26.6.2007, 8:18
Слезаем с 373_79 прошивки на Е1_0А02
(Также слезаем с «адаптированных для работы после 79 прошивки» монстров )
ВНИМАНИЕ: проблема привыкания к 79 прошивке актуальна ТОЛЬКО для бута 0А02 (0А00-0А05). На буте 07Д0 и подобных проблем нет никаких!
Примечание: по логике вещей, с 79 прошивки на буте 0А02 (0А00-0А05) без потерь слезть нельзя, т.к. её версия безопасности прописывается не только в ПДС ( который мы умеем менять), но и в ОТР, который изменить невозможно (только дописать). Однако, иногда с 79 прошивки удается слезть полностью... Поэтому будет описано две методики: сначала экспериментальная (поможет бесследно слезть с вероятностью 1%, не мешает впоследствии воспользоваться второй методикой), потом 100% рабочая.
Экспериментальный метод:
Возможно сработает, если телефон был прошит 79 прошивкой и после этого не пытались его перешить на 4х
1. Берем 4х прошивку для 0А02 и Флэшбэкап3.
2. Снимаем RSA (используем ТОЛЬКО новый метод для LTE2) - Но если RSA уже снята , то пропускаем этот шаг. (RSA уже снята - если на прошивке стоят и работают патчи)
3. Открываем прошивку в "обработке прошивок" и сохраняем в несжатые бинарные файлы (т.е. просто разбираем прошивку на кодовые группы).
4. Патчим сг1 автопатчем RunPhone_lte
https://forum.motofan.ru/index.php?act=Attach&type=post&id=131001
5. Собираем прошивку и прошиваем телефон. (Настоятельно рекомендую шить RSDlite, на флэшбэкапе возможен sig. errror)
Запустилось? ПОВЕЗЛО! Все, слезли. После этого можно шить любую 4х-6х прошивку без ограничений.
Не запустилось? Переходим к следующему методу
100% рабочий метод:
Теория (в чем корень проблемы):
В прошивке (cg1) по оффсетам 1A-1B лежит word (число размером 2 байта), который называется pds sequrity version. Этот оффсет должен быть равен значению определенного сима (2E7) и быть не меньше чем значение в ОТП. Сим 2Е7 в нормальных условиях заблокирован от чтения/записи (не проблема). Проверка ОТП добавлена в 0А02 буте и не существует на 07Д0.
Значения pds sequrity version разных прошивок
Бут 0А02 записывает версию в OTP (однократно программируемую память), причём изначально там записано 0000 и можно только менять 0 на 1, но не обратно. Таким образом, возможны 17 (2 байта = 16 бит+ нулевое состояние) версий (sequrity version) прошивок (по нарастающей):
При старте бут 0А02 проверяет значение в ОТП и если там:
1. Версия больше, чем у прошивки (прошили 4х после 79) - не запускает прошивку.
2. Версия совпадает (после 79 прошили 79 или после 4х прошили 4х) - нет проблем, разрешает дальнейший запуск.
3. Версия меньше (после 4х прошили 79) - обновляет, записывая в ОТП очередную 1.
поменять ОТР в обратную сторону мы не можем
Но мы можем поменять содержимое cg1!!!
Практика:
Берём и ставим на прошивку патч такого вида:
(либо 0001B: 01, что одно и то же)
Патч прилагается: ver_as_79R.zip
Что делает этот патч? Он в CG1 меняет версию sequrity version на 0001, т.е. прошивка с таким патчем имеет версию "как у 79" и бут разрешает ей запускаться.
(Для работы патча на буте 0А02 должна быть снята RSA по методике для LTE2) Рекомендуется воспользоваться готовым монстром с дуалбутом, например mpx v2 или mpx deluxe, the live и т.п. для бута 0А02
С этим патчем уже не требуется редактировать ПДС, т.к. сим 02Е7 имеет нормальное для 79 прошивки значение 00 01. Но этот патч у вас будет нужен ВСЕГДА при прошивке (кроме применения собственно 79 прошивки), т.к. запись в ОТР осталась и никуда не делась.
Ещё совет:
Но если понизить бут до 07Д0 - то проверка ОТР происходить не будет, и проблем с привыканием к 79 тоже не будет.
Особо отмечу, что прошивки с RSA, снятой по методике LTE2, работают как на буте 0А02, так и на буте 07Д0 без изменений, т.е. не зависят от версии бута. Поэтому самый простой способ забыть о 79 прошивке - это понизить бут до 07Д0 и забыть о 0А02 и его строгих проверках.
Понижение бута происходит двумя шагами (степами), тема тут:
Слезаем с бута 0A.02, 0A.05 без ТП
Обратите внимание - степ1 из этой темы также должен быть пропатчен ver_as_79R.zip!
Мануал написан при информационной поддержке Vilko, аппаратная поддержка - DonOmar. Экспериментальная методика - GandjaFuzz.
Также благодарность Random за программы и предоставленную версию дуалбута для 0А02.
Сообщение отредактировал AlexKooper - 8.4.2009, 9:03
(Также слезаем с «адаптированных для работы после 79 прошивки» монстров )
ВНИМАНИЕ: проблема привыкания к 79 прошивке актуальна ТОЛЬКО для бута 0А02 (0А00-0А05). На буте 07Д0 и подобных проблем нет никаких!
Примечание: по логике вещей, с 79 прошивки на буте 0А02 (0А00-0А05) без потерь слезть нельзя, т.к. её версия безопасности прописывается не только в ПДС ( который мы умеем менять), но и в ОТР, который изменить невозможно (только дописать). Однако, иногда с 79 прошивки удается слезть полностью... Поэтому будет описано две методики: сначала экспериментальная (поможет бесследно слезть с вероятностью 1%, не мешает впоследствии воспользоваться второй методикой), потом 100% рабочая.
Экспериментальный метод:
Возможно сработает, если телефон был прошит 79 прошивкой и после этого не пытались его перешить на 4х
1. Берем 4х прошивку для 0А02 и Флэшбэкап3.
2. Снимаем RSA (используем ТОЛЬКО новый метод для LTE2) - Но если RSA уже снята , то пропускаем этот шаг. (RSA уже снята - если на прошивке стоят и работают патчи)
3. Открываем прошивку в "обработке прошивок" и сохраняем в несжатые бинарные файлы (т.е. просто разбираем прошивку на кодовые группы).
4. Патчим сг1 автопатчем RunPhone_lte
https://forum.motofan.ru/index.php?act=Attach&type=post&id=131001
5. Собираем прошивку и прошиваем телефон. (Настоятельно рекомендую шить RSDlite, на флэшбэкапе возможен sig. errror)
Запустилось? ПОВЕЗЛО! Все, слезли. После этого можно шить любую 4х-6х прошивку без ограничений.
Не запустилось? Переходим к следующему методу
100% рабочий метод:
Теория (в чем корень проблемы):
В прошивке (cg1) по оффсетам 1A-1B лежит word (число размером 2 байта), который называется pds sequrity version. Этот оффсет должен быть равен значению определенного сима (2E7) и быть не меньше чем значение в ОТП. Сим 2Е7 в нормальных условиях заблокирован от чтения/записи (не проблема). Проверка ОТП добавлена в 0А02 буте и не существует на 07Д0.
Значения pds sequrity version разных прошивок
Spoiler:
3624_0CR 19CD
372_59R 19CE
372_95R_A 19CE
372_98R 19CE
372_9ER 19CE
372_С1R 19CE
373_12I 19CF
373_1ER 19D1
373_42R 0000
373_43R 0000
373_45R 0000
373_46R 0000
373_48R 0000
373_49R 0000
373_6FR 0000
373_70R 0000
373_79R 0001
Видно, что с 373_42R версии изменилась нумерация. Это как раз показывает, где появилась защита с использованием ОТР. (Когда перешли с бута 07Д0 на 0А02).
372_59R 19CE
372_95R_A 19CE
372_98R 19CE
372_9ER 19CE
372_С1R 19CE
373_12I 19CF
373_1ER 19D1
373_42R 0000
373_43R 0000
373_45R 0000
373_46R 0000
373_48R 0000
373_49R 0000
373_6FR 0000
373_70R 0000
373_79R 0001
Видно, что с 373_42R версии изменилась нумерация. Это как раз показывает, где появилась защита с использованием ОТР. (Когда перешли с бута 07Д0 на 0А02).
[close]
Бут 0А02 записывает версию в OTP (однократно программируемую память), причём изначально там записано 0000 и можно только менять 0 на 1, но не обратно. Таким образом, возможны 17 (2 байта = 16 бит+ нулевое состояние) версий (sequrity version) прошивок (по нарастающей):
Spoiler:
0000
0001
0003
0007
000F
001F
003F
007F
00FF
01FF
03FF
07FF
0FFF
1FFF
3FFF
7FFF
FFFF
0001
0003
0007
000F
001F
003F
007F
00FF
01FF
03FF
07FF
0FFF
1FFF
3FFF
7FFF
FFFF
[close]
При старте бут 0А02 проверяет значение в ОТП и если там:
1. Версия больше, чем у прошивки (прошили 4х после 79) - не запускает прошивку.
2. Версия совпадает (после 79 прошили 79 или после 4х прошили 4х) - нет проблем, разрешает дальнейший запуск.
3. Версия меньше (после 4х прошили 79) - обновляет, записывая в ОТП очередную 1.
поменять ОТР в обратную сторону мы не можем
Но мы можем поменять содержимое cg1!!!Практика:
Берём и ставим на прошивку патч такого вида:
Код
[Patch_Info]
Description=pds sequrity version as 79R
[Patch_Code]
0001A: 0001
Description=pds sequrity version as 79R
[Patch_Code]
0001A: 0001
(либо 0001B: 01, что одно и то же)
Патч прилагается: ver_as_79R.zip
Что делает этот патч? Он в CG1 меняет версию sequrity version на 0001, т.е. прошивка с таким патчем имеет версию "как у 79" и бут разрешает ей запускаться.
(Для работы патча на буте 0А02 должна быть снята RSA по методике для LTE2) Рекомендуется воспользоваться готовым монстром с дуалбутом, например mpx v2 или mpx deluxe, the live и т.п. для бута 0А02
С этим патчем уже не требуется редактировать ПДС, т.к. сим 02Е7 имеет нормальное для 79 прошивки значение 00 01. Но этот патч у вас будет нужен ВСЕГДА при прошивке (кроме применения собственно 79 прошивки), т.к. запись в ОТР осталась и никуда не делась.
Ещё совет:
Но если понизить бут до 07Д0 - то проверка ОТР происходить не будет, и проблем с привыканием к 79 тоже не будет.
Особо отмечу, что прошивки с RSA, снятой по методике LTE2, работают как на буте 0А02, так и на буте 07Д0 без изменений, т.е. не зависят от версии бута. Поэтому самый простой способ забыть о 79 прошивке - это понизить бут до 07Д0 и забыть о 0А02 и его строгих проверках.
Понижение бута происходит двумя шагами (степами), тема тут:
Слезаем с бута 0A.02, 0A.05 без ТП
Обратите внимание - степ1 из этой темы также должен быть пропатчен ver_as_79R.zip!
Мануал написан при информационной поддержке Vilko, аппаратная поддержка - DonOmar. Экспериментальная методика - GandjaFuzz.
Также благодарность Random за программы и предоставленную версию дуалбута для 0А02.
Сообщение отредактировал AlexKooper - 8.4.2009, 9:03
