motofan logo
10 страниц V « < 8 9 10
Причина закрытия (Semenigor 15-03-2009):
       
> 

обход rsa на motomagx телефонах, проверено и работает на V8, E8, Z6, U9

yakk
сообщение 28.12.2008, 13:10 Закрепленное сообщение!



*****

Группа: Разработчики
Сообщений: 336
Регистрация: 6.7.2006
Из: Днепропетровск
Пользователь №: 90 408

Рейтинг: 904



Итак, мне наконец-то удалось обнаружить дыру в загрузчике motomagx телефонов, которая позволяет запустить телефон с неподписанной AP-прошивкой

Внимание: если вы собираетесь делать то что здесь описано со своим телефонам - вы делаете это на свой страх и риск.. я не отвечаю за убитые вами телефоны..

Немного теории wink.gif
Дыра обнаружилась в irom-загрузчике BP. При включении телефона бут (mbm AP-части) первым делом загружает в оперативную память bp-loader и передаёт BP команду выполнения bp-loader. irom-загрузчик BP проверяет подпись bp-loader и, если с ней всё в порядке - передает исполнение bp-loader'у. Важный момент - непосредственно перед проверкой подписи irom загрузчик BP проверяет наличие в заголовке bp-loader указателя на некоторую структуру и если этот указатель есть - разбирает эту структуру.. Эта структура, помимо заголовка, содержит набор адресов и значений; irom-загрузчик записывает в каждый из адресов (если адреса по его мнению корректные) соответствующее значение.. Таким образом есть возможность заполнить эту структуру самостоятельно и переложить на BP работу по "отпатчиванию" бута AP (бут AP в данный момент загружен в оперативку, его подпись уже проверена ранее и он ожидает ответ BP, что bp-loader прошел проверку подписи).. При этом саму структуру можно расположить за подписью и в ней же описать патч приводящий заголовок bp-loader к исходному состоянию, чтобы он нормально прошел проверку подписи..
Необходимые дополнения в bp-loader:
Размещаем за подписью bp-loader структуру следующего формата:
первые четыре байта от начала структуры - 0xB17219E9 - константа, по которой проверяется корректность структуры.
следующие четыре байта - размер структуры (должен быть кратен восьми, но не больше 256).
Дальше следует список адресов и значений (четыре байта на адрес и четыре - на значение).
В заголовке bp-loader необходимо поставить указатель на эту структуру, (четыре байта по адресу +0x14 от начала bp-loader) и указатель на этот указатель smile.gif (по адресу +0x0c от начала bp-loader).. Соответственно чтобы bp-loader прошел проверку подписи - нужно будет вернуть заголовок к изначальному виду (обычно в данных полях нули) и поэтому первыми патчами описанными в структуре - делается именно запись нулей в данные поля.. Дальше следуют патчи которые нужно применить к ап-буту..
После ряда экспериментов я получил минимальный набор патчей бута которые приводят к тому что телефон соглашается работать с неподписанной прошивкой для бутов 06.a3 (e8) и a3.cf (v8) - телефоны которые "дожили" до победы..
Патчи зависят от версии бута, при установке неправильных патчей, или правильных, но не соответствущих версии бута - получаете труп. У меня уже лежит убитый z6 - на нём пробовались ранние версии патчей, в которых я не учёл некоторых проверок в буте, у dimichxp - убитый е8. Получится ли восстановить эти телефоны - большой вопрос..
Ну, основные вещи вроде все написал, прилагаю полученные буты, которые нужно просто прошить в телефон, если версия бута Вашего телефона совпадает с одной из указанных.. Хотя даже если совпадает - подумайте лишний раз насколько Вам всё это нужно ))

если кто возьмется портировать это на другие версии бутов/телефоны - имейте в виду что нужно быть предельно внимательным и перепроверять всё что делаете, попытка скорее всего будет только одна!!!

a3.cc (z6) - проверил на своём восстановленном z6 - всё работает, только ругается на security-версии кодовых груп, если их затирать. т.е. можно просто их сохранять.. хотя я поправил в cdt требование не проверять rootfs и лэнг - лэнг пересобранный и ничем не дополненный, rootfs - не пересобирал, просто стер подпись и security-версию.. если не править cdt - валится с ошибками на проверке версий, после исправления cdt - нормально работает..

