Мануал по адаптации монстров Е398 на оригинальный Е1(0А02)
Благодаря методике обхода RSA для LTE2 мы имеем возможность установить на Е1 (с бутом 0А02) любой патченный монстр со всеми патчами, кроме расположенных в CG7 и CG18 (т.е. любой патч кроме дуалбута будет работать. Дуалбут тоже можно запустить, мануал по нему составляется)
Разберем по шагам:
1. Устраняем в CG1 "снятие RSA по старому методу" (снятие RSA для бута 07D0)
1.1 Открываем исходную прошивку "Подопытный монстр" в FlashBackup3 (Обработка прошивок - выбрать файл) и сохраняем её как "SMG Files" например под именем 1. Не закрываем FB! Он нам еще пригодится
В результате "в месте сохранения" имеем набор файлов:
1CG1.smg
1CG15.smg
1CG18.smg
1CG2.smg
1CG3.smg
1CG4.smg
1CG7.smg
1RAMDLD.smg
1.2 Открываем в любом hex-редакторе файл 1CG1.smg (CG1) и правим его таким образом:
было
оффсет
000000A0 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
000000B0 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
000000C0 FF FF FF FF 11 FE 00 00 00 00 00 B1 01 0C 02 06
стало
оффсет
000000A0 FF FF FF FF FF FF FF FF FF FF FF FF 11 FE 00 00
000000B0 11 FE 07 FF FF FF FF FF FF FF FF FF FF FF FF FF
000000C0 FF FF FF FF 10 BD 31 58 00 00 00 B1 01 0C 02 06
вот то же самое в другом формате:
оффсет: было стало
000000AC: FF 11
000000AD: FF FE
000000AE: FF 00
000000AF: FF 00
000000B0: FF 11
000000B1: FF FE
000000B2: FF 07
000000C4: 11 10
000000C5: FE BD
000000C6: 00 31
000000C7: 00 58
(На самом деле, нужно исправить еще оффсеты 00-03, но т.к. мы их все равно будем править по методике LTE2 то сейчас пропускаем.)
1.3 Кроме того, существуют еще 8 байт различий далее в прошивке, для монстров на базе 0А02 они нам не помешают, а для универсальных монстров и монстров после 79 с модифицированной ПДС они даже нужны. Эти патчи отменяют проверку подписи бута и делают из обычной модели телефона - инженерную.
Определяются они просто: в сг1 ищем паттерну 477846C0E59FC000E12FFF1C00002189 (также бывает вариант 477846C0E59FC000E12FFF1C102AA373), она должна встретится 2 раза (возможен 1 раз, например на МС1.5 79R). 477846C0 - это патченый вариант, он нужен в таком виде. если паттерны нет - ищем
20014770E59FC000E12FFF1C102AA373 либо 20014770E59FC000E12FFF1C00002189, и меняем первые 4 байта на 477846C0
2. Теперь правим по методике "для LTE2":
CG1 было
00000000 неважно как было
00000010 неважно как было
стало
оффсет
00000000 11 F8 11 41 далее неважно
00000010 B0 01 FF FB далее неважно
Сохраняем файл под новым именем, например 2CG1.smg
3. Кладем к нему же патченые файлы CG18, CG7, скачанные из аттача.
Можно достать CG7, CG18 самостоятельно - извлекаем их (как извлекали CG1) из любой патченой прошивки "Для оригинального Е1" (версия прошивки не имеет значения)
Либо извлекаем их из любой НЕпатченой прошивки "Для оригинального Е1" и правим:
3.1 По смещению 0000C80 в CG7 прописываем значения 46 C0 48 01 68 00 47 00 10 04 00 00 (изначально там будут FF)
3.2 По смещению 0000000 в CG18 прописываем значения 11 F8 00 00 (изначально там будут 11 FE 00 10)
4. Теперь заменяем в открытой прошивке "Подопытный монстр" CG1, CG7, CG18. Делается это следующим образом (Мы все еще на вкладке "обработка прошивок" и прошивка открыта):
4.1 Запоминаем "Начало" CG1 (это будет 10080000), выбираем CG1 и "Удалить".
4.2 Нажимаем "Добавить", выбираем измененный нами CG1 (2CG1.smg), указываем её тип (CG1) и адрес начала (10080000)
4.3-4.6 Аналогично поступаем с CG7 и CG18 (адреса 11F80000 и 11FE0000)
5. Сохраняемся "Сохранить как" в shx. Готово, можно прошивать.
методика проверена на mpx398 49R и MotoSinbian1.5 rc3 79R
Дополнение (проверено на малом количестве тел): если нужен дуалбут, берем сг7 и сг18 из архива randomdualboot.zip, с этим дуалбутом и патчами пункта 1.3 получится универсальный монстр - он запустится как Е1 0А02, так и на Е1/Е398 07Д0.
