RSA-защита на V3x, RSA-защита взломана, !УРА, Товарищи, УРА! :) Поделиться Опции

[Bent]

Здравствуйте!
В общем сначала начну...
Снималась RSA через программу GOT купленную мной на сутки. Для начала, я снял с одной прошивки, но потом по многочисленым просьбам решил снять и для другой, так скажем самой распрастраннёной.
На данный момент мы имеем... ой т.е. Вы имеете две прошивки без RSA:
RSA снято с V3x c boot 0.6.8.2 и указаными прошивками.
1. R25227LD_U_86.43.15P - кстате, на этой прошивке шрифт делал я... очень красивый
2. R252211LD_U_85.9B.E5P - это как раз вторая с которой я снимал... раз уж вам так она нравится.
Это не рефлеши, а FullFlash т.е. полная прошивка. При ломании RSA появились ещё две группы CG:
1. CG 19
2. CG 21
Не знаю, что это, я думаю наши Гуру разберутся...
Я не несу ответственности за сломанные телефоны или возможные проблемы, вы делаете это всё на свой страх и риск.
Размещение темы или прошивок на любом другом форуме или ещё где-то, должны ссылаться на ПЕРВОИСТОЧНИК т.е. на Motofan.ru и именно эту тему, поскольку изначально я делал это для него.

http://ifolder.ru/2596332 - V3X R25227LD_U_86.43.15P
Скачать с сайта
http://ifolder.ru/2596333 - V3X R252211LD_U_85.9B.E5P
Скачать с сайта
P.S. Закачивал эти паршивые 42 мб около 10 часов... вот что значит модем ети его... На одной из прошивок сохранены смс и возможно номера, ОГРОМНАЯ просьба не страдать детством не звонить и не писать.
ФЛУД, ФЛЕЙМ КАРАЕТСЯ ЖЕСТОКО, вы даже не представляете насколько... ведём себя прилично и в рамках данной темы.
От Благодарности не откажусь, что бы не флудить к примеру словами Спасибо, Круто, Молодец, лучше ставим "+" как и положено на форуме.
Далее ребятки вы уже сами, патчи там и всё такое

С Уважением, BENT.


BeZ:
Скажу сразу, если Вы не боитесь убить телефон, или, если у Вас есть возможность восстановить телефон какой-нибудь "железкой" (например, smart-clip), то можете пробовать.
И так, вот алгоритм обхода RSA любых прошивок от POG'ов в зависимости от установленного в телефоне boot'a.
Этот алгоритм не изменит Ваш IMEI

Для снятия RSA нам понадобятся:
1. ваш boot, скачанный с тела. Скачать его можно, например, через FlashBackup или через RamLdr.
адреса для скачивания 10000000-1000FFFF
2. CG1 из той прошивки, для которой Вы будете снимаеть RSA.

Приступим:
1. Берем скачанный бут.
Ищем в буте последовательность: 71 0B 15 B1 81 01 00 C1 00 00 10 00 B6
Нашли. Смотрим по какому смещению относительно начала файла она располагается.
Берем этот адрес и прибавляем 2 - получаем нужный адрес.
Например:
для бута 0671 - 10 00 3B 3C
для бута 0682 - 10 00 3B 8C
В CG1 самые первые 4е байта заменяем на полученный адрес.
Или вот даше проще теперь (спасибо Vilko): ищем последовательность 15 b1 81 01 00 c1 и сразу получаем адрес.
Но этот адрес относительно начала файла. А относительно начала прошивки он будет: полученный адрес + 0x10000000
ЕСЛИ ПОСЛЕДОВАТЕЛЬНОСТЬ НЕ НАШЛИ, ТО ТИХО КУРИМ В СТОРОНКЕ
На данный момент с этим сделать ничего не можем
Следующие шаги уже можно не выполнять

2. В CG01 по адресу 0x00000ACh меняем 11 DB F8 00 (это начальный адрес CG18)
на 10 04 00 E0 далее смотрим пункт 3.

3. В CG01 по адресу 0x00000E0h меняем 16ть FFок на
10 00 E8 00 00 00 00 B1 00 08 04 06 50 06 00 00

4. В CG1 по адресу 0x0002FBBCh меняем 4 байта на 10 04 19 B4 (раньше эти 4 байта в самом начале CG01 указывались)? вот как раз с этим адресом не очень ясно, но во всех прошивках со снятой RSA именно этот адрес.