ps: патч для бута 06.2b (zn5) - пока находится в стадии тестирования, не гарантируется, что его применение приведет к обходу RSA, но будучи прошитим на телефон с соответствующей версией бута - трупов быть не должно.. (чуть инфы для интересующихся - на новых версиях патчей не делается подмены инженерности, т.е. патчатся только собственно функции проверки подписей)..
06.2b (zn5).

pps: добавил патч для бута 06.a9 (e8) - пока для тестирования, хотя в принципе я его проверил - телефон после установки патча работал с неподписанными группами. опять же следим за версиями кодовых групп и не зашиваем всё без разбору..

добавил патч для бута 06.2a (u9) - спасибо за тестирование andrey_moto.

Сообщение отредактировал yakk - 16.1.2009, 3:57
Прикрепленный файл e8___06a9.rar   ( 153.45 килобайт ) Кол-во скачиваний: 1144
Прикрепленный файл u9_062a.rar   ( 141.39 килобайт ) Кол-во скачиваний: 998
Прикрепленный файл v8_a3cf.rar   ( 96.34 килобайт ) Кол-во скачиваний: 7652
Прикрепленный файл e8_06a3.rar   ( 153.6 килобайт ) Кол-во скачиваний: 1235
Юзер вышелВ друзьяВизиткаП/Я
К началу страницы
+Ответить
Done
сообщение 31.1.2009, 22:27


Интересующийся
**

Группа: Пользователи
Сообщений: 44
Регистрация: 15.10.2005
Пользователь №: 54 637
Модель телефона: EM30

Рейтинг: 6



Тааакс... новые сведения о буте 06.ac. Пересобрал CG36, просто распаковал, а потом запаковал, по этой - http://www.rasputin007.co.uk/storage/webpages/v8_cg/ инструкции.
может я, конечно, чего и неправильно делаю... но в общем выходит Err:A5,62,70,02,24. сейчас попробую другие какие-нить CG пересобирать, мб это просто криво пересобрал я.

Добавлено позже (1.2.2009, 4:26):
Ух...странно...насколько я знаю, в R6716_G_71.03.04R, т.е прошивке, которая у мя стоит, CG43 защищена RSA. когда там менял флексбит в ней, бут не ругался, но просто не грузился тел. ладно, может быть не хочет тел изменения флексбита чувствовать и виснет на загрузке. просто конфиги менял - загружалось нормально. теперь с CG46, это ленгпак. по идее тоже защищен RSA. тоесть я просто взял, распаковал, поменял шрифты на свои, запаковал...бут выдает Err:A5,70,00,00,2E либо я где-то ошибся, либо еще что-то...просто разобрал, ничего не менял, собрал обратно CG46. та же ошибка: Err:A5,70,00,00,2E

Сообщение отредактировал Done - 31.1.2009, 22:27
Юзер вышелВ друзьяВизиткаП/Я
К началу страницы
+Ответить
Chacha_Ivanov
сообщение 2.2.2009, 14:22


Куртуазный Маньерист
******

Группа: Разработчики
Сообщений: 1 277
Регистрация: 30.10.2005
Из: Истра
Пользователь №: 56 473
Модель телефона: LG Sol, Moto EM35
Прошивка: Уникальная


Настроение:
помоги себе сам..



Рейтинг: 800



tmp_do,
у меня тоже рут не собирался правильно(из-за чего тел в бут падал после прошивки) на 3 разных версиях линя, потом поставил АЛТ Линукс и все собралось и прошилось нормально (единственное папка .backup почему-то не хочет собираться), в чем проблема была так и не понял, но скорее всего что-то с атрибутами извлеченных файлов, так как mksquashfs всегда один и тот же использовал.