Сообщение отредактировал AlexKooper - 6.4.2007, 14:56
Благодаря методике обхода RSA для LTE2 мы имеем возможность установить на Е1 (с бутом 0А02) любой патченный монстр со всеми патчами, кроме расположенных в CG7 и CG18 (т.е. любой патч кроме дуалбута будет работать. Дуалбут тоже можно запустить, мануал по нему составляется)
Разберем по шагам:
1. Устраняем в CG1 "снятие RSA по старому методу" (снятие RSA для бута 07D0)
1.1 Открываем исходную прошивку "Подопытный монстр" в FlashBackup3 (Обработка прошивок - выбрать файл) и сохраняем её как "SMG Files" например под именем 1. Не закрываем FB! Он нам еще пригодится
В результате "в месте сохранения" имеем набор файлов:
1CG1.smg
1CG15.smg
1CG18.smg
1CG2.smg
1CG3.smg
1CG4.smg
1CG7.smg
1RAMDLD.smg
1.2 Открываем в любом hex-редакторе файл 1CG1.smg (CG1) и правим его таким образом:
было
оффсет
000000A0 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
000000B0 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF
000000C0 FF FF FF FF 11 FE 00 00 00 00 00 B1 01 0C 02 06
стало
оффсет
000000A0 FF FF FF FF FF FF FF FF FF FF FF FF 11 FE 00 00
000000B0 11 FE 07 FF FF FF FF FF FF FF FF FF FF FF FF FF
000000C0 FF FF FF FF 10 BD 31 58 00 00 00 B1 01 0C 02 06
вот то же самое в другом формате:
оффсет: было стало
000000AC: FF 11
000000AD: FF FE
000000AE: FF 00
000000AF: FF 00
000000B0: FF 11
000000B1: FF FE
000000B2: FF 07
000000C4: 11 10
000000C5: FE BD
000000C6: 00 31
000000C7: 00 58
(На самом деле, нужно исправить еще оффсеты 00-03, но т.к. мы их все равно будем править по методике LTE2 то сейчас пропускаем.)
1.3 Кроме того, существуют еще 8 байт различий далее в прошивке, для монстров на базе 0А02 они нам не помешают, а для универсальных монстров и монстров после 79 с модифицированной ПДС они даже нужны. Эти патчи отменяют проверку подписи бута и делают из обычной модели телефона - инженерную.
Определяются они просто: в сг1 ищем паттерну 477846C0E59FC000E12FFF1C00002189 (также бывает вариант 477846C0E59FC000E12FFF1C102AA373), она должна встретится 2 раза (возможен 1 раз, например на МС1.5 79R). 477846C0 - это патченый вариант, он нужен в таком виде. если паттерны нет - ищем
20014770E59FC000E12FFF1C102AA373 либо 20014770E59FC000E12FFF1C00002189, и меняем первые 4 байта на 477846C0
2. Теперь правим по методике "для LTE2":
CG1 было
00000000 неважно как было
00000010 неважно как было
стало
оффсет
00000000 11 F8 11 41 далее неважно
00000010 B0 01 FF FB далее неважно
Сохраняем файл под новым именем, например 2CG1.smg
3. Кладем к нему же патченые файлы CG18, CG7, скачанные из аттача.
Можно достать CG7, CG18 самостоятельно - извлекаем их (как извлекали CG1) из любой патченой прошивки "Для оригинального Е1" (версия прошивки не имеет значения)
Либо извлекаем их из любой НЕпатченой прошивки "Для оригинального Е1" и правим:
3.1 По смещению 0000C80 в CG7 прописываем значения 46 C0 48 01 68 00 47 00 10 04 00 00 (изначально там будут FF)
3.2 По смещению 0000000 в CG18 прописываем значения 11 F8 00 00 (изначально там будут 11 FE 00 10)
4. Теперь заменяем в открытой прошивке "Подопытный монстр" CG1, CG7, CG18. Делается это следующим образом (Мы все еще на вкладке "обработка прошивок" и прошивка открыта):
4.1 Запоминаем "Начало" CG1 (это будет 10080000), выбираем CG1 и "Удалить".
4.2 Нажимаем "Добавить", выбираем измененный нами CG1 (2CG1.smg), указываем её тип (CG1) и адрес начала (10080000)
4.3-4.6 Аналогично поступаем с CG7 и CG18 (адреса 11F80000 и 11FE0000)
5. Сохраняемся "Сохранить как" в shx. Готово, можно прошивать.
методика проверена на mpx398 49R и MotoSinbian1.5 rc3 79R
Дополнение (проверено на малом количестве тел): если нужен дуалбут, берем сг7 и сг18 из архива randomdualboot.zip, с этим дуалбутом и патчами пункта 1.3 получится универсальный монстр - он запустится как Е1 0А02, так и на Е1/Е398 07Д0.
Сообщение отредактировал AlexKooper - 6.4.2007, 14:56