В буте название из PDS читается, а не из прошивки.
Если бы прошивка запустилась - она бы в PDS сохранила свое название, но она не запустилась у тебя.

[ЬЗК]

Думаю не выйдет....я же лил CG1,7,18 когда стояла родная CG3

думаю надо попробовать, да и еще, я обратил внимание что RSD не так извлекает CG1
если взять патченую прошиву и разбить на кодогруппы то указанная выше КГ отличается у РСД и ФБ3, а остальные один в один, щас буду искать причину, проверьте у себя плиз кто нибудь

[люмен]

Есть! Мне удалось прошить V3i патченными кодовыми группами. Как мне теперь проверить, действительно ли отключена проверка RSA?

Если тело загрузилось и работает, то все Ок

Сообщение отредактировал Archy - 15.1.2007, 22:00

[Vint]

Прошил правленные кодгруппы вместе с родной CG3. Ошибки не выскочили и телефон включился без проблем.

[Mr.stEin]

Все я тоже снял RSA.

НЕ ЗАБЫВАЙТЕ ДОБАВЛЯТЬ CG3 без нее телефон не хочет запускаться. Проверено на собственном опыте.

СРАВНИТЕ КТО НИБУДЬ CG1 слитые из SHX FlashBackup'ом и RSD

RSD создает файл CG0 размером 200 байт, которые берутся из начала CG1.


Random, добавь информацию про CG3 в закрепленное сообщение =)

Добавил =)

Сообщение отредактировал Random - 15.1.2007, 20:48

[Mr.stEin]

Random, вот я нашел у себя прогу MotoPatchMaker. Если я сейчас через нее сделаю патч на смену клавиш блокировки, я могу залить с помощью FB3 его?

Думаю нет. Движок патчинга в текущей версии расчитан на LTE, соответсвенно адреса там другие. А абсолютной адресации пока не поддерживает. Вообщем ждите новой версии =)

Сообщение отредактировал Random - 15.1.2007, 20:58

[люмен]

Random, первые байты 12F80000. Я просто изначально одну ошибку сделал, потом уловил ее.
Объясни теперь, как мне слезть с бута 0А.30?
Если я обычный дуалбут прошью, он запустится?

Нет. Подождите немного. Пока проверяется сам метод. Патчи и новый дуалбут будет позже. И с бута слезть тоже получиться, но чуть позже. И еще - ты делал по моей инструкции? Или что-то поменял?


По инструкции. Спасибо тебе.

Сообщение отредактировал Random - 15.1.2007, 21:06

[Iceman2000]

Тоже снял RSA на V360....
ЗЫ: И все таки интересно почему телефон при заливки патченных CG1,7,18 так себя ведет без повторной прошивки оригинальной CG3? Видимо там что то меняется при первом включении....то что повторно уже не меняется...как считаете? Просто интересно....
Извините если офф...


ЗЫЫ: Только что проверил оригинальный DSP и тот что слил с телефона после заливки патченных CG....они идентичны....
Тогда совсем непонятно почему у некоторых без прошивки CG3 все нормально запустилось а у нас нет...

Сообщение отредактировал Iceman2000 - 15.1.2007, 21:23

[люмен]

Iceman2000, странно, но у меня без CG3 нормально все.