Ковырнём Прошивку ..., Hex Workshop 4.0, Hiew etc... Поделиться Опции

Я думаю, что надо подождать прошивку от 450, врядли моторола что то сильное замутила. Очень похоже на ряд Simiensов A,C,S.. Железо, похоже, одно и тож. На счет RTС - похоже они гонят, на моем C350 часы идут при выключенном телефоне (а без батареи он и так не включится). Может они там частоту CPU подняли, может памяти добавили, но все это не принципиально!. Задача сейчас получить декриптовать SHX файл, что бы копнуть прошивку. Я пробую чейчас PST.dll посредством IDA4.20 раскусить. Добрался до PSTWriteData, копаюсь в нем...
Кстати PST.dll свободно подключается к программе, я даже детекчу телефон с ее помощью.

P.S. Надежда умирает последней. Если что, куплю c450.

Появилась еще одна мысль. После прочтения фака по заливке явы в 720. Правда для этого нужен и с350 и 720. Можно при выборе нового KJava файла в ПСТ сравнить ответ 720 и с350
(на с350 пишет что телефон либо не поддерживает яву либо она не включена)

Задача сейчас получить декриптовать SHX файл, что бы копнуть прошивку. Я пробую чейчас PST.dll посредством IDA4.20 раскусить. Добрался до PSTWriteData, копаюсь в нем...

Jhon, а что по поводу моих выкладок??? :o Я же показал адреса в моём последнем топике: 0159D565 CALL (всё остальное: Loading Boot, Erase, ... , FLASH COMPLETED!!!). Используя TRW2k (или SoftIce). По поводу получить: смотри предыдущие страницы. Там линк на мою прогу, она выдёргивает...ещё раз даю расклады:
//------------------------------------------------------------------------------------------
1. SHX состоит из 4-х файлов !!!
2. Эти 4 - 'Motorola S-Records' файлы !!!
3. Моя прога дёргает эти 4 файла в *.BIN (учитывая формат !!!)
4. BIN'ы получаются такие же как и временные SMG файлы ПСТ.

>bpx 159d49a в TRW2000 (ставиш бряк)
>CTRL+N
>Жмёшь "Flash"
>выскакивает окно TRW (реакция на бряк)
>жмёшь F10 - пишет в StringGrid: Creating Image File (это и есть SMG)
>жмёшь F10 по адресу 159d4a5 - создаёт эти SMG!!!
>...
>далее мы попадаем на 159d565 CALL z..z, там идёт вызываются оставшиеся процедуры: загрузка bootloader, и т.д. Если нажать F10, то ПСТ их сделает все, в стринггрид'е будет надпись: FLASH COMPLETED !!! И вернёт управление TRW, и адрес будет следующий за 159d565, следовательно - надо заходить в 159d565 по F8 !!! И рыть ТАМ !!!!!!!

5. SMG и BIN - одно и тоже! Они закрипчены...
//------------------------------------------------------------------------------------------

Помогите достать IDA Pro 4.5 !!!!!!!!!!!!! У меня есть плагин для декомпилляции C под v4.5 - всяко удобочитаемость повысится...

загрузить сам JAR в телефон не проблема

T-Troll, - Как? Поясни-ка пожалуйста. (Не MBE.exe - это факт !!!)

Сейчас под игры там отдельная зона, загрузить в которую просто не дают.

Что за зона? Кинь линк на источник этой инфы. Довольно-таки интересно!

сравнить ответ 720 и с350

Теоретически - возможно. А практически я пока немогу, т.к. 1) T720 у меня нет, 2) USB и COM , 3) 2р. трасить ПСТ.
Пока 1 раз хочу до ума довести - снять крипт.

А вообще мне нравится, что народ подключается (Эх дубинушка, ухнем... и по (o) )

Lord-3X, я до BIN уже дошел. Ищу и смотрю как и где они расшифровываются.
А IDA 4.3 сам C понимает. Проблема в том что Motorola "запорола" таблицу импорта, во вторых при инициализации PCT.DLL рабочий кусок кода перекидывается c 0x10019000 в 0x10011000-0x10019000 при этом хитрым образом через 4 байта. Собственно я обработал PCT.DLL в IDA, потом добовлял в проект дампы реальных адресов, которые выдергивал своей софтиной после инициализации PST.DLL.

