Обход подписи RSA на L7e, K1, Z3, ну вот и всё... свершилось Поделиться Опции

[GandjaFuzz]

РЕБЯТА, Я ВАС ПОЗДРАВЛЯЮ!!! ВОТ И ЗАКОНЧИЛОСЬ МУЧЕНИЕ С RSA НА L7E K1 Z3!!!
Спасибо говорим мне - GandjaFuzz, TEQUILA, Vilko, HDD-Killer и всем тем, кто принимал участие в проекте...

Отличная новость - Снятие RSA без Тест-пойнта и разбора телефона

В общем суть методики обхода RSA такая же, как и на всех LTE2. Дело было в буте, как всем известно, мы просто понижаем сейчас бут до версии 08.A0 и используем обычную методику обхода RSA для LTE2, но это ещё не всё, нужно, также, применить мой патч Run_Phone_Lte2, он, в основном, даёт запуск прошивке.

НЕ УВЕРЕН - НЕ ДЕЛАЙ!

ПЕРЕД ПРОЦЕДУРОЙ - СНИМИ БЭКАП ВСЕХ ЗОН (ВКЛЮЧАЯ PDS) c помощью этого профиля и загрузчика для FB (ЧЕРЕЗ ТП) !!!

В случае Z3 необходимо перед этим прошить заводскую прошивку 0DR через RSDlite. Это ВАЖНО!

Все, что тут описано, вы делаете на свой страх и риск!
Мы не отвечаем за убитые вами телефоны (у тестовой команды все получалось)!
Мы не будем помогать их восстанавливать!!! На это есть тема Поднятие убитых L7e/Z3/K1/L9!!!
--------------------------------------------------------------------------------
!!!ВНИМАНИЕ ДЕТАЛЬНЫЙ FAQ по обходу RSA на примере Z3!!!
Фак по L7e от Ost'ы
----------------------------------------------------------------------------------
Инструкция для лентяев и новичков
1) Скачиваем прошивку
для L7E эту => sw_for_RSA_Final_with_Last_Dual_L7e_01.0AR
установленные патчи: *полномочия явы + корелет *работает кнопка итюнс *вызов через п2крежим дуалбут
для Z3 эту => http://gandjafuzz.ifolder.ru/2877680
2) Замыкаем ТП - БЕЗ ТП НЕЛЬЗЯ НИКАК - подробности тут - FAQ по ТП на L7e
3) Подсоединяем тел к компьютеру и запускаем программку RAMLDR2, которая прикреплена ниже;
4) Жмём Send Loader, программа отпишется "ready";
5) Жмём Write Boot - заливаем Boot_0AC0_patch.bin (после этого, когда включим телефон, он будет в бланке -> это нормально), должен отписаться OK;
6) Прошиваем прошивку в Random's Developments Flash&backup с выбранным профилем вашей модели телефона
7) Включаем телефон, он снова в бланке,
запускаем программку RAMLDR2, которая прикреплена ниже;
8) Жмём Send Loader, программа отпишется "ready";
9) Жмём Write Boot - заливаем Boot_Start_SW.bin (программа снова должна отписать OK.)
10) Включаем телефон, и радуемся отмене RSA и ДуалБуту и всему, что в прошивке пропатчено
------------------------------------------------------------------------------------
Небольшая инструкция ТОЛЬКО для тех кто шарит
1) Сливаем с телефона при помощи програмы https://forum.motofan.ru/index.php?showforum=143 Flash&backup (версии не ниже 3.0.2) кодовые группы CG1, CG3, CG7, CG18. Пакуем в https://forum.motofan.ru/index.php?showforum=143 Flash&backup (сразу в Random's Developments Flash&backup выбираем тип бэкапа .https://forum.motofan.ru/index.php?showforum=143 Flash&backup);
2) Открываем в обработчике прошивки (тот же Random's Developments Flash&backup) полученный рефлеш, и ставим галочку на отмену RSA для LTE2;
3) Далее вытаскиваем из Random's Developments Flash&backup-архива (это обычный cab) CG1 и применяем к ней мой патч Run_Phone_Lte2 (запускаем мою прогу и показываем ей, где лежит ваш cg1);
4) Собираем прошивку;
5) Замыкаем ТП - БЕЗ ТП НЕЛЬЗЯ НИКАК - подробности тут - FAQ по ТП на L7e
6) Подсоединяем тел к компьютеру и запускаем программку RAMLDR2, которая прикреплена ниже;
7) Жмём Send Loader, программа отпишется "ready";
8) Жмём Write Boot - заливаем Boot_0AC0_patch.bin (после этого, когда включим телефон, он будет в бланке -> это нормально), должен отписаться OK;
9) Устанавливаем дуал-бут: в CG7 прописать по адресу C82: 4801 6800 4700 13FE 0014
а сам бут залить по адресу 0x13FE0000 вместо CG18 (чтобы дуал включался из самой прошивки, посредством фб и других программ, надо сделать патч для CG1. Ищите в соотв. темах)
10) Прошиваем ту прошивку, которую собрали (CG1, CG3, CG7, CG18) ЧЕРЕЗ ТП;
11) Включаем телефон, он снова в бланке, проделываем пункты 7, 8 только при этом заливаем уже Boot_Start_SW.bin, программа снова должна отписать OK.
12) Включаем телефон, и радуемся отмене RSA
------------------------------------------------------------------------------------
Скачать DualBoot 3.3
ДЛЯ L7E
ДЛЯ Z3
ДЛЯ K1
------------------------------------------------------------------------------------
У кого была ошибка телефона - Critical Error DEDE 00AD, сделайте всё как написано выше, телефон ваш восстановится (уже восстановили 2 телефона)...
------------------------------------------------------------------------------------
ПОСЛЕ ТОГО КАК СНИМИТЕ РСА, ПРОЧИТАЙТЕ ЭТУ ТЕМУ
Калибровка батареи Z3;L7i;L7e
------------------------------------------------------------------------------------
ФЛУД НЕ ПРИВЕТСТВУЕТСЯ!!!!
Сообщения не по теме буду караться баном!!! Все мануалы и нужные ответы на вопросы есть в закреплённом посте!!!

