14.1.2007, 16:42
ВНИМАНИЕ! Тема только для опытных пользователей!
СВЕРШИЛОСЬ! Итак, мы закончили работу над методикой залома LTE2.
Подходит для телефонов L2, L6, L7, V360, V3i и других.
Исключение составляют телефоны с бутом 09.xx, на них пока что не удалось снять RSA.
Немного теории:
Дыра, через которую мы обходим RSA - в CG7 (подписи бута) - там часть данных самой подписи можно использовать как код, в котором джампом выводится управление, т.е. за пределы подписанного блока.
Точку входа ставим на этот самый код...
Ну и, соответственно, получаем управление за пределами подписи - остальное уже дело техники...
Вот метод исправления CG7:
- сливаем свой CG7(или вытаскиваем из shx своей прошивки, дело вкуса)
перед патчем проверяем что байты по +1140 равны E5 9F C0 00, если нет - CG7 требует иной модификации. такие версии - "в студию".
- патчим:
по смещению 0xC80 в CG7 прописываем значения 46 C0 48 01 68 00 47 00 10 04 00 00 (изначально там будут FF)
- вливаем обратно.
CG18 (подпись прошивки) опять-же оказывается почти не нужна , нам от неё потребуются лишь первые 16 байт - заголовок, в котором раньше был адрес самой CG18 (11FE0010) - он меняется на адрес CG7 - т.е. 11F80000 (правим CG18 как написано тут)
То есть вместо проверки прошивки идет повторная проверка CG7...
Далее - начало CG1, которое правится (правим так):
Поняли, в чем прелесть?
Делаем эти изменения в указанных СG, собираем монстра - и шьём, даже ТЕСТ ПОИНТ НЕ ПОНАДОБИТСЯ!
Методика патчинга - правим CG18, CG7, правим заголовок CG1, добавляем в "монстра" CG3 (с той же прошивки, откуда остальные кодовые группы), вносим свои изменения/патчи в CG1, затем прошиваем всё это ЦЕЛИКОМ. Всё...
Единственное НО - пока не можем бэкапить - записывать ПДС, но уже пишется полностью открытый "дуал-бут" для ЛТЕ2, так что...
На V3i другая адресация, поэтому патчить надо будет так:
В CG18 в начале пишем 12F80000
В CG1 пишем по смещениям:
0000000: 12F81141
0000010: B001FFFB
В CG7 правим как выше описано
На L7e, K1, Z3 снова иная адресация, по идее патчить надо так:
В CG18 в начале 13F80000
В CG1 пишем по смещениям:
0000000: 13F81141
0000010: B001FFFB
В CG7 правим как выше описано
НО! Почему-то не работает. Возможно, виновата какая-то дополнительная проверка в новых 0А.* бутах, может, что-то еще...
Кто имеет знакомых со смарт-клипами и один из этих телефонов, зайдите к ним, смените одну цифру в ИМЕИ и СНИМИТЕ ПОЛНЫЙ БЭКАП (без ПДСа), только не смаррт-клипом (он кодирует бэкапы). Ну и бэкап в студию!
P.s. Любые обсуждения авторства данной методики будут моментально наказаны БАНом.
Авторство команды смартклипа, метод был слит оттуда с лёгкой правкой. НИКАКОГО ФЛУДА и ОФФА!
Обсуждаем только по сути.
p.s. Тема до зачистки:
p.p.s. Вот простенькая программа для снятия RSA. Работает только на распакованных файлах!
З.з.з.ы. Собираем и шьем прошивку с помощью FB 3.0.2 и выше, также можно шить через RSD_lite версии 3.3 и выше.
Сообщение отредактировал Random - 16.3.2007, 20:23
СВЕРШИЛОСЬ! Итак, мы закончили работу над методикой залома LTE2.
Подходит для телефонов L2, L6, L7, V360, V3i и других.
Исключение составляют телефоны с бутом 09.xx, на них пока что не удалось снять RSA.
Немного теории:
Дыра, через которую мы обходим RSA - в CG7 (подписи бута) - там часть данных самой подписи можно использовать как код, в котором джампом выводится управление, т.е. за пределы подписанного блока.