Все, в CG1 сделали изменения. Теперь нам надо полученную CG1 прошить в телефон.
Прошиваем как умеем. Можно, например, собрать shx или sbf.

Если после прошивки телефон включился - значит RSA обошли.

P.S. Если Вы не уверены в том, что делаете, то лучше не делайте этого...
P.S.S. Меня не пинать, если Ваш телефон умер.
P.S.S.S. у пользователя Chick_v получилось обойти RSA у прошивки не E3P, а какой-то другой, номер не помню.
P.S.S.S.S. Спасибо Vilko за некоторые консультации.

Пробуйте, отписывайтесь здесь!

Сообщение отредактировал Bent - 17.7.2007, 16:48

[odolisk]

Ребят, объясните глупому, что теперь меняется?? То есть теперь можно не бояться, что прошивкой убъешь телефон намертво?? То есть теперь можно будет сливать в бэкап все кодовые группы?? Так??

[Mike_64m]

Ребят, объясните глупому, что теперь меняется?? То есть теперь можно не бояться, что прошивкой убъешь телефон намертво?? То есть теперь можно будет сливать в бэкап все кодовые группы?? Так??

Патчи можно будет заливать.

Бояться всегда нужно что убьёшь телефон, снятие RSA-защиты даёт нам посредством патча полный доступ к ФС без подтверждения и многое другое.

Сообщение отредактировал Bent - 8.7.2007, 7:00

[BeZ]

1. CG 19
2. CG 21

на этом можно внимание не заострять
просто есть такая фигня, что если формат sbf, то там CG21 и CG19 могут присутствовать
на самом деле это CG18 (сама подпись)
просто ковырял большое кол-во sbf и shx
адресация одинаковая, а номера CG различны

так же в sbf иногда бывает CG3 по адресам от CG2
ну и так далее,
правильные адреса и номера есть в профиле от v3x во FB3
надо на адреса ориентироваться

Спасибо, за разъяснения

Сообщение отредактировал Bent - 8.7.2007, 11:29

[Mr. X__V3X]

А кто-то может выложить бут 0.6.8.2.

Сообщение отредактировал Bent - 8.7.2007, 7:38

[yakk]

а чем шить?? а то у меня - Critical Error - постоянно..

Сообщение отредактировал Bent - 8.7.2007, 7:07

[Cot]

Прошивать следует программой MotoKup02.
1. Скачали программу, установили.
2. Подключите телефон, если определился в программе и написано "Connected" то всё хорошо, если нет переведите телефон вручную в Flash Mode - при выключенном телефоне нажимаем *+#+ Красная Кнопка
3. Сделайте свой полный бекап на всякий случай.
4. Когда будете выбирать прошивку нажмёте на "Выбрать Файл" в "Типе" файла выберите не SHX, а SBF.
4. Ожидайте пока прошивается прошивка... По окончании телефон выключится сам, теперь включайте его и радуйтесь!
P.S Если у вас всё-таки не получилось - стучитесь ко мне в icq - 395950959

Сообщение отредактировал Bent - 8.7.2007, 12:20

[Bent]

Mr. X__V3X,

А кто-то может выложить бут 0.6.8.2

Boot 0.6.8.2 cлитый с V3x через программу Flash&Backup 3.0.5:
1. Формат SMG(Бинарный).
2. Формат FB3.

Сообщение отредактировал Bent - 8.7.2007, 7:51

[samagonishe]

Изменение Bootsplash`а (картинка до анимации HelloMoTo)
Делается по анологии с E770, а так же, все необходимые программы вы найдёте здесь:
Замена бутсплэша на Е770 после снятия RSA
С несколькими лишь отличиями:
[E5P]
Hellomoto=1012B1B
Welcome=103831B
[15P]
Hellomoto=123CC7B
Welcome=126247B

Обязательно в Motorola Bootscreen Replacer кликните 240*320
Сохранять прошивку нужно в формате FSW и шить ОБЯЗАТЕЛЬНО FB 3.0.5 !!!, выбрав профиль V3x.
Спасибо Cot за посильную помощь!!!
Смещения абсолютно для всех прошивок

Сообщение отредактировал samagonishe - 24.7.2007, 10:24

[Bent]

Повторяю ещё раз, для тех кто в бронепоезде, эта тема будет абсолютна чиста от флейма и флуда, так же глупых вопросов на которые есть ответы, пользуйтесь поиском и читайте эту тему внимательно, оставаться будут только те вопросы и посты которые нужны или несут собой информацию. Куратор темы, BENT.