Ссылки на схемы по ТП
|______L7e______|_______K1_______|______Z3_______|


Сообщение отредактировал GandjaFuzz - 19.1.2008, 22:39

[Osta]

сцилку на прошивку для ленивых Л7е,

_http://ftp.motofan.ru/Proshivki/L7e_GandjaFuzz_SW_v.1.0.2.fsw

[awp16]

скиньте пожайлуста прошу для лентяев, для К1

[deep312]

А ведуться ли работы по обходу РСА без ТП? Или нашли "железное" решение проблемы и на этом остановились? Видел в нескольких топиках такой вопрос, но не помню,чтобы кто-то на него отвечал.

[HDD-Killer]

deep312, Нет... И не планируются... Защита в родном для этих телефонов буте достаточно серьезная, и обойти ее пока не представляется возможным: суть любого метода - заставить бут проверять другую область (вместо той, с которой снимается защита). Так как бут определяет, что проверять по точке входа, то суть "старого" метода для LTE2 в том, что бы изменить точку входа, а там джамп на правельную... Тогда бут будет проверять тот блок, в который указывает точка входа. Но в новом буте адрес точки входа "защищен" от изменений - бут проверяет, входит ли он в подписаный блок.
Таким образом, единственное решение - заменить сам бут, но без ТП сделать этого нельзя, если конечно у тебя нет подписанного(!) лоадера, умеющего затирать адресное пространство бута))))

[Vilko]

deep312,
работы не ведутся, ибо единственные 2 пути давно найдены:
1 - найти подписной лоадер, позволяющий стрирать бут
2 - поломать подпись (т.е. вскрыть ключ RSA)
если осуществишь любой из них - ТП не понадобится. удачи! )

[Umka85]

bfielding,
дуал лучше испольщовать от L7e. но полноценной работы не будет ибо адреса другие ирома. возможно вообще он откажется работать.! но на запуск прошивки и отмены её рса он никак не повлияет. просто не будет входить в дуал бут

А дуал бут для L9 сейчас сделать нельзя? Или его только после обхода RSA.

