Обход подписи RSA на L7e, K1, Z3, ну вот и всё... свершилось Поделиться Опции

[GandjaFuzz]

РЕБЯТА, Я ВАС ПОЗДРАВЛЯЮ!!! ВОТ И ЗАКОНЧИЛОСЬ МУЧЕНИЕ С RSA НА L7E K1 Z3!!!
Спасибо говорим мне - GandjaFuzz, TEQUILA, Vilko, HDD-Killer и всем тем, кто принимал участие в проекте...

Отличная новость - Снятие RSA без Тест-пойнта и разбора телефона

В общем суть методики обхода RSA такая же, как и на всех LTE2. Дело было в буте, как всем известно, мы просто понижаем сейчас бут до версии 08.A0 и используем обычную методику обхода RSA для LTE2, но это ещё не всё, нужно, также, применить мой патч Run_Phone_Lte2, он, в основном, даёт запуск прошивке.

НЕ УВЕРЕН - НЕ ДЕЛАЙ!

ПЕРЕД ПРОЦЕДУРОЙ - СНИМИ БЭКАП ВСЕХ ЗОН (ВКЛЮЧАЯ PDS) c помощью этого профиля и загрузчика для FB (ЧЕРЕЗ ТП) !!!

В случае Z3 необходимо перед этим прошить заводскую прошивку 0DR через RSDlite. Это ВАЖНО!

Все, что тут описано, вы делаете на свой страх и риск!
Мы не отвечаем за убитые вами телефоны (у тестовой команды все получалось)!
Мы не будем помогать их восстанавливать!!! На это есть тема Поднятие убитых L7e/Z3/K1/L9!!!
--------------------------------------------------------------------------------
!!!ВНИМАНИЕ ДЕТАЛЬНЫЙ FAQ по обходу RSA на примере Z3!!!
Фак по L7e от Ost'ы
----------------------------------------------------------------------------------
Инструкция для лентяев и новичков
1) Скачиваем прошивку
для L7E эту => sw_for_RSA_Final_with_Last_Dual_L7e_01.0AR
установленные патчи: *полномочия явы + корелет *работает кнопка итюнс *вызов через п2крежим дуалбут
для Z3 эту => http://gandjafuzz.ifolder.ru/2877680
2) Замыкаем ТП - БЕЗ ТП НЕЛЬЗЯ НИКАК - подробности тут - FAQ по ТП на L7e
3) Подсоединяем тел к компьютеру и запускаем программку RAMLDR2, которая прикреплена ниже;
4) Жмём Send Loader, программа отпишется "ready";
5) Жмём Write Boot - заливаем Boot_0AC0_patch.bin (после этого, когда включим телефон, он будет в бланке -> это нормально), должен отписаться OK;
6) Прошиваем прошивку в Random's Developments Flash&backup с выбранным профилем вашей модели телефона
7) Включаем телефон, он снова в бланке,
запускаем программку RAMLDR2, которая прикреплена ниже;
8) Жмём Send Loader, программа отпишется "ready";
9) Жмём Write Boot - заливаем Boot_Start_SW.bin (программа снова должна отписать OK.)
10) Включаем телефон, и радуемся отмене RSA и ДуалБуту и всему, что в прошивке пропатчено
------------------------------------------------------------------------------------
Небольшая инструкция ТОЛЬКО для тех кто шарит
1) Сливаем с телефона при помощи програмы https://forum.motofan.ru/index.php?showforum=143 Flash&backup (версии не ниже 3.0.2) кодовые группы CG1, CG3, CG7, CG18. Пакуем в https://forum.motofan.ru/index.php?showforum=143 Flash&backup (сразу в Random's Developments Flash&backup выбираем тип бэкапа .https://forum.motofan.ru/index.php?showforum=143 Flash&backup);
2) Открываем в обработчике прошивки (тот же Random's Developments Flash&backup) полученный рефлеш, и ставим галочку на отмену RSA для LTE2;
3) Далее вытаскиваем из Random's Developments Flash&backup-архива (это обычный cab) CG1 и применяем к ней мой патч Run_Phone_Lte2 (запускаем мою прогу и показываем ей, где лежит ваш cg1);
4) Собираем прошивку;
5) Замыкаем ТП - БЕЗ ТП НЕЛЬЗЯ НИКАК - подробности тут - FAQ по ТП на L7e
6) Подсоединяем тел к компьютеру и запускаем программку RAMLDR2, которая прикреплена ниже;
7) Жмём Send Loader, программа отпишется "ready";
8) Жмём Write Boot - заливаем Boot_0AC0_patch.bin (после этого, когда включим телефон, он будет в бланке -> это нормально), должен отписаться OK;
9) Устанавливаем дуал-бут: в CG7 прописать по адресу C82: 4801 6800 4700 13FE 0014
а сам бут залить по адресу 0x13FE0000 вместо CG18 (чтобы дуал включался из самой прошивки, посредством фб и других программ, надо сделать патч для CG1. Ищите в соотв. темах)
10) Прошиваем ту прошивку, которую собрали (CG1, CG3, CG7, CG18) ЧЕРЕЗ ТП;
11) Включаем телефон, он снова в бланке, проделываем пункты 7, 8 только при этом заливаем уже Boot_Start_SW.bin, программа снова должна отписать OK.
12) Включаем телефон, и радуемся отмене RSA
------------------------------------------------------------------------------------
Скачать DualBoot 3.3
ДЛЯ L7E
ДЛЯ Z3
ДЛЯ K1
------------------------------------------------------------------------------------
У кого была ошибка телефона - Critical Error DEDE 00AD, сделайте всё как написано выше, телефон ваш восстановится (уже восстановили 2 телефона)...
------------------------------------------------------------------------------------
ПОСЛЕ ТОГО КАК СНИМИТЕ РСА, ПРОЧИТАЙТЕ ЭТУ ТЕМУ
Калибровка батареи Z3;L7i;L7e
------------------------------------------------------------------------------------
ФЛУД НЕ ПРИВЕТСТВУЕТСЯ!!!!
Сообщения не по теме буду караться баном!!! Все мануалы и нужные ответы на вопросы есть в закреплённом посте!!!

Ссылки на схемы по ТП
|______L7e______|_______K1_______|______Z3_______|


Сообщение отредактировал GandjaFuzz - 19.1.2008, 22:39

[alexxx32]

...можно отмониторить различный софт (типа сматрклипа) который умеит менять ИМЕИ, но такого пака нет.

У меня есть доступ к смартклипу. Напиши сюда или мне в личку что - как - чем делать, подробно по каждому шагу.

[TEQUILA]

ЧЕКriz,
toolkit для замены графики в dualboot. Прописан в ini дуал для Z3 но имхо должно для всех работать

Так, здесь это ОФФТОП!

все обсуждения о дуал буте переносим в соответсвующую тему
Dualboot

Модер, перенеси это в ту тему, плиз

Сообщение отредактировал TEQUILA - 30.9.2007, 19:13

[bfielding]

GandjaFuzz,

Я потратил много времени на изучение этого способа, и хорошо его освоил. Вскоре я его опробую на L9, но у меня есть несколько вопросов:

В результате сравнения Boot_0AC0_Patch.bin и стандартного Boot_0AC0, я заметил разницу только в оффсете 00000000, в котором теперь находится значение FFFFFFFFFFFFFFFF.

Я могу использовать Boot_0AC0_Patch который ты сделал, или будет лучше пропатчить Boot_07C0?

Я изучал изменения, которые сделал Run_Phone патчер в прошивке 22.05R для L9, и уверен, что программа пропатчила необходимый участок кода. Вот оффсеты, которые она затронула в 22.05R: 77050, 8627DC и CC2CD4.

Чей дуалбут думаешь лучше использовать, от Z3 или L7e?

После изучения Boot_Start_SW.bin, я понял, что буду использовать именно его, потому что не смогу сам сделать бут основанный на 07.C0.

Какой профиль мне стоит использовать в программе P2K Easy Tools 3.9, чтобы снять бекап загрузчика и PDS зоны после проделывания тест поинта?

Я буду ждать твоего ответа.
Заранее благодарю.

Сообщение отредактировал bfielding - 1.10.2007, 7:00

[GandjaFuzz]

bfielding,
бут Boot_0AC0_Patch.bin можешь использовать. ничего страшного не будет.
дуал лучше испольщовать от L7e. но полноценной работы не будет ибо адреса другие ирома. возможно вообще он откажется работать.! но на запуск прошивки и отмены её рса он никак не повлияет. просто не будет входить в дуал бут
Программой P2K Easy Tools 3.9 в данном случае тебе лучше вообще не пользоваться. а лучше создать профиль для ФБ с лоадером от Л9. а чтобы снять пдс тебе никак это не сделатью. но не бойся твой пдс никак не запаганится если ты конечно же не будешь на него лить что-либо

Сообщение отредактировал GandjaFuzz - 1.10.2007, 10:48

[Рождённый в СССР]

слить пдс неполучится т.к. иром в л9 версии 0400. и стандартный загрузчик от л9 недаёт полного доступа к памяти тела. а воще у меня знакомый програмер rockerdongle который умеет менять имей на л9. но просить унего что либо бесполезно. а вот направить в нужное русло он может.