Сообщение отредактировал Bent - 8.7.2007, 10:52

[slovak]

BENT,один вопрос: на какой (из двух) прошивке 86.43.15P снял RSA - на проше с флексом Special_007_Edition или на проше с флексом NO-BRAND_BY_PSYCOSIX? Ответь,если не трудно.Спасибо.

Special_007_Edition

Сообщение отредактировал Bent - 9.7.2007, 17:46

[iBarS]

slovak, проша от Распутина...

[22vlad22]

Скажите пожалуйста, я насчет IMEI - он у всех прошившихся на 86Р стал 638704?Причем этот номер определяется, когда телефон в обычном состоянии,а в буте - показывает родной

Сообщение отредактировал Bent - 10.7.2007, 4:10

[samagonishe]

Заметил, что прошивки любезно выложенные Bent, до снятия RSA притерпели множество изменений, если кроме него с этих прош RSA никто не снимал, значит CG1 девствено чиста, а убрать весь хлам можно перезалив флекс с такой-же официальой? Поправте если ошибаюсь...

Думаю, что - ДА.

Сообщение отредактировал Bent - 9.7.2007, 17:48

[Cot]

Скажите пожалуйста, я опять насчет IMEI - он у всех прошившихся на 86Р стал 638704? (шесть последних цифирь)
Причем этот номер определяется, когда телефон в обычном состоянии, а когда в бутлоадермоде - показывает родной

Только отображаемый, настоящий IMEI остаётся.

TO ALL: ПО ПОВОДУ IMEI ЗАКРЫЛИ ТЕМУ! Не хотите - не шейте, ждите пока можно будет снять RSA-защиту без смены IMEI, этим уже занимаются люди например BeZ и надеюсь, что подключится Vilko письмо я уже написал, любые посты об IMEI будут УДАЛЯТЬСЯ, всё что нужно уже сказано.

Сообщение отредактировал Bent - 10.7.2007, 4:18

[BeZ]

Вот что я пока накопал...
сранивая разобранные прошивки с RSA и без RSA почти понял одну вещь и думаю скоро можно юудет снять RSA с любой прошивки в зависимости от bootloader, котрый у вас установлен.
еще когда не сняли RSA с e5P и 15P.
Как раз пробовал снять RSA на E5P:
первый раз залил, тело включилось сразу во flash mode
сделал исправления, второй раз залил и ......
Тело перестало включаться, перестало заходить во флеш режим по трем кнопкам.
Кароче, стало страшно...
Сделал ТП, тело увиделось компом, НО НИ ОДНА ПРОГА НИЧЕГО не смогла сделать (из тех, что поломаны и доступны "простым" людям )
Единственное, я не пробовал GOT.

Вообщем, к чему это я....
А к тому, что когда тело будет в бланке (например, подключено через ТП) S Blank Rainbow POG
то ни один ram loader не заливается в тело...
ни MSTools, ни EasyTools, ни Smart-Moto без клипсы работать не захотели...
Тут у меня начилась паника...
Но тело мне восстановили через Smart-Clip

В общем дело такое, когда наши телефоны (Rainbow POG) подключены через ТП, то ram downloader заливается совсем по другим адресам, не по адресу 0x080000, а по адресу 0x07804000
Причем jump на 0x07804000 + 10h низрена не работает.
Т.е. ни один ramloader для обычного flash режима не може работать когда тело в бланке.
Соответственно, будьте осторожны с редактированием прошивок и т.д....
В общем, нужны люди, знаюшие хорошо asm, чтобы написать простенький лоадер, который может работать с телом в бланке.... Он например терянет память, где CG1 и тогда может запуститься обычный флеш режим...

Добавлено позже (9.7.2007, 20:50):
кстати, у кого есть доступ к железке для репеира телефонов (например, смарт-клип)
стучитесь в аску, будем пробовать снимать РСА своим методом..
мне просто страшно на своем теле делать эксперименты, так как та самая железка находиться от меня в 80км и каждый день ездить не очень удобно...
Для завершения алгоритма по обходу РСа осталось совсем чуть чуть...
может даже в этот раз получиться...

к владельцам не v3x это тоже относиться

Добавлено позже (9.7.2007, 21:08):

Теперь у всех одинаковый имей.Ну у тех кто шил одинаковыми прошивками.