Вообще я смотрю MultiFlashFlex Tool V1.4
Распределение памяти (из того что в каталоге PST ):
0x10000000 len 0x25000 - PST.dll
0x012F0000 len 0x3B000 - PST_FP_Flash.dll
0x01180000 len 0x09000 - PST_FP_FlashDevApi.dll
0x01180000 len 0x23000 - UniBus_PRJ_Engine.dll

и все. Для всех этих DLL адреса стандартные. Хоть я их к своей проге подключу.

Так вот:
UPX0:10001790 ; Exported entry 60. PSTWriteData
UPX0:10001790
UPX0:10001790 public PSTWriteData
UPX0:10001790 PSTWriteData:
UPX0:10001790 sub esp, 8
UPX0:10001793 call sub_10013959 ; mov eax, 1001B2C0h
UPX0:10001793
UPX0:10001798 push eax
UPX0:10001799 lea ecx, [esp+4]
UPX0:1000179D call sub_10013510 ; -> 6C3E0F27h
UPX0:1000179D
UPX0:100017A2 mov eax, [esp+20h]
UPX0:100017A6 mov ecx, [esp+1Ch]
UPX0:100017AA mov edx, [esp+18h]
UPX0:100017AE push eax
UPX0:100017AF mov eax, [esp+18h]
UPX0:100017B3 push ecx
UPX0:100017B4 mov ecx, [esp+18h]
UPX0:100017B8 push edx
UPX0:100017B9 mov edx, [esp+18h]
UPX0:100017BD push eax
UPX0:100017BE push ecx
UPX0:100017BF push edx
UPX0:100017C0 call sub_1000CEA0 ; eax=659AD6BCh
UPX0:100017C0
UPX0:100017C5 mov ecx, eax
UPX0:100017C7 call SUB_WR2PH
UPX0:100017C7
UPX0:100017CC mov ecx, [esp+4]
UPX0:100017D0 mov edx, [esp+0]
UPX0:100017D4 mov [ecx+4], edx
UPX0:100017D7 add esp, 8
UPX0:100017DA retn
UPX0:100017DA
UPX0:100017DA ; ---------------------------------------------------------------------------

UPX0:1000C980 SUB_WR2PH proc near ; CODE XREF: UPX0:100017C7p
UPX0:1000C980
UPX0:1000C980 arg_0 = dword ptr 4
UPX0:1000C980 arg_4 = dword ptr 8
UPX0:1000C980 arg_8 = dword ptr 0Ch
UPX0:1000C980 arg_C = dword ptr 10h
UPX0:1000C980 arg_10 = dword ptr 14h
UPX0:1000C980 arg_14 = dword ptr 18h
UPX0:1000C980
UPX0:1000C980 call sub_10002BF0
UPX0:1000C980
UPX0:1000C985 call sub_10002DC0
UPX0:1000C985
UPX0:1000C98A test eax, eax
UPX0:1000C98C jnz short locret_1000C9B8
UPX0:1000C98C
UPX0:1000C98E mov eax, [esp+arg_14]
UPX0:1000C992 mov ecx, [esp+arg_10]
UPX0:1000C996 mov edx, [esp+arg_C]
UPX0:1000C99A push eax
UPX0:1000C99B mov eax, [esp+4+arg_8]
UPX0:1000C99F push ecx
UPX0:1000C9A0 mov ecx, [esp+8+arg_4]
UPX0:1000C9A4 push edx
UPX0:1000C9A5 mov edx, [esp+0Ch+arg_0]
UPX0:1000C9A9 push eax
UPX0:1000C9AA push ecx
UPX0:1000C9AB push edx
UPX0:1000C9AC call sub_10008530 ; eax = 671D3802h
UPX0:1000C9AC
UPX0:1000C9B1 mov ecx, eax
UPX0:1000C9B3 call sub_100086B0 ; <--- Вот тут то и вся фишка зарыта
UPX0:1000C9B3
UPX0:1000C9B8
UPX0:1000C9B8 locret_1000C9B8: ; CODE XREF: SUB_WR2PH+Cj
UPX0:1000C9B8 retn 18h
UPX0:1000C9B8
UPX0:1000C9B8 SUB_WR2PH endp