[GandjaFuzz]

Umka85,
можно и сейчас, но только от него не будет. Рса у него надо обходить

[blato]

Umka85,
можно и сейчас, но только от него не будет. Рса у него надо обходить

я правильно понимаю что сейчас на L9 мешает только отсутствие загрузчика могущего заменить бут ?

[Umka85]

bfielding, как у тебя дела со взломом L9?

Сообщение отредактировал Umka85 - 12.10.2007, 17:27

[Loki69]

Все зделал как описуется в инструктаже!!!!!!!
Телефон распознается компом как неизвестное устройство!!!!
Что делать???

[bag]

Loki69
до этого нормально распозновался? опиши ситуацию полностью

[motoron]

Юго, замыкай правильно ТП, и после

3) Подсоединяем тел к компьютеру и запускаем программку RAMLDR2, которая прикреплена ниже;

проволочку необходимо убрать (причем аккуратно чтоб не замкнуть другие детали)
проверить что телефон в бланке можно RSD Lite

Сообщение отредактировал motoron - 19.10.2007, 5:55

[Rezak 18]

Народ помогите! Не прошивается во flash&backup, на телефон пишет "Critical Error DEA1".
Что это за ошибка и как от неё избавиться?

[Offset]

Rezak 18, что не прошивется? ты распиши всё что делал с телом...

P.S. если чё стукни в асю, попробую помочь

[Rezak 18]

Описываю:
1. Делаю замыкание ТП;
2. телефон обнаруживается и в флешбекапе и рамлдр2;
3. заливаю в рамлдр2 бут Boot_0AC0_patch;
4. телефон с выключенным экраном;
5. во флешбекапе выбираю запись данных и прошивку X-Moto;
6. нажимаю прошить;
7. Начинается прошивание и появляются ошибки с этого момента: "Стирание памяти (процесс не отображается)
Ошибка...;
8. на телефоне выскакивает Critical Error DEA1.

[Offset]

другие проши пробывал шить? например для ленивых...
и у тебя ралдр2 отписался "ок" ???

[Rezak 18]

другие проши пробывал например эту - 01.0AR - in poeple.fsw, таже тема.
рамлдр2 OK не отписывался

[TEQUILA]

Rezak 18, прошивай прошивку через ТП, так же как и бут

[люмен]

это как?

Открываешь F&B, тыкаешь тест поинт и прошиваешь. Элементарно.

Сообщение отредактировал люмен - 21.10.2007, 12:17

[sadface]

Rezak 18,
прошей прошивку через ТП было точно также... замкнул ТП прошил прошивку и всё ок стало.

[friend 1]

Кстати что я заметил что после того как залили прошу Ганжи с бутом то потом ТП можно и не замыкать (если вы конечно не влили какую нить левую прошивку и тел не отправился в вечный бут) а телефон можно и вручную перевести в бланк

[Рождённый в СССР]

вощем так разговаривал с челом из команды rockerdongle. он сказал что снять РСА на л9 пока непредстовляется возможным. пока токо разлок. но работа идёт

[ipasok]

Подскажите, что делать? Как сделал обход RSA перестали читаться данные в Flash&Back, прога пишет:
Переключение во Flash-режим
Запись загрузчика...
Ошибка!
Выполнение команды JUMP...
Ошибка!
и т.д.
RSD видит загрузчик 0208, в flash mode: Boot Loader By GandjaFuzz & Vilko SW Version: R452D_G_08.01.0AR
Может мне как-то перейти на другой загрузчик через RAMDLR2 ?

[Osta]

Подскажите, что делать? Как сделал обход RSA перестали читаться данные в Flash&Back, прога пишет:
Переключение во Flash-режим

похоже у тебя недопатчена прошивка этим

(чтобы дуал включался из самой прошивки, посредством фб и других программ, надо сделать патч для CG1. Ищите в соотв. темах)

тоесть СНАЧАЛА входишь в boot по 3-м кнопкам , а ПОТОМ

читаться данные в Flash&Back

читаешь данные

Сообщение отредактировал Osta - 24.10.2007, 12:04

[ipasok]

Спасибо, Osta за подсказку. Через flash mode данные Flash&Back'ом считываются. Придётся мне повиниться - делал обход RSA по первому лентяйскому варианту, а пункт 6) выполнил неточно, надо ОБЯЗАТЕЛЬНО ОПЯТЬ ДЕЛАТЬ ТП перед прошивкой sw_ _01.0AR, я это правильно понял? Значит,
мне лучше снова повторить все пункты, или можно сделать как-нибудь без ТП ?

[Osta]

или можно сделать как-нибудь без ТП ?

зайди в boot и прошей мой рефлеш или sw_for..._L7e_01.0AR
на них уже всё сделано для того

чтобы дуал включался из самой прошивки, посредством фб и других программ,

[ipasok]

УРАА!! Прошил в boot'е F&B'ком рефлеш v2_osta.fsw. Теперь, надеюсь, всё будет путём. Спасибо автору.

[Diabolic53]

can anyone tell me how to add dual-boot to my phone ??? Please make an English Tutorial

[TEQUILA]

Diabolic53,
Manual
1) Read CG1, CG3, CG7, CG18 from phone. Pack as fb3 (FB3 - Backup format: FB3 (CAB-LZX archive) );
2) Open that reflash in "Firmwares", check "Remove RSA verification (new method for LTE2 phones)";
3) Unpack CG1 from fb3-archive (it's a 'cab' actually - WinRAR or Total Commander will unpack it), apply "Run_Phone_Lte2" (start autopatcher and select CG1);
4) Replace CG1 with patched one;
5) Connect TestPoint to "Ground"
6) Connect USB cable to phone and run RAMLDR2;
7) Hit "Send Loader", program must say "ready";
8) Hit "Write Boot" - select Boot_0AC0_patch.bin - must say "OK";
9) Add DualBoot: open CG7 and write from offset C82: 4801 6800 4700 13FE 0014,
replace CG18 with DualBoot (0x13FE0000)
10) Flash your reflash (CG1, CG3, CG7, CG18) with TP;
11) Turn phone on, connect USB cable to phone and run RAMLDR2;
12) Hit "Send Loader", program must say "ready";
13) Hit "Write Boot" - select Boot_Start_SW.bin - must say "OK";
14) Finish.

[Diabolic53]

thx will try this and see if it works ... by the way is it possible to add dualboot without TP???/

Сообщение отредактировал Diabolic53 - 25.10.2007, 13:04

[Osta]

by the way is it possible to add dualboot without TP

no, only through test-point

ПЕРЕД ПРОЦЕДУРОЙ - СНИМИ БЭКАП ВСЕХ ЗОН (ВКЛЮЧАЯ PDS) c помощью этого профиля и загрузчика для FB!!!

для бута 0AC0 GandjaFuzz говорит не катит этот загрузчик..

[Offset]

Кстате да! пробывали слить PDS с z3 на РОДНОМ буте... тел выдал critical error

Сообщение отредактировал Motovelo - 27.10.2007, 14:10

[TEQUILA]

Ну так написано же - ПЕРЕД процедурой, т.е. когда загрузчик "родной"

[alexxx32]

Моторола Л9. Сегодня просверлил бором свой экран для доступа к ТП, т.к. через имеющиеся щелки под ним закоротить контакт не получалось. Когда просверлил стало понятно, что без такого отверстия добраться до тп нереально (хотя кому как ). Короче без проблем замкнул на массу контакт, РСД показало бланк. Попробовал по приколу ФБ слить пдс профилем для Л9 (позже вышеуказанным профилем L7e_READ) ошибка на джампе во всех случаях, впрочем та же ошибка и не на только пдс. В обычном флеш-режиме всё сливается без ошибок, правда пдс сливается пустой. Картинки прикреплены. У кого есть какие мысли по этому делу, касаемо снятия рса на Л9 - давайте, надоело уже просто сидеть.

[ReaL]

всё сделал как тут написано! терь при входе во флеш режим прикольная картинка с подписью DualBoot 3.3 ! помучатся пришлось кстати проволочку сувал не так как нарисовано там не лезет а упирается в чёт! сувал с угла со стороны кабеля! и терь у меня 2 вопроса
1. для чево фаил DualBoot 3.3 (раз при ТП он неиспользовался)
2. теперь можна шить чем хочеш(главное штоб было написано для Л7е остальное не важно)?

[bfielding]

GandjaFuzz, Vilko,

Спасибо за всю твердую работу над этим
Я был успешен с этим на Z3
Я могу иметь разрешение объявить английского гида на M3?

(28.10.2007, 17:47):

Моторола Л9. Сегодня просверлил бором свой экран для доступа к ТП, т.к. через имеющиеся щелки под ним закоротить контакт не получалось. Когда просверлил стало понятно, что без такого отверстия добраться до тп нереально (хотя кому как ). Короче без проблем замкнул на массу контакт, РСД показало бланк. Попробовал по приколу ФБ слить пдс профилем для Л9 (позже вышеуказанным профилем L7e_READ) ошибка на джампе во всех случаях, впрочем та же ошибка и не на только пдс. В обычном флеш-режиме всё сливается без ошибок, правда пдс сливается пустой. Картинки прикреплены. У кого есть какие мысли по этому делу, касаемо снятия рса на Л9 - давайте, надоело уже просто сидеть.

May I ask what method you used to cut the shield? I normally remove the shield with pliars, but have killed a phone before like that, so I do not want to risk removing the shield on L9 like that.

I also had the same problem when trying to backup the PDS on Z3. The values were all FF FF FF FF
I was only able to get a PDS backup with GOTMOTO
If you have access to smartclip, it can get an L9 PDS backup

Я могу спросить, какой метод Вы имели обыкновение сокращать щит? Я обычно удаляю щит с pliars, но убил телефон прежде как этот, таким образом я не хочу рисковать удалять щит на L9 как этот.

Я также имел ту же самую проблему, пробуя сделать копию ФУНТОВ на Z3. Ценности были всем FF FF FF FF
Я был только в состоянии получить резервную копию ФУНТОВ с GOTMOTO
Если Вы имеете доступ к smartclip, это может получить резервную копию ФУНТОВ L9

[alexxx32]

I'm dental technician and I cut the whole without problems per two minutes using my special equipment - hard metall cylinder bor by diameter 2 mm. And I known about Smartclip but GOT don't support L9 really. Sorry my english

[MedAlex]

ReaL
1. раньше в закрепленном посте лежала версия с дуалом версии 1.2. необходимо было менять дуал на последнию версию. теперь лежит с последней версией дуала, и этот файл вроде как не нужен.
2. нет не чем хочешь, главное, чтобы в проше был этот дуал и лоадер, иначе можешь получить труп.

[bfielding]

English Steps:

RSD Lite; Flash the stock 0DR MP with RSD Lite
TestPoint; Perform a testpoint to achieve S Blank Neptune LTE2 (Confirm BLANK with RSD)
RAMLDR2; Send loader, Show OK
RAMLDR2; Write Boot - Boot_0AC0_Patch.bin, Show OK
Flash&Backup3; Flash RSA-Removed 0DR
Flash&Backup3; Flash prepared CG18 DualBoot Flash
RAMLDR2; Send Loader, Show OK
RAMLDR2; Write Boot - Boot_Start_SW.bin, Show OK
See What RSD Lite Detects

[alexxx32]

Вчера с моего Л9 пытались сделать бекап зоны безопасности (pds) и фулл-бекап через смарт-клип. Результата ноль . Не видя и не разбирая телефон чел утверждал что это без проблем (с Л9 он до этого не работал), но на деле оказалось что не так всё просто. У него ничего не получилось, пробовали по всякому, тп тоже пробовали - в бланк слетает ок, а дальше ничего не выходит. По его словам на Л9 по сравнению с Л7е дополнительная защита, чтобы обойти её хотя бы для сливки бекапа плюс к смарт-клипу требуется ещё какое-то устройство (я так и не понял какое), через него же в случае восстановления бекап и заливать. У него этого ещё нет, может купит через пару месяцев. Вот такие дела.
И вот ещё. Попробовал слить пдс через вроде б самый последний P2K_Easy_Tool_5.3 (есть поддержка ЛТЕ2), профиля для Л9 нет, а на Л7(2) ошибка, скрин в аттаче.

Сообщение отредактировал alexxx32 - 31.10.2007, 13:44