[ЧЕКriz]

Расскажите как через Bootscreen_Replacer поменять графику в БУТЕ

Добавлено позже (2.10.2007, 15:29):

Расскажите как через Bootscreen_Replacer поменять графику в БУТЕ. И добавьте пункт дуалбут для l7e

[Norrby]

Switching to flash mode
Loader sending at addres 03FD0000AD
Switching to flash mode
USB: IO Time-out!
Switching to flash mode
USB: IO Time-out!

Такая штука, что делать, заново заходить пробывал не помагает пробывал не помогает!

[TEQUILA]

ЧЕКriz, открыть бут (bin/smg), выбрать слева в списке Dualboot и открыть свою картинку (Load..), а потом схоранить бут (Save Flash)

Norrby, плохо замкнул ТП. Читай инструкции.

[Wildi]

Опишите создание прошивки для К1 пожалуйста!
может кто может выложить готовую прошивку для К1
(Как установить дуалбут в СГ7 и по какому адресу его установить)

Сообщение отредактировал Wildi - 3.10.2007, 17:10

[Pieeer]

Дайте плизз нормальную не битую сцилку на прошивку для ленивых Л7е, атто ТП с горем пополам сделал а дальше застопорилось

[Osta]

сцилку на прошивку для ленивых Л7е,

_http://ftp.motofan.ru/Proshivki/L7e_GandjaFuzz_SW_v.1.0.2.fsw

[awp16]

скиньте пожайлуста прошу для лентяев, для К1

[deep312]

А ведуться ли работы по обходу РСА без ТП? Или нашли "железное" решение проблемы и на этом остановились? Видел в нескольких топиках такой вопрос, но не помню,чтобы кто-то на него отвечал.

[HDD-Killer]

deep312, Нет... И не планируются... Защита в родном для этих телефонов буте достаточно серьезная, и обойти ее пока не представляется возможным: суть любого метода - заставить бут проверять другую область (вместо той, с которой снимается защита). Так как бут определяет, что проверять по точке входа, то суть "старого" метода для LTE2 в том, что бы изменить точку входа, а там джамп на правельную... Тогда бут будет проверять тот блок, в который указывает точка входа. Но в новом буте адрес точки входа "защищен" от изменений - бут проверяет, входит ли он в подписаный блок.
Таким образом, единственное решение - заменить сам бут, но без ТП сделать этого нельзя, если конечно у тебя нет подписанного(!) лоадера, умеющего затирать адресное пространство бута))))

[Vilko]

deep312,
работы не ведутся, ибо единственные 2 пути давно найдены:
1 - найти подписной лоадер, позволяющий стрирать бут
2 - поломать подпись (т.е. вскрыть ключ RSA)
если осуществишь любой из них - ТП не понадобится. удачи! )

[Umka85]

bfielding,
дуал лучше испольщовать от L7e. но полноценной работы не будет ибо адреса другие ирома. возможно вообще он откажется работать.! но на запуск прошивки и отмены её рса он никак не повлияет. просто не будет входить в дуал бут

А дуал бут для L9 сейчас сделать нельзя? Или его только после обхода RSA.

[GandjaFuzz]

Umka85,
можно и сейчас, но только от него не будет. Рса у него надо обходить

[blato]

Umka85,
можно и сейчас, но только от него не будет. Рса у него надо обходить

я правильно понимаю что сейчас на L9 мешает только отсутствие загрузчика могущего заменить бут ?

[Umka85]

bfielding, как у тебя дела со взломом L9?

Сообщение отредактировал Umka85 - 12.10.2007, 17:27

[Loki69]

Все зделал как описуется в инструктаже!!!!!!!
Телефон распознается компом как неизвестное устройство!!!!
Что делать???

[bag]

Loki69
до этого нормально распозновался? опиши ситуацию полностью

[motoron]

Юго, замыкай правильно ТП, и после

3) Подсоединяем тел к компьютеру и запускаем программку RAMLDR2, которая прикреплена ниже;

проволочку необходимо убрать (причем аккуратно чтоб не замкнуть другие детали)
проверить что телефон в бланке можно RSD Lite

Сообщение отредактировал motoron - 19.10.2007, 5:55

[Rezak 18]

Народ помогите! Не прошивается во flash&backup, на телефон пишет "Critical Error DEA1".
Что это за ошибка и как от неё избавиться?

[Offset]

Rezak 18, что не прошивется? ты распиши всё что делал с телом...

P.S. если чё стукни в асю, попробую помочь

[Rezak 18]

Описываю:
1. Делаю замыкание ТП;
2. телефон обнаруживается и в флешбекапе и рамлдр2;
3. заливаю в рамлдр2 бут Boot_0AC0_patch;
4. телефон с выключенным экраном;
5. во флешбекапе выбираю запись данных и прошивку X-Moto;
6. нажимаю прошить;
7. Начинается прошивание и появляются ошибки с этого момента: "Стирание памяти (процесс не отображается)
Ошибка...;
8. на телефоне выскакивает Critical Error DEA1.

[Offset]

другие проши пробывал шить? например для ленивых...
и у тебя ралдр2 отписался "ок" ???

[Rezak 18]

другие проши пробывал например эту - 01.0AR - in poeple.fsw, таже тема.
рамлдр2 OK не отписывался

[TEQUILA]

Rezak 18, прошивай прошивку через ТП, так же как и бут

[люмен]

это как?

Открываешь F&B, тыкаешь тест поинт и прошиваешь. Элементарно.

Сообщение отредактировал люмен - 21.10.2007, 12:17

[sadface]

Rezak 18,
прошей прошивку через ТП было точно также... замкнул ТП прошил прошивку и всё ок стало.

[friend 1]

Кстати что я заметил что после того как залили прошу Ганжи с бутом то потом ТП можно и не замыкать (если вы конечно не влили какую нить левую прошивку и тел не отправился в вечный бут) а телефон можно и вручную перевести в бланк

[Рождённый в СССР]

вощем так разговаривал с челом из команды rockerdongle. он сказал что снять РСА на л9 пока непредстовляется возможным. пока токо разлок. но работа идёт

[ipasok]

Подскажите, что делать? Как сделал обход RSA перестали читаться данные в Flash&Back, прога пишет:
Переключение во Flash-режим
Запись загрузчика...
Ошибка!
Выполнение команды JUMP...
Ошибка!
и т.д.
RSD видит загрузчик 0208, в flash mode: Boot Loader By GandjaFuzz & Vilko SW Version: R452D_G_08.01.0AR
Может мне как-то перейти на другой загрузчик через RAMDLR2 ?

[Osta]

Подскажите, что делать? Как сделал обход RSA перестали читаться данные в Flash&Back, прога пишет:
Переключение во Flash-режим

похоже у тебя недопатчена прошивка этим

(чтобы дуал включался из самой прошивки, посредством фб и других программ, надо сделать патч для CG1. Ищите в соотв. темах)

тоесть СНАЧАЛА входишь в boot по 3-м кнопкам , а ПОТОМ

читаться данные в Flash&Back

читаешь данные

Сообщение отредактировал Osta - 24.10.2007, 12:04

[ipasok]

Спасибо, Osta за подсказку. Через flash mode данные Flash&Back'ом считываются. Придётся мне повиниться - делал обход RSA по первому лентяйскому варианту, а пункт 6) выполнил неточно, надо ОБЯЗАТЕЛЬНО ОПЯТЬ ДЕЛАТЬ ТП перед прошивкой sw_ _01.0AR, я это правильно понял? Значит,
мне лучше снова повторить все пункты, или можно сделать как-нибудь без ТП ?

[Osta]

или можно сделать как-нибудь без ТП ?

зайди в boot и прошей мой рефлеш или sw_for..._L7e_01.0AR
на них уже всё сделано для того

чтобы дуал включался из самой прошивки, посредством фб и других программ,

[ipasok]

УРАА!! Прошил в boot'е F&B'ком рефлеш v2_osta.fsw. Теперь, надеюсь, всё будет путём. Спасибо автору.

[Diabolic53]

can anyone tell me how to add dual-boot to my phone ??? Please make an English Tutorial

[TEQUILA]

Diabolic53,
Manual
1) Read CG1, CG3, CG7, CG18 from phone. Pack as fb3 (FB3 - Backup format: FB3 (CAB-LZX archive) );
2) Open that reflash in "Firmwares", check "Remove RSA verification (new method for LTE2 phones)";
3) Unpack CG1 from fb3-archive (it's a 'cab' actually - WinRAR or Total Commander will unpack it), apply "Run_Phone_Lte2" (start autopatcher and select CG1);
4) Replace CG1 with patched one;
5) Connect TestPoint to "Ground"
6) Connect USB cable to phone and run RAMLDR2;
7) Hit "Send Loader", program must say "ready";
8) Hit "Write Boot" - select Boot_0AC0_patch.bin - must say "OK";
9) Add DualBoot: open CG7 and write from offset C82: 4801 6800 4700 13FE 0014,
replace CG18 with DualBoot (0x13FE0000)
10) Flash your reflash (CG1, CG3, CG7, CG18) with TP;
11) Turn phone on, connect USB cable to phone and run RAMLDR2;
12) Hit "Send Loader", program must say "ready";
13) Hit "Write Boot" - select Boot_Start_SW.bin - must say "OK";
14) Finish.

[Diabolic53]

thx will try this and see if it works ... by the way is it possible to add dualboot without TP???/

Сообщение отредактировал Diabolic53 - 25.10.2007, 13:04