Ковырнём Прошивку ..., Hex Workshop 4.0, Hiew etc... Поделиться Опции

[CeproBaH]

Что-ж меня радует твой оптимизм (o)
Если нужна помощь кричи :)
У меня вобщето уже двое суток комп не выключается - дешифровщик крутится в поисках русских слов в прошивке ( вот тока интересно в какой кодировке они хранятся ).
Сначала замутил дешифратор, а потом посчитал скока ему еще крутиться - при простом переборе 8-ми символьного ключа с XOR-овским наложением выходит что-то около 34 тысяч лет! :o и кроме того надо просмотреть гигабайты текстового лога в поисках вразумительного русского слова, а если алгоритм кроме XORа, еще прибавляет к байту какоенить число, или сдвигает его на скокато бит в сторону, перебор приближается к бесконечности :(
Короче плюнул я на это дело и потер все, вместе с исходниками... вот так... надо искать другие пути... лобовая атака не катит... кул хацкеры ломайте PST! дело за вами..

[CeproBaH]

Есть идея!
USBee LX Data Logger
Зачем ковырять прошивку, когда можно подсмотреть что PST заливает на USB порт.
Правда вроде они дают только демо-версию, надо поискать еще... ;)

CeproBaH - (o) и ещё раз (o) !

кул хацкеры ломайте PST! дело за вами..

Дело всё в том, что у меня Windows Millenium Edition, PST не работает! Но ради общего блага снесу его завтра, поставлю 98-ой. Буду ПСТ трассировать в дасмах... PortMonitor заведу... Посмотрю откуда что берётся и куда девается...

надо искать другие пути...

В принципе мы имеем дело с эмуляцией COM порта... Порт Монитор тут как раз кстати! А все телефоны как я понимаю общаются с виндой как обычные модемы - через AT команды... А я в них ничего не понимаю (практики небыло)...

Надо запускать PortMon и пробовать шить тел. А потом просматривать лог...
Завтра начну ковырять PST. А насчёт AT комманд прошу помощи. sos

[CeproBaH]

Насчет AT команд для сотовых посмотри тут.
А вобще по модемным командам инфы в инете немеряно, какие проблемы?

USBee LX Data Logger

Уже качаю ...

Скачай ЗДЕСЬ PortMon, FileMon и RegMon - пригодится... :)
Добавлено:

http://motorsync.narod.ru/src.exe

CeproBaH, ссылка мёртвая ... :(

Она не мертвая, у меня качнулось!

[CeproBaH]

Посмотрел я PortMon'ом процесс заливки EMS, и др. оперяций PST - логируются какието команды от/в телефон и все. А где сам траффик? Видимо этот монитор HOOK'ит какие-то winAPIшные мессаги связанные с портом, а данные текут без их использования...
USBee Data Logger вообще просто логирует все снгналы порта каждые 0.25 сек, как выделить из такого лога поток данных?
Сам собрать USB трэйсер я пока не готов, надо наверно искать другие проги...
(Или опять-же ковырять PST)

Я уж Окна 98 поставил и ПСТ, пробовал трассировать. Сонный был - пытался привязаться к API Kernel32.CreateFile (open_existing_denyread) и GetFileAttributes, а потом вырубился. Сегодня продолжу...

Порт захватывть тож пробовал с помощью PortMon98! Когда выходишь в инет через GPRS Manager - всё логирует, а если льёшь прошивку - фиг! <_< Еще не пробовал USBee ...

Смотрите файл P2K Test Commands Version 40_1.tdb[COLOR=blue] из папки с PST, там есть какие-то комманды, мож это поможет... Они же есть в Flash & Test Command.

[CeproBaH]

Смотрите файл P2K Test Commands Version 40_1.tdb

Особенно интересна команда
"KJAVA"|"054"|"1"|"XX"|"YY"|90.00|"kJava Test Commands."|||
Найти бы еще по ним описание...

Ну тут вроде чё-то починили...
Тока я под своим именем зайти не могу...

Скачал 'С Decompiller' (REC называется) и декомпилил PST! Вроде часть текста получилась пригодной для восприятия, пытаюсь разгрести мусор. В общем пока весь в ПСТ...

P.S. Я надеюсь что здесь всё починят до конца...

CeproBaH!

Ты в C++ ведь шаришь? Сначала по (o). И делай:
1. Катани REC.
2. Катани PE Explorer 1.93
3. Открываешь с помощью PE Explorer'a по-очереди: PST.EXE, PST.DLL, pst_fp_flash.dll и pst_fp_flashdevapi.dll. После открытия каждого жмёшь сохранить. Перезаписываешь. Вкратце объясню зачем: у ПЕ Эксплорера есть встроеный плагин, который распаковывает UPX...
4. Закинь ЭГЕшник(rec.exe) в директорию с ПСТ и запусти 'rec.exe pst_fp_flash.dll' из-под какой-нить оболочки или BAT'ник создай. Получишь исходник библы. Не сам PST.EXE шьёт, он эту DLL'ку грузит, прямо кнопка FLASH в этой ДЛЛ и весь интерфейс. А она ещё к 'pst_fp_flashdevapi.dll' обращается. Так что последнюю можешь тож загнать в РЕК. Получишь файлы '*.rec' - это и есть исходники на С (ну там конечно ASM'a больше, чем самого С)

[CeproBaH]

Ну слушай, друг... это всё конешно хорошо, я попробую , но будет проще если ты эти исходники получил - зашли их мне я посмотрю. Так будет быстрее.

НАРОД !!!

Помогите достать ключ из PST !!!!!!!!!!!!!!!!!!!!!!!!!

Добавлено:
[/QUOTE]зашли их мне я посмотрю[/QUOTE]

Не вопрос! Куда слать?

[CeproBaH]

...
(To moderators: Можно удалить)

CeproBaH - лови...

Насчёт AT комманд - отбой! Не выйдет!
Я качнул Motorola Service Software by Victor v3.2.3. Там кнопка активации Java. Тыкаю - говорит Done! Открываю Java игру (Moto GP), жму Upload - фиг!!!
Думаю, что телефон не поддерживает JAVA Upload. Именно Upload!

Надо как на J-70 чуваки в своё время делали - прямо в прошивке!
Кстати! Когда начинаешь шить телефон, ПСТ создаёт файлы SMG. Те же самые, что и моя прога. Такие же закрипченые. И то, что они закрипчены говорят следующие факты: открываем W32DASM'ом 'pst_fp_flash.dll' и жмём 'Refs>String Data References', смотрим строки - видим 'Decrypt', 'Encrypt', '.smg' и много там ещё таких интересных... не в этой, так вдругой длл из вышеперечисленного набора^. <_<

[CeproBaH]

Дык ты можешь сами процедуры вытянуть? Тыж в ассме шариш, ядро криптовщика нащупай, там скорей всего простейшие команды - XOR, сдвиг, сложение. Мы так Samanta Fox(Strip Poker) на ZX Spectrume "разлочивали" когдато давно :)) Может прокатит? :)

Спешу обрадовать!!!

Я нашёл процедуры, закреплённые за кнопками 'Browse' и 'Flash' !!! :D Как обычно вырубился под утро на самом интересном.

Вкратце о том что делает кнопка 'Flash':
1. очищается буфер для чтения файлов SMG (размер 8 кБ)
2. Kernel32.ReadFile
3. чтото делается... (с первого взгляда не похоже на декрипт, да и в буфере ничего не меняется)
4. Pst_fp_flashdevapi. флешит эти 8 кБ (ещё не трасировал этот entry, декрипт скорее всего здесь!)
5. повтор с 1 пока не кончится файл

Могу адреса кнопок выложить. А вообще я ща домой приду и буду трасить дальше пока голова ещё работает. Заодно адреса выложу... ;)

[CeproBaH]

это и есть исходники на С (ну там конечно ASM'a больше, чем самого С)

Я бы даже сказал, что там от С остались только фигурные скобки :D

Я бы даже сказал, что там от С остались только фигурные скобки

Я бы тоже так сказал :P , потому и плюнул на эти исходники и пользую TRW2000, OllyDBG 1.09d и Win32DASM by J.Ping для исследований. Вообще мне пофиг на самом деле какой язык. Хоть БАРСИК, хоть ПАСКАЛЬ, хоть тот, на котором первые два написаны - АССЕМБЛЕР, т.к. начинал я всё своё программирование на ZX Spectrum и до сих пор хоть и эмулятор, но пользую. B)

А вот адреса кнопок (pst_fp_flash.dll из PST 6.0):
,-----------------------------------------------------------------------_
|**********|---TRW2000---|---Olly DBG---|---WinDASM---|
+---------------+-----------------+----------------+-----------------+
|-Browse---------015979B0------015879B0-----100079B0---|
|-Flash -----------01597DC0------01587DC0----10007DC0---|
\_____________________________________________/

Вообще адреса равны 79B0 и 7DC0 соответственно, всё остальное - зто Image Base - адрес, с которого эта библа загрузится, так - для релоцироемости. bigsmile;

Народ !!!

Можете смело ставить бряк в TRW2000 и трасировать прогу на предмет интересного:

1. Запускаете TRW2000, 'BROWSE', открываете PST.EXE и 'LOAD'
2. вводите: bpx 1597dc0
3. жмёте: CTRL + N
4. юзаете ПСТ

Как только вы нажмёте кнопочку 'FLASH' сразу система встанет колом и на экране появится окно TRW. Ну а дальше - 3..7 бутылочек пива, книжку по ассемблеру, терпение + 3..NN часов свободного времени, SDK по WinAPI, листок бумаги, авторучку и комбинации клавиш F8, F10, F9. Я конечно займусь тем же самым, но вдруг кто опередит (если это кому надо помимо Сергофана и меня <_< )

P.S. TRW2000 настолько замораживает систему, что таймер BIOS останавливается (часы не идут). Так что не забывайте переводить время по окончании работы в TRW.

[CeproBaH]

Lord-3X, c современным ассмом я уже не очень дружу, как-то все больше на С++ наседаю, но если что, чем смогу помогу, адрес знаешь.

[Sep.]

Народ, я особо не петрю в программинге, но вы занимаетесь офигенно нужной штукой. Ведь ява открывает не только новые игры а и броузер через GPRS (нормальный инет а не ВАП), ICQ через Jabber (ява приложение которое на С55 один корешь юзает), и т.д. А игры это вторично...
Я очень заинтересован в вашем проекте, попытаюсь привлечь побольше знающего народа в эту ветку. Вы наверно уже знаете, но самый хакерский форум (на инглише) по вопросам всяких перешивок здесь: http://forum.gsmhosting.com/vbb/forumdispl...php?forumid=166 Там же в других разделах явно найдете много интересного. Главное что там много русских людей которым приходится общаться на инглише.
Так же интересный человек занимающийся reverse engenering есть здесь (обитает на том же форуме, русский, легко вступает в контакт со всеми): http://www.spunlock.com/ у него на форуме много инфы подобного рода.
Забацайте эту Яву хотя бы за счет стирания исходных игр!
Удачи вам всем!

Незнаю как насчет врубления Явы...
Но вот насколько реально поковырять прошивку и заменить установленные игры на нужное мне ПО? Кто-нить задумывался над этим?

Всё чего мы так долго ждали НО БОЯЛИСЬ что это будет не у нас......... абыдна..........

тьфу линка не та )))) ВОТ ТА

Но вот насколько реально поковырять прошивку и заменить установленные игры на нужное мне ПО? Кто-нить задумывался над этим?

SmasH !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
А ты сначала читал? А мы над чем тут задумываемся?

Все !!!
Компьютер тут менял. С сегодняшнего дня продолжаю работу над проектом. Разобрался с АТ коммандами, ужо умею версию ПО определять, имей, тип тела(1800MHz&900MHz), производителя... и т.д. Оказывается комманды-то стандартные... Я от нокии ПДФ-ку по АТ надыбил. Оказывается если проверку на модель и производителя убрать в проге для работы с записной книжкой(будь-то от нокии или симёна - пофиг), то можно читать записнушку от любого телефона!!! bigsmile;

... вы занимаетесь офигенно нужной штукой... Я очень заинтересован в вашем проекте, попытаюсь привлечь побольше знающего народа в эту ветку.

Sep. - 5 баллов (o). Кричи всех сюда! Тоже помощь, одобрямс...

Ведь ява открывает не только новые игры а и броузер через GPRS (нормальный инет а не ВАП)

Sep. - КОЛ , но только в том случае, если ты имеешь ввиду интернет через браузер Internet Explorer, Opera и т.д. - он и так доступен!!! Читай форумы...

Вы наверно уже знаете, но самый хакерский форум (на инглише)...

Спасибо! Но уже знамс... :)

Так же интересный человек занимающийся reverse engenering есть здесь (обитает на том же форуме, русский, легко вступает в контакт со всеми): http://www.spunlock.com/ у него на форуме много инфы подобного рода.

Я тож Reverse Engeneering, его бы к нам... вдвоём веселее !!! (можно, даже нужно больше, просто так говорят )

Забацайте эту Яву хотя бы за счет стирания исходных игр!

В результате исследований я пришёл к выводу, что иначе не выйдет !!!

Удачи вам всем!

Спасибо... Заходи почаще... (o)

unit PST_FP_FLASH; (PST 6.0)

uses TRW2000;

procedure TFormX.FLASH_Button.OnClick(sender: TObject);
begin
--- [код программы] ---
0159D49A CALL (пишет в StringGrid: Creating Image File)
0159D4A5 CALL (создаёт то, что писал ^. Извлекает криптованные SMG из SHX)
0159D4AC (JUMP, если нет ошибки на 0159D554)
* * *
0159D554 (не важно!)
0159D565 CALL (всё остальное: Loading Boot, Erase, ... , FLASH COMPLETED!!!)
^^^ я сюда, а вы??? ^^^
--- [код программы] ---
end;

А вот OllyDBG колом встаёт на бряках... Фонарё'к... <_<

[T-Troll]

Lord-3X: В результате исследований я пришёл к выводу, что иначе не выйдет !!!

Выйдет.

У меня такая идея есть - дело в том, что загрузить сам JAR в телефон не проблема, проблема в том, чтобы прошивка его распознавала и добавляла в "игры" или "office tools".
Так что ИМНСХО оптимальный солюшн - поправить прошивку, дабы сканила зону, например, pictures и добавляла найденные JAD/JAR в games. Сейчас под игры там отдельная зона, загрузить в которую просто не дают.

Над этим сейчас и работаю.

Я думаю, что надо подождать прошивку от 450, врядли моторола что то сильное замутила. Очень похоже на ряд Simiensов A,C,S.. Железо, похоже, одно и тож. На счет RTС - похоже они гонят, на моем C350 часы идут при выключенном телефоне (а без батареи он и так не включится). Может они там частоту CPU подняли, может памяти добавили, но все это не принципиально!. Задача сейчас получить декриптовать SHX файл, что бы копнуть прошивку. Я пробую чейчас PST.dll посредством IDA4.20 раскусить. Добрался до PSTWriteData, копаюсь в нем...
Кстати PST.dll свободно подключается к программе, я даже детекчу телефон с ее помощью.

P.S. Надежда умирает последней. Если что, куплю c450.

Появилась еще одна мысль. После прочтения фака по заливке явы в 720. Правда для этого нужен и с350 и 720. Можно при выборе нового KJava файла в ПСТ сравнить ответ 720 и с350
(на с350 пишет что телефон либо не поддерживает яву либо она не включена)

Задача сейчас получить декриптовать SHX файл, что бы копнуть прошивку. Я пробую чейчас PST.dll посредством IDA4.20 раскусить. Добрался до PSTWriteData, копаюсь в нем...

Jhon, а что по поводу моих выкладок??? :o Я же показал адреса в моём последнем топике: 0159D565 CALL (всё остальное: Loading Boot, Erase, ... , FLASH COMPLETED!!!). Используя TRW2k (или SoftIce). По поводу получить: смотри предыдущие страницы. Там линк на мою прогу, она выдёргивает...ещё раз даю расклады:
//------------------------------------------------------------------------------------------
1. SHX состоит из 4-х файлов !!!
2. Эти 4 - 'Motorola S-Records' файлы !!!
3. Моя прога дёргает эти 4 файла в *.BIN (учитывая формат !!!)
4. BIN'ы получаются такие же как и временные SMG файлы ПСТ.

>bpx 159d49a в TRW2000 (ставиш бряк)
>CTRL+N
>Жмёшь "Flash"
>выскакивает окно TRW (реакция на бряк)
>жмёшь F10 - пишет в StringGrid: Creating Image File (это и есть SMG)
>жмёшь F10 по адресу 159d4a5 - создаёт эти SMG!!!
>...
>далее мы попадаем на 159d565 CALL z..z, там идёт вызываются оставшиеся процедуры: загрузка bootloader, и т.д. Если нажать F10, то ПСТ их сделает все, в стринггрид'е будет надпись: FLASH COMPLETED !!! И вернёт управление TRW, и адрес будет следующий за 159d565, следовательно - надо заходить в 159d565 по F8 !!! И рыть ТАМ !!!!!!!

5. SMG и BIN - одно и тоже! Они закрипчены...
//------------------------------------------------------------------------------------------

Помогите достать IDA Pro 4.5 !!!!!!!!!!!!! У меня есть плагин для декомпилляции C под v4.5 - всяко удобочитаемость повысится...

загрузить сам JAR в телефон не проблема

T-Troll, - Как? Поясни-ка пожалуйста. (Не MBE.exe - это факт !!!)

Сейчас под игры там отдельная зона, загрузить в которую просто не дают.

Что за зона? Кинь линк на источник этой инфы. Довольно-таки интересно!

сравнить ответ 720 и с350

Теоретически - возможно. А практически я пока немогу, т.к. 1) T720 у меня нет, 2) USB и COM , 3) 2р. трасить ПСТ.
Пока 1 раз хочу до ума довести - снять крипт.

А вообще мне нравится, что народ подключается (Эх дубинушка, ухнем... и по (o) )

Lord-3X, я до BIN уже дошел. Ищу и смотрю как и где они расшифровываются.
А IDA 4.3 сам C понимает. Проблема в том что Motorola "запорола" таблицу импорта, во вторых при инициализации PCT.DLL рабочий кусок кода перекидывается c 0x10019000 в 0x10011000-0x10019000 при этом хитрым образом через 4 байта. Собственно я обработал PCT.DLL в IDA, потом добовлял в проект дампы реальных адресов, которые выдергивал своей софтиной после инициализации PST.DLL.

Вообще я смотрю MultiFlashFlex Tool V1.4
Распределение памяти (из того что в каталоге PST ):
0x10000000 len 0x25000 - PST.dll
0x012F0000 len 0x3B000 - PST_FP_Flash.dll
0x01180000 len 0x09000 - PST_FP_FlashDevApi.dll
0x01180000 len 0x23000 - UniBus_PRJ_Engine.dll

и все. Для всех этих DLL адреса стандартные. Хоть я их к своей проге подключу.

Так вот:
UPX0:10001790 ; Exported entry 60. PSTWriteData
UPX0:10001790
UPX0:10001790 public PSTWriteData
UPX0:10001790 PSTWriteData:
UPX0:10001790 sub esp, 8
UPX0:10001793 call sub_10013959 ; mov eax, 1001B2C0h
UPX0:10001793
UPX0:10001798 push eax
UPX0:10001799 lea ecx, [esp+4]
UPX0:1000179D call sub_10013510 ; -> 6C3E0F27h
UPX0:1000179D
UPX0:100017A2 mov eax, [esp+20h]
UPX0:100017A6 mov ecx, [esp+1Ch]
UPX0:100017AA mov edx, [esp+18h]
UPX0:100017AE push eax
UPX0:100017AF mov eax, [esp+18h]
UPX0:100017B3 push ecx
UPX0:100017B4 mov ecx, [esp+18h]
UPX0:100017B8 push edx
UPX0:100017B9 mov edx, [esp+18h]
UPX0:100017BD push eax
UPX0:100017BE push ecx
UPX0:100017BF push edx
UPX0:100017C0 call sub_1000CEA0 ; eax=659AD6BCh
UPX0:100017C0
UPX0:100017C5 mov ecx, eax
UPX0:100017C7 call SUB_WR2PH
UPX0:100017C7
UPX0:100017CC mov ecx, [esp+4]
UPX0:100017D0 mov edx, [esp+0]
UPX0:100017D4 mov [ecx+4], edx
UPX0:100017D7 add esp, 8
UPX0:100017DA retn
UPX0:100017DA
UPX0:100017DA ; ---------------------------------------------------------------------------

UPX0:1000C980 SUB_WR2PH proc near ; CODE XREF: UPX0:100017C7p
UPX0:1000C980
UPX0:1000C980 arg_0 = dword ptr 4
UPX0:1000C980 arg_4 = dword ptr 8
UPX0:1000C980 arg_8 = dword ptr 0Ch
UPX0:1000C980 arg_C = dword ptr 10h
UPX0:1000C980 arg_10 = dword ptr 14h
UPX0:1000C980 arg_14 = dword ptr 18h
UPX0:1000C980
UPX0:1000C980 call sub_10002BF0
UPX0:1000C980
UPX0:1000C985 call sub_10002DC0
UPX0:1000C985
UPX0:1000C98A test eax, eax
UPX0:1000C98C jnz short locret_1000C9B8
UPX0:1000C98C
UPX0:1000C98E mov eax, [esp+arg_14]
UPX0:1000C992 mov ecx, [esp+arg_10]
UPX0:1000C996 mov edx, [esp+arg_C]
UPX0:1000C99A push eax
UPX0:1000C99B mov eax, [esp+4+arg_8]
UPX0:1000C99F push ecx
UPX0:1000C9A0 mov ecx, [esp+8+arg_4]
UPX0:1000C9A4 push edx
UPX0:1000C9A5 mov edx, [esp+0Ch+arg_0]
UPX0:1000C9A9 push eax
UPX0:1000C9AA push ecx
UPX0:1000C9AB push edx
UPX0:1000C9AC call sub_10008530 ; eax = 671D3802h
UPX0:1000C9AC
UPX0:1000C9B1 mov ecx, eax
UPX0:1000C9B3 call sub_100086B0 ; <--- Вот тут то и вся фишка зарыта
UPX0:1000C9B3
UPX0:1000C9B8
UPX0:1000C9B8 locret_1000C9B8: ; CODE XREF: SUB_WR2PH+Cj
UPX0:1000C9B8 retn 18h
UPX0:1000C9B8
UPX0:1000C9B8 SUB_WR2PH endp



"Гребанные" моторольщики извратили все до нельзя. Идет манипуляция регистрами (вызов подпрограммы где в EAX грузится число/адрес) потом "колбасится" стек, потом:
UPX0:100086F8 mov ecx, [esp+1Ch+arg_14]
UPX0:100086FC mov edx, [eax]
UPX0:100086FE push ecx
UPX0:100086FF mov ecx, [esp+20h+arg_10]
UPX0:10008703 push ecx
UPX0:10008704 mov ecx, [esp+24h+arg_C]
UPX0:10008708 push ecx
UPX0:10008709 mov ecx, [esp+28h+arg_8]
UPX0:1000870D push ecx
UPX0:1000870E mov ecx, [esp+2Ch+arg_4]
UPX0:10008712 push ecx
UPX0:10008713 mov ecx, eax
UPX0:10008715 call dword ptr [edx+0Ch]

Так мне трассировать нечем, у меня шнурка нет, а вычислить адрес перехода - краша завернулась.
Если можешь, помоги.

SmasH,
Ты скажи где видел и у кого...
А то я уж такое много раз слышал....

SmasH, - спасибо за информацию... :)

Что я думаю (даже не думая кого-то обидеть (o) ):
1. В соседнем форуме ПРОШИВКИ бурно шли, идут и будут идти дискуссии по-поводу 74R. Есть много однострочных, ленивых и банальных постов, повторяющихся через каждые три страницы. Ссылок - нет !!!
2. В соседнем форуме ИГРЫ бурно шли, идут и будут идти дискуссии по-поводу JAVA. Ссылки - есть, только характер написанного напоминает что-то из оперы пудренья мозгов или попытки буржуев нажиться на чужом горе, либо одно из двух.
3. По поводу "ТАМ НАПИСАНО": на заборе тож написано, а там дрова. :D
4. Есть сайт GSM HOSTING, про который хорошо все знают. По моему опыту - там находится то, что порой с трудом находит ГУГЛЬ. На ГСМ хостинге тихо.
5. Я предпочитаю действовать, а не ждать.
6. Пока сам не увижу - не поверю! (Изходя из 1-го и 2-го)
7. Даже если и есть в 74R JAVA, то я опираюсь в своих трудах не на неё, а на одного красавчика, который из J70 Гейм Бой сделал... Если бы мог, то лично пожал бы ему руку.
8. Просто я очень люблю ASM, взлом и т.д. И мне даже просто будет интересно поменять слова в телефоне, н-р: 'Поиск сети ' на 'Ищу тебя' или что-то подобное.
9. Пишу здесь, потомучто хочу поделиться с народом. Какая мне разница: 1) буду я один с фитчёвым телефоном или ещё кто. Даже мож кто добрым словом вспомнит когда-нить. 2) Мож кто поможет. Ключ декрипта узнают все, т.к. я постоянно делаю выкладки проделанной работы. Исходники все выложу.

UPX0:1000C9B1 mov ecx, eax

UPX0:1000C9B3 call sub_100086B0 ; <--- Вот тут то и вся фишка зарыта

Стандартный прикол всяких упаковщиков. SafeDisk так чудит тоже.
Ты попробуй все файлы разжать (UPX енто)... На предыдущих страницах я писал как это сделать. А сафедиск, так вообще по EXE'шнику, как бешаный горный козёл по горам скачет. Пудрево мозгов, да и только. А как только OEP найдёшь, так всё на свои места встаёт, кроме таблиц ИМПОРТА, но не вслучае UPX !!! Всё прекрасно разжимается... ;)

Видел в продаже:
смотрю на ценнике написанно J2ME - не поверил... попросил посмотреть - и правда в основоном меню вывели пункт "Дополнительные", а там свойства-закачки.
посмотрел прошивку 74R
что самое интересное - цвет корпуса оригинальной поставки - синий

Наверное уже можно по сервис центрам пробежать насчет новой прошивки, на инет пока надежды мало.

[T-Troll]

Lord-3X Отвечаю на оба вопроса.
Через MBE или нет - неважно. Важно, что через ems + немного обработать напильником в виде hex-editor.

Информация про зоны и вообще архитектуру платформы Нептун от самих Мотороллеров - моя контора их авторизованные девелоперы. Доки они обещали подогнать, но пока их у меня нет (хотя кое-что можно выяснить при _внимательном_ прочтении Guides на их девелоперском сайте)- иначе я был бы конкретнее в том, как и что. Можешь позадавать вопросы, постараюсь у них выяснить. Но, естетственно, про алгоритмы заливки и криптования они ничего не скажут.

Ты делаешь очень нужное дело по расшифровке прошивки, если получится - чует мое сердце изменения там будут минимальные.