Точку входа ставим на этот самый код...
Ну и, соответственно, получаем управление за пределами подписи - остальное уже дело техники...
Вот метод исправления CG7:
- сливаем свой CG7(или вытаскиваем из shx своей прошивки, дело вкуса)
перед патчем проверяем что байты по +1140 равны E5 9F C0 00, если нет - CG7 требует иной модификации. такие версии - "в студию".
- патчим:
по смещению 0xC80 в CG7 прописываем значения 46 C0 48 01 68 00 47 00 10 04 00 00 (изначально там будут FF)
- вливаем обратно.
CG18 (подпись прошивки) опять-же оказывается почти не нужна , нам от неё потребуются лишь первые 16 байт - заголовок, в котором раньше был адрес самой CG18 (11FE0010) - он меняется на адрес CG7 - т.е. 11F80000 (правим CG18 как написано тут)
Код
Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F
-----------------------------------------------------------
00000000 11 F8 00 00 ....дальше не важно................. .ш.A..
- таким образом бут проверяет CG7, считая что проверяет CG18 - и в CG7 нет диапазона адресов CG1 - и, ясен пень, ошибка проверки CG1 таким образом не вылезает. -----------------------------------------------------------
00000000 11 F8 00 00 ....дальше не важно................. .ш.A..
То есть вместо проверки прошивки идет повторная проверка CG7...
Далее - начало CG1, которое правится (правим так):
Код
Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F
-----------------------------------------------------------
00000000 11 F8 11 41 ....дальше не важно................. .ш.A..
00000010 B0 01 FF FB ....дальше не важно................. .яы...
-----------------------------------------------------------
00000000 11 F8 11 41 ....дальше не важно................. .ш.A..
00000010 B0 01 FF FB ....дальше не важно................. .яы...
Поняли, в чем прелесть?
Делаем эти изменения в указанных СG, собираем монстра - и шьём, даже ТЕСТ ПОИНТ НЕ ПОНАДОБИТСЯ!
Методика патчинга - правим CG18, CG7, правим заголовок CG1, добавляем в "монстра" CG3 (с той же прошивки, откуда остальные кодовые группы), вносим свои изменения/патчи в CG1, затем прошиваем всё это ЦЕЛИКОМ. Всё...
Единственное НО - пока не можем бэкапить - записывать ПДС, но уже пишется полностью открытый "дуал-бут" для ЛТЕ2, так что...
На V3i другая адресация, поэтому патчить надо будет так:
В CG18 в начале пишем 12F80000
В CG1 пишем по смещениям:
0000000: 12F81141
0000010: B001FFFB
В CG7 правим как выше описано
На L7e, K1, Z3 снова иная адресация, по идее патчить надо так:
В CG18 в начале 13F80000
В CG1 пишем по смещениям:
0000000: 13F81141
0000010: B001FFFB
В CG7 правим как выше описано
НО! Почему-то не работает. Возможно, виновата какая-то дополнительная проверка в новых 0А.* бутах, может, что-то еще...
Кто имеет знакомых со смарт-клипами и один из этих телефонов, зайдите к ним, смените одну цифру в ИМЕИ и СНИМИТЕ ПОЛНЫЙ БЭКАП (без ПДСа), только не смаррт-клипом (он кодирует бэкапы). Ну и бэкап в студию!P.s. Любые обсуждения авторства данной методики будут моментально наказаны БАНом.
Авторство команды смартклипа, метод был слит оттуда с лёгкой правкой. НИКАКОГО ФЛУДА и ОФФА!
Обсуждаем только по сути.
p.s. Тема до зачистки:
Lte2_Rsa____.rar ( 18.35 килобайт )
Кол-во скачиваний: 5291
|
p.p.s. Вот простенькая программа для снятия RSA. Работает только на распакованных файлах!
|
RandomRSA2.rar ( 165.14 килобайт )
Кол-во скачиваний: 18549
|
З.з.з.ы. Собираем и шьем прошивку с помощью FB 3.0.2 и выше, также можно шить через RSD_lite версии 3.3 и выше.
Сообщение отредактировал Random - 16.3.2007, 20:23