снятие РСА задействует только CG01, ней точно нет реального имеи, он вроде как в PDS

давай те лучше алгоритм до конца разберем по снятию RSA и не будем лить прошивки со смененным IMEI

на сколько я из форума понял, что если ваши e770 подключить через ТП то EasyTool и MSTool работают с телом
у меня через ТП v3x с этими прогами не запахал, помогла только клипса

Если действительно так, то на Вас проще этот алгоритм проверить....
Если кому то интересно, то пишите в личку, дам свою асю, если кто-то не знает

Сообщение отредактировал Bent - 10.7.2007, 4:13

[Max Biaggi]

Hi, i'm an italian v3x user, i have a RAZRV3x with boot 0.6.8.3. and 128mb internal user memory...can i unlock rsa?? with which firmware??
thanks in advance...
P.S.Can you open a V3XRSA FREE thread in ENGLISH SPEAKING with 6.7.1,6.8.2 and 6.8.3 reflash unlocked rsa??? My ICQ Number is 455623182!

You can not, because your boot 0.6.8.3 You can remove RSA with this program GOT

Сообщение отредактировал Bent - 11.7.2007, 7:19

[Cot]

Max Biaggi, Yes, you can. Do you have icq? I can help you.



Сообщение отредактировал Cot - 12.7.2007, 4:47

[Max Biaggi]

@Bent: Unlock RSA with GOTMoto is secure???GOT supports RSA Unlock with boot 6.8.3? My phone "won't to be an italian dead telephone:D"!!!

After unlocking rsa with GOT i will be able to flash E5P RSAFree ??

Сообщение отредактировал Max Biaggi - 11.7.2007, 13:45

[iBarS]

After unlocking rsa with GOT i will be able to flash E5P RSAFree ??

after unlocking, you have firm with no RSA.



Сообщение отредактировал Bent - 11.7.2007, 15:03

[Bent]

Max Biaggi,

Unlock RSA with GOTMoto is secure???GOT supports RSA Unlock with boot 6.8.3? My phone "won't to be an italian dead telephone:D"!!!

I do not know, you take and check... I have removed RSA replacement IMEI...Try... All in your hands

Сообщение отредактировал Bent - 11.7.2007, 15:21

[Max Biaggi]

ok....

i will do this steps:

1. buy GOT 1 day
2. change imei from 333333 to 333433 (example, after i will use a dead phone imei)
3. backup firmware (or only reflash without flex,cg4,cg15?)
4. rechange imei from 333433 to 333333 original...
5. OK! RSA REMOVED and phone original...

is all right??

[Cot]

Max Biaggi,
Hello, Max! I think it`s ok!
PS Don`t forget to save Backup..................

[Bent]

Max Biaggi,

3. backup firmware (or only reflash without flex,cg4,cg15?)

FULL, together with boot.

is all right??

Yes...

Сообщение отредактировал Bent - 12.7.2007, 15:34

[yakk]

Bent
Sorry, ещё раз по-поводу IMEI - он лежит в CG1 открытый - для 86-й проши что ты выкладывал - offset в CG1 - 9eb534. Меняйте на свой старый IMEI да и всё - boot не меняется после заливки твоего бэкапа, интересно снять RSA без внесения в прошивку куска кода, который подменяет IMEI вычитаный из PDS..
Можешь дать ссылку на эту же прошивку до снятия проверки RSA?? Очень желательно чтоб с докачкой..

[Bent]

yakk, Прощения тут просить не за что, твой пост абсололютно в тему и несёт информацию причём положительную

Можешь дать ссылку на эту же прошивку до снятия проверки RSA?? Очень желательно чтоб с докачкой..

! КАЧАЙ ! с родного форума с докачкой...

Сообщение отредактировал Bent - 12.7.2007, 18:12

[yakk]

! КАЧАЙ ! [/url] с родного форума с докачкой...

Угу, пасибки, походу вот минимальный патч для прошивки 86.43.15P (работает только с boot 6.82 - это почти 100% т.к. ссылки из прошивки указывают на boot).
Патчить CG1, из патча убрано изменение IMEI. Теперь бы еще разобраться как это работает .

00000001: 04 00
00000002: 19 3B
00000003: DC 8C
000000AC: 11 10
000000AD: DB 04
000000AE: F8 00
000000AF: 00 E0
000000E0: FF 10
000000E1: FF 00
000000E2: FF E8
000000E3: FF 00
000000E4: FF 00
000000E5: FF 00
000000E6: FF 00
000000E7: FF B1
000000E8: FF 00
000000E9: FF 08
000000EA: FF 04
000000EB: FF 06
000000EC: FF 50
000000ED: FF 06
000000EE: FF 00
000000EF: FF 00
0002FBBC: 12 10
0002FBBD: E1 04
0002FBBE: 2C 19
0002FBBF: 12 DC

[Valleo]

Вы лучше отмените подпись корелетов и права мидлетов =)
Хочу наконец ваш телефон добавить в мой список поддерживаемых =)
Благо порт VC уже есть для l7e, но там я мучаюсь с меню, а у вас оно вроде как есть - мучаться не надо =))

[Cot]

Valleo,
ГанджаФузз сделает когда приедет с отпуска.

[BeZ]

ну вот опять убил телефон как и в тот раз
теперь на восстановлени к Vilko во вторник, наверное.
Снимем тогда лог....
Кстати, уже есть алгоритм снатия РСА с любой проши без изменения имеи... Но этот алгоритм еще не доконца работоспособный.
Т.е. на е770 он прокатил, у меня на прошивке 10R не прокатил
Хотя у меня тел был и так глючный и кроме этой прошивки ничего не вливалось
На следующей неделе, как тел восстановлю, выложу алгоритм.

[mbv06]

Т.е. на е770 он прокатил, у меня на прошивке 10R не прокатил
Хотя у меня тел был и так глючный и кроме этой прошивки ничего не вливалось
На следующей неделе, как тел восстановлю, выложу алгоритм.

ты воложишь алгоритм для v3x? ли для е770, если для v3x тогда дай ссылку для е770

[BeZ]

я могу выложить алгоритм, но там есть 1 пункт, который до конца еще не разобран...
алгоритм этот подходит и для v3x и для е770,
но как я сказал, на моем v3x толи не прокатил, толи по каким то другим причинам мой тел умер (корявый PDS был)

Просто может получитьсЯ, что народ поубивает телефоны....
Хотя...

[yakk]

Пробуйте, отписывайтесь здесь

Ну так тут тот же патч что я на предыдущей странице давал только расширенный для boot 06.71, у меня не захотел работать на R25227LD_U_86[1].8A.10R - дальше boot не пускал. Я еще раз не пробовал - тогда спешил, может накосячил с чем-то. На 86.43.15P я там просто вычистил кусок, что IMEI подменяет..
По адресу 2FBBC лежит некий код, но сложно сразу сказать при каких условиях он будет выполняться (и будет ли вообще...). Так что могут быть бока на разных прошивках.. Правда никаких проблем с откатом на любой другой FullFlash не было. За всё время экспериментов ни одного ТП не сделал.

[Chik_v]

У меня получилось снять RSA по даному алгоритму на прошивке С3Р, бут 0.6.7.1
Попробуйте ктото кто не боится и у кого бут 0.6.8.1, или слейте его MSTool и выложите, я попробую.

[TrojanWorm]

Попробывал взломать РСА по этому алгоритму на 701P с бутом 0671 все получилось, BeZ РЕСПЕКТ

[BeZ]

Ну так тут тот же патч что я на предыдущей странице давал только расширенный для boot 06.71, у меня не захотел работать на R25227LD_U_86[1].8A.10R - дальше boot не пускал.

ну там был патч именно для конкретной прошивки и конкретного бута.
Алгоритм должен (не уверен на 100%) прокатиться для любой прошивки и бута, если бут "разрешает" ставить прошивку.

У меня бут был 6,82, для R25227LD_U_86[1].8A.10R не вышло
тело умерло, зотя оно у меня и так глючило, корявый PDS там был после восстановления.
У меня до этого вообще ставлась только одна проша, как раз именно R25227LD_U_86[1].8A.10R
И ни какая другая Тел сразу в flash mode грузился...
И ни один LangPack не ставился

[yakk]

У меня бут был 6,82, для R25227LD_U_86[1].8A.10R не вышло

Ну видимо тем кому нравится R25227LD_U_86[1].8A.10R не стоит пока пользовать этот алгоритм - т.к. как минимум ты получил тело, а я просто вечный Boot, попробую завтра еще раз залить эту прошу, в принципе патч совпадает байт в байт, но я ж говорил - там код перезаписывается иходной точкой входа в прошивку.. и будет ли этот код выполняться - не знаю.. может зависеть и от прошивки и, наверное, от флекса..

kyk24 а что ПДС уже научились сохранять?? чем?
спасибо
и вообще может пора перебираться в Ломаем и строим со всем этим??

Сообщение отредактировал yakk - 16.7.2007, 16:28

[pa4ok]

Доброго времени суток! Воