Обход подписи RSA на L7e, K1, Z3, ну вот и всё... свершилось Поделиться Опции

[GandjaFuzz]

РЕБЯТА, Я ВАС ПОЗДРАВЛЯЮ!!! ВОТ И ЗАКОНЧИЛОСЬ МУЧЕНИЕ С RSA НА L7E K1 Z3!!!
Спасибо говорим мне - GandjaFuzz, TEQUILA, Vilko, HDD-Killer и всем тем, кто принимал участие в проекте...

Отличная новость - Снятие RSA без Тест-пойнта и разбора телефона

В общем суть методики обхода RSA такая же, как и на всех LTE2. Дело было в буте, как всем известно, мы просто понижаем сейчас бут до версии 08.A0 и используем обычную методику обхода RSA для LTE2, но это ещё не всё, нужно, также, применить мой патч Run_Phone_Lte2, он, в основном, даёт запуск прошивке.

НЕ УВЕРЕН - НЕ ДЕЛАЙ!

ПЕРЕД ПРОЦЕДУРОЙ - СНИМИ БЭКАП ВСЕХ ЗОН (ВКЛЮЧАЯ PDS) c помощью этого профиля и загрузчика для FB (ЧЕРЕЗ ТП) !!!

В случае Z3 необходимо перед этим прошить заводскую прошивку 0DR через RSDlite. Это ВАЖНО!

Все, что тут описано, вы делаете на свой страх и риск!
Мы не отвечаем за убитые вами телефоны (у тестовой команды все получалось)!
Мы не будем помогать их восстанавливать!!! На это есть тема Поднятие убитых L7e/Z3/K1/L9!!!
--------------------------------------------------------------------------------
!!!ВНИМАНИЕ ДЕТАЛЬНЫЙ FAQ по обходу RSA на примере Z3!!!
Фак по L7e от Ost'ы
----------------------------------------------------------------------------------
Инструкция для лентяев и новичков
1) Скачиваем прошивку
для L7E эту => sw_for_RSA_Final_with_Last_Dual_L7e_01.0AR
установленные патчи: *полномочия явы + корелет *работает кнопка итюнс *вызов через п2крежим дуалбут
для Z3 эту => http://gandjafuzz.ifolder.ru/2877680
2) Замыкаем ТП - БЕЗ ТП НЕЛЬЗЯ НИКАК - подробности тут - FAQ по ТП на L7e
3) Подсоединяем тел к компьютеру и запускаем программку RAMLDR2, которая прикреплена ниже;
4) Жмём Send Loader, программа отпишется "ready";
5) Жмём Write Boot - заливаем Boot_0AC0_patch.bin (после этого, когда включим телефон, он будет в бланке -> это нормально), должен отписаться OK;
6) Прошиваем прошивку в Random's Developments Flash&backup с выбранным профилем вашей модели телефона
7) Включаем телефон, он снова в бланке,
запускаем программку RAMLDR2, которая прикреплена ниже;
8) Жмём Send Loader, программа отпишется "ready";
9) Жмём Write Boot - заливаем Boot_Start_SW.bin (программа снова должна отписать OK.)
10) Включаем телефон, и радуемся отмене RSA и ДуалБуту и всему, что в прошивке пропатчено
------------------------------------------------------------------------------------
Небольшая инструкция ТОЛЬКО для тех кто шарит
1) Сливаем с телефона при помощи програмы https://forum.motofan.ru/index.php?showforum=143 Flash&backup (версии не ниже 3.0.2) кодовые группы CG1, CG3, CG7, CG18. Пакуем в https://forum.motofan.ru/index.php?showforum=143 Flash&backup (сразу в Random's Developments Flash&backup выбираем тип бэкапа .https://forum.motofan.ru/index.php?showforum=143 Flash&backup);
2) Открываем в обработчике прошивки (тот же Random's Developments Flash&backup) полученный рефлеш, и ставим галочку на отмену RSA для LTE2;
3) Далее вытаскиваем из Random's Developments Flash&backup-архива (это обычный cab) CG1 и применяем к ней мой патч Run_Phone_Lte2 (запускаем мою прогу и показываем ей, где лежит ваш cg1);
4) Собираем прошивку;
5) Замыкаем ТП - БЕЗ ТП НЕЛЬЗЯ НИКАК - подробности тут - FAQ по ТП на L7e
6) Подсоединяем тел к компьютеру и запускаем программку RAMLDR2, которая прикреплена ниже;
7) Жмём Send Loader, программа отпишется "ready";
8) Жмём Write Boot - заливаем Boot_0AC0_patch.bin (после этого, когда включим телефон, он будет в бланке -> это нормально), должен отписаться OK;
9) Устанавливаем дуал-бут: в CG7 прописать по адресу C82: 4801 6800 4700 13FE 0014
а сам бут залить по адресу 0x13FE0000 вместо CG18 (чтобы дуал включался из самой прошивки, посредством фб и других программ, надо сделать патч для CG1. Ищите в соотв. темах)
10) Прошиваем ту прошивку, которую собрали (CG1, CG3, CG7, CG18) ЧЕРЕЗ ТП;
11) Включаем телефон, он снова в бланке, проделываем пункты 7, 8 только при этом заливаем уже Boot_Start_SW.bin, программа снова должна отписать OK.
12) Включаем телефон, и радуемся отмене RSA
------------------------------------------------------------------------------------
Скачать DualBoot 3.3
ДЛЯ L7E
ДЛЯ Z3
ДЛЯ K1
------------------------------------------------------------------------------------
У кого была ошибка телефона - Critical Error DEDE 00AD, сделайте всё как написано выше, телефон ваш восстановится (уже восстановили 2 телефона)...
------------------------------------------------------------------------------------
ПОСЛЕ ТОГО КАК СНИМИТЕ РСА, ПРОЧИТАЙТЕ ЭТУ ТЕМУ
Калибровка батареи Z3;L7i;L7e
------------------------------------------------------------------------------------
ФЛУД НЕ ПРИВЕТСТВУЕТСЯ!!!!
Сообщения не по теме буду караться баном!!! Все мануалы и нужные ответы на вопросы есть в закреплённом посте!!!

Ссылки на схемы по ТП
|______L7e______|_______K1_______|______Z3_______|


Сообщение отредактировал GandjaFuzz - 19.1.2008, 22:39

[Osta]

итак , дождался я дуалбута как самый ленивый :-)
И на самый стандартный телефон L7e, без единого изменения,
прямо из магазина вообщем, всё поставил. Оказалось есть ньансы..

1. Что скачал :

FlashBackUp v.3.0.6 http://www.motorola-tools.com/backup-tool.php
RAMLDR2.exe этот
Boot_0AC0_patch.bin
Boot_Start_SW.bin
прошивку 01.0AR_patch4_to_Java_with_DUAL_BOOT.shx

2. Что предварительно сделал :
Бекап своего телефона во FlashBackUp v.3.0.6
распаковал в 1-ну папку RAMLDR2.exe + Boot_0AC0_patch.bin + Boot_Start_SW.bin
открутил 4-ре шурупа и снял защитный кожух
взял проводок от телефонной линии и один конец прикрутил к маховичку вибро-движка


3. Test-Point
телефон подключен без батареи к компу , на котором запущена прога RAMLDR2.exe
одной рукой подсовывал второй кончик провода туда где на рисунке точка test-pointa,
второй вставлял батарею и смотрел пока на RAMLDR2.exe не появиться внизу "connect",
а в логе программы "Switching to flash mode". Появились эти надписи, отсоединил второй
конец проволочки, который шёл на test-point . В проге все надписи остались.
Нажимаю в проге кнопку Send Loader -> в логе проги вижу такое :

Код

Switching to flash mode
Loader sending at addres 03FD0000AD
Switching to flash mode
USB: IO Time-out!
Switching to flash mode
USB: IO Time-out!

значит не то... отсоединяю батарею и опять проволкой в ТП и вставка батареи,
опять вижу в проге

Код

Switching to flash mode
Loader sending at addres 03FD0000AD
Switching to flash mode
USB: IO Time-out!
Switching to flash mode
USB: IO Time-out!

на экране телефона вообще sig err 35 02 :-(
и тут в асе мне GandjaFuzz говорит, что оказывается после неудачной
попытки залития Лоадера нужно Выключить/Включить прогу RAMLDR2.exe !! Воо..
Перезапустил прогу, опять провод на ТП и вставка батареи, Connect, убираю проволку,
жму кнопку Send Loader и вижу новый лог в проге

Код

Switching to flash mode
Loader sending at addres 03FD0000AD
Ready

оо, это оно, нажимаю кнопку Write Boot, выбираю Boot_0AC0_patch.bin
происходит заливка , перезагрузка телефона, надпись Connect.
Включаю FlashBackup и Выключаю RAMLDR2.exe . Выбираю Запись Данных -
выбрать файл прошивки - Обзор - 01.0AR_patch4_to_Java_with_DUAL_BOOT.shx - Запись
Пошёл покурил, потом вижу - всё прошилось, Включаю RAMLDR2.exe/Выключаю FlashBackup.
Вынимаю / вставляю батарею в телефон, жму вкл, в проге RAMLDR2.exe connect.

Нажимаю в ней жму кнопку Send Loader лог

Код

Switching to flash mode
Loader sending at addres 03FD0000AD
Ready

нажимаю кнопку Write Boot, выбираю Boot_Start_SW.bin лог :

Код

Write BOOT
OK
Shutdown
OK

отсоединяю от всего телефон , выключаю все проги и включаю телефон - работает :-)

Сообщение отредактировал Osta - 24.7.2007, 14:56

[danger86]

Отлично. Теперь со 100%-ной уверенностью можно сказать, что заменен родной бут.
Выкладываю готовый патч для 01.0AR (переименовать в *.fpa):
Для 04.05R (опять же портировался вслепую; переименовать в *.fpa):

Сообщение отредактировал DANGER86 - 28.7.2007, 10:31

[xmasloff]

Патч для прошивки R4527_G_08.22.11R (K1)
Пока не тестировался.
ЗЫ: Архив перезалил - F&B лагал на русские символы.

start_dualboot_K1_22_11R.rar   ( 296 байт ) Кол-во скачиваний: 1097

Паттерны для портирования на другие прошивки:

1-й адрес: 48186984F???????F???????21002035
2-й адрес: 1000000000000???B5F0486CB085AC01

------------------------------------------------

Все оказалось намного проще, чем я ожидал. Я собрал прошивку, состоящую только из правленного CG7 и CG18 (dual boot). Потом коротнул ТП и просто залил заготовленную прошиву.

Значит ли это, что ты не заливал Boot_0AC0_patch.bin и Boot_Start_SW.bin,
а сразу при первом ТП залил пропатченную прошивку с дуал бутом?

Сообщение отредактировал xmasloff - 31.7.2007, 12:07

[TEQUILA]

Внимание!
Детальный FAQ по обходу RSA на Z3
Дерзайте!

[xmasloff]

Забудь просто! Не нужен вам никакой дуал-бут! Забудьте и не флудите!

Добавлено позже (13.8.2007, 0:27):
Выкладываю первую бета-версию дуал-бута для К1 (с разрешения автора - GandjaFuzz).
Наконец-то работает!
Правда мусор на экране во флеш-моде, но работает наконец-то!!!
Спасибо GandjaFuzz огромное!!!

Сообщение отредактировал xmasloff - 12.8.2007, 20:33

[GandjaFuzz]

RATI_DV,
дайте ему права через разрешения.!

TO ALL
Выкладываю обновление дуал бута версия 3.0 - оптимизирована немного скорость заливки лоадера, добавлен графический режим.

DUAL VERSION 3

P.S. Утанавливать точно также как и предыдущую версию

Сообщение отредактировал GandjaFuzz - 19.9.2007, 20:58

[павлеГ]

ганже респект!
оч. круто.....всё работает....


Сообщение отредактировал павлеГ - 20.9.2007, 5:17

[TEQUILA]

не ставьте на Z3 пока... У меня не входил во флеш-мод по 3-м кнопками а через ФБ не лил загрузчик..

[MedAlex]

KoLoB88, ТП делать не надо. Через Flash Backup открой sw_1_0_2.rar и замени CG18 на DUAL VERSION 3. Вот тебе и прошивка для новичков с последним дуалом. Шей в тел и юзай!
GandjaFuzz, респект! Все работает, во флеш по трем кнопкам входит.