"Гребанные" моторольщики извратили все до нельзя. Идет манипуляция регистрами (вызов подпрограммы где в EAX грузится число/адрес) потом "колбасится" стек, потом:
UPX0:100086F8 mov ecx, [esp+1Ch+arg_14]
UPX0:100086FC mov edx, [eax]
UPX0:100086FE push ecx
UPX0:100086FF mov ecx, [esp+20h+arg_10]
UPX0:10008703 push ecx
UPX0:10008704 mov ecx, [esp+24h+arg_C]
UPX0:10008708 push ecx
UPX0:10008709 mov ecx, [esp+28h+arg_8]
UPX0:1000870D push ecx
UPX0:1000870E mov ecx, [esp+2Ch+arg_4]
UPX0:10008712 push ecx
UPX0:10008713 mov ecx, eax
UPX0:10008715 call dword ptr [edx+0Ch]

Так мне трассировать нечем, у меня шнурка нет, а вычислить адрес перехода - краша завернулась.
Если можешь, помоги.

SmasH,
Ты скажи где видел и у кого...
А то я уж такое много раз слышал....

SmasH, - спасибо за информацию... :)

Что я думаю (даже не думая кого-то обидеть (o) ):
1. В соседнем форуме ПРОШИВКИ бурно шли, идут и будут идти дискуссии по-поводу 74R. Есть много однострочных, ленивых и банальных постов, повторяющихся через каждые три страницы. Ссылок - нет !!!
2. В соседнем форуме ИГРЫ бурно шли, идут и будут идти дискуссии по-поводу JAVA. Ссылки - есть, только характер написанного напоминает что-то из оперы пудренья мозгов или попытки буржуев нажиться на чужом горе, либо одно из двух.
3. По поводу "ТАМ НАПИСАНО": на заборе тож написано, а там дрова. :D
4. Есть сайт GSM HOSTING, про который хорошо все знают. По моему опыту - там находится то, что порой с трудом находит ГУГЛЬ. На ГСМ хостинге тихо.
5. Я предпочитаю действовать, а не ждать.
6. Пока сам не увижу - не поверю! (Изходя из 1-го и 2-го)
7. Даже если и есть в 74R JAVA, то я опираюсь в своих трудах не на неё, а на одного красавчика, который из J70 Гейм Бой сделал... Если бы мог, то лично пожал бы ему руку.
8. Просто я очень люблю ASM, взлом и т.д. И мне даже просто будет интересно поменять слова в телефоне, н-р: 'Поиск сети ' на 'Ищу тебя' или что-то подобное.
9. Пишу здесь, потомучто хочу поделиться с народом. Какая мне разница: 1) буду я один с фитчёвым телефоном или ещё кто. Даже мож кто добрым словом вспомнит когда-нить. 2) Мож кто поможет. Ключ декрипта узнают все, т.к. я постоянно делаю выкладки проделанной работы. Исходники все выложу.

UPX0:1000C9B1 mov ecx, eax

UPX0:1000C9B3 call sub_100086B0 ; <--- Вот тут то и вся фишка зарыта

Стандартный прикол всяких упаковщиков. SafeDisk так чудит тоже.
Ты попробуй все файлы разжать (UPX енто)... На предыдущих страницах я писал как это сделать. А сафедиск, так вообще по EXE'шнику, как бешаный горный козёл по горам скачет. Пудрево мозгов, да и только. А как только OEP найдёшь, так всё на свои места встаёт, кроме таблиц ИМПОРТА, но не вслучае UPX !!! Всё прекрасно разжимается... ;)

Видел в продаже:
смотрю на ценнике написанно J2ME - не поверил... попросил посмотреть - и правда в основоном меню вывели пункт "Дополнительные", а там свойства-закачки.
посмотрел прошивку 74R
что самое интересное - цвет корпуса оригинальной поставки - синий

Наверное уже можно по сервис центрам пробежать насчет новой прошивки, на инет пока надежды мало.

[T-Troll]

Lord-3X Отвечаю на оба вопроса.
Через MBE или нет - неважно. Важно, что через ems + немного обработать напильником в виде hex-editor.

Информация про зоны и вообще архитектуру платформы Нептун от самих Мотороллеров - моя контора их авторизованные девелоперы. Доки они обещали подогнать, но пока их у меня нет (хотя кое-что можно выяснить при _внимательном_ прочтении Guides на их девелоперском сайте)- иначе я был бы конкретнее в том, как и что. Можешь позадавать вопросы, постараюсь у них выяснить. Но, естетственно, про алгоритмы заливки и криптования они ничего не скажут.

Ты делаешь очень нужное дело по расшифровке прошивки, если получится - чует мое сердце изменения там будут минимальные.