Сообщение отредактировал Chacha_Ivanov - 2.2.2009, 14:23
Юзер вышелВ друзьяВизиткаП/Я
К началу страницы
+Ответить
tmp_do
сообщение 2.2.2009, 15:31


Гуру
******

Группа: Разработчики
Сообщений: 911
Регистрация: 29.8.2007
Пользователь №: 146 016
Модель телефона: HAINAN
Прошивка: hand made & custom

Рейтинг: 188



Chacha_Ivanov, такая ерунда даже с оригинальной кг но без подписи или версии.
делал так:
1 брал оригинальную кг36, забивал версию FF, подпись не трогал, прошивал, получал Err:бла-бла
2 брал оригинальную кг36, забивал подпись FF, версию оставлял на месте, шил. получал Err:бла-бла. то же самое получал при пересборке сквоша руками.
кусок правленой 31 группы выше давал

yakk: лучше попробуй сделать по-другому - опять же через цг31:
возьми в цг31 описание какой-нибудь группы которая в сквоше, которая подписана и которую получается менять без проблем (ленг или resource).. скопируй это описание на место описания цг36.. от оригинального описания cg36 - оставь только её название и номер.. т.е. нужно будет взять 0x26 байтов начиная со смещения 0x22 от начала описания группы. пускай бут попроверяет одно и то же по несколько раз.. гарантировать правда ничего не могу sad.gif
если что коды ошибок оставляй - может пойму что же вашему буту еще не нравится. ))
позже: потестили вчера этот метод с MOTOROKR'ом на 128-меговом ZN5, там бут чуть другой - но проблема такая же была - именно с измененной rootfs тел валился в бут, а очень нужно было запустить)). После замены описания rootfs описанием ленга - всё нормально пошло..

Сообщение отредактировал yakk - 3.2.2009, 5:59
Юзер вышелВ друзьяВизиткаП/Я
К началу страницы
+Ответить
tmp_do
сообщение 3.2.2009, 8:00


Гуру
******

Группа: Разработчики
Сообщений: 911
Регистрация: 29.8.2007
Пользователь №: 146 016
Модель телефона: HAINAN
Прошивка: hand made & custom

Рейтинг: 188



Цитата(Art-21 @ 3.2.2009, 10:26) *

Ставил бут для no rsa на ZN5 всё отлично. smile.gif

уверен? докажи! sport_boxing.gif

yakk: собственно бут работает нормально и обход подписей - тоже работает )) - у тебя ж и так половина кодовых групп изменена.. ну с cg36 - похитрее чуть нужно, но править для этого патч на бут необязательно )) всё через cdt решается..

Добавлено позже (3.2.2009, 13:41):
http://ezxdev.org/qtopia/tmp_do/SW_ZN5_R66...5C_CG31.sbf.bz2
правленый CDT, отключена проверка CG35,36,43,44,46,48,52

Сообщение отредактировал yakk - 3.2.2009, 9:34
Юзер вышелВ друзьяВизиткаП/Я
К началу страницы
+Ответить
DumKa
сообщение 19.2.2009, 17:32


Новичок
*

Группа: Пользователи
Сообщений: 24
Регистрация: 3.3.2008
Пользователь №: 165 498
Модель телефона: Rokr E8, Milestone

Рейтинг: 6



Ну так что! Можно каким-либо способом повысить или понизить бут?

yakk: понижать - точно не стоит, повысить - можно попробовать бутреплейсером для 06.a9..

Сообщение отредактировал yakk - 19.2.2009, 17:46
Юзер вышелВ друзьяВизиткаП/Я
К началу страницы
+Ответить
Elvis271
сообщение 23.2.2009, 13:25


Ветеран
*****

Группа: Пользователи
Сообщений: 331
Регистрация: 28.9.2007
Пользователь №: 149 269
Модель телефона: E8

Рейтинг: 38.5



Может кто-нибудь выложит оригинальный 06а9 от E8? А то мои поиски результата не дали

yakk: хорошо искал? к примеру здесь - http://rapidshare.com/files/170860585/R671..._Bootloader.rar

Сообщение отредактировал yakk - 24.2.2009, 4:21
Юзер вышелВ друзьяВизиткаП/Я
К началу страницы
+Ответить
-=WEST=-
сообщение 25.2.2009, 10:14


Ветеран
*****

Группа: Пользователи
Сообщений: 355
Регистрация: 12.11.2007
Из: Питер
Пользователь №: 153 665
Модель телефона: E398+V8+ROKR E8
Прошивка: 49R, 56.1BR, 1CR_A

Рейтинг: 17



Цитата(abelenki @ 24.2.2009, 15:26) *

а зачем? прошей сначала непатченный A3.CF, ибо он новее A3.CD. а затем, no RSA A3.CF. и всё.

ну если это действительно так, то спс за инфу)) попробую поискать A3.CF
П.С. если кто даст ссыль на оригинальный бут A3.CF поставлю плюсик wink.gif

Сообщение отредактировал -=WEST=- - 25.2.2009, 10:22
Юзер вышелВ друзьяВизиткаП/Я
К началу страницы
+Ответить
abelenki
сообщение 25.2.2009, 10:24


Ветеран
*****

Группа: Пользователи
Сообщений: 678
Регистрация: 7.8.2006
Из: Russia, Perm
Пользователь №: 94 097
Модель телефона: Atrix 4G
Прошивка: 2.3.6 - 4.5.2A

Рейтинг: 112



Цитата(-=WEST=- @ 25.2.2009, 15:14) *

ну если это действительно так, то спс за инфу)) попробую поискать A3.CF
П.С. если кто даст ссыль на оригинальный бут A3.CF поставлю плюсик wink.gif


держи:

http://file.qip.ru/file/78551523/56f71b1f/...loaderA3CF.html

можешь его без проблем прошить поверх твоего бута через РСД Lite 3.9 или выше. а затем уже прошивай no RSA A3.CF от yakk.

Сообщение отредактировал abelenki - 6.3.2009, 12:25
Юзер вышелВ друзьяВизиткаП/Я
К началу страницы
+Ответить
Av3LaR
сообщение 8.3.2009, 15:44


Новичок
*

Группа: Пользователи
Сообщений: 16
Регистрация: 29.6.2008
Из: El Salvador
Пользователь №: 176 020
Модель телефона: none
Прошивка: used to be MaxxIII

Рейтинг: 34



Любой суд BL 06.A5 к 06.A9 или А3, как вы извлечь загрузчик, я имею в виду, как вы положили в вашу BL shx или SbF файл?
Спасибо thumbsup.gif

--
Anyone tried BL 06.A5 to 06.A9 or A3, how do you extract a bootloader, i mean, how do you put your BL in a shx or sbf file?
Thanks thumbsup.gif
Юзер вышелВ друзьяВизиткаП/Я
К началу страницы
+Ответить
GandjaFuzz
сообщение 13.3.2009, 13:31


Motofuzzer
*****

Группа: Почетные МотоФаны
Сообщений: 619
Регистрация: 12.12.2004
Пользователь №: 26 583
Модель телефона: ZN5 T-Mobile
Прошивка: 2CR_128
Победитель конкурса 2008

Рейтинг: 1080



Доделал бут для ZN5 с 128 мегабайтами 06.2B теперь не только меняет заголовок бута но и снимает рса.
проверил все работает

yakk: biggrin.gif - у MOTOROKR давно уже работает (hobbit19 полный патч вроде тоже раньше выкладывал, в нужный момент мне на глаза не попался - сделал для MOTOROKR персонально smile.gif ), но людей с такими телефонами немного.. да и вообще в теме этой толку уже немного - основное что можно было сказать - сказано..

Сообщение отредактировал yakk - 13.3.2009, 18:43
Прикрепленный файл zn5_BOOT_06_2B_noRSA_FULL.rar   ( 207.92 килобайт ) Кол-во скачиваний: 460
Юзер вышелВ друзьяВизиткаП/Я
К началу страницы
+Ответить
обход rsa на motomagx телефонах, проверено и работает на V8, E8, Z6, U9 · Ломаем и строим (Inventions) · Forum
 

10 страниц V « < 8 9 10
Причина закрытия (Semenigor 15-03-2009):
Закрытая темаСоздание новой темы
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 



Текстовая версия Сейчас: 12.12.2019, 15:02

Форум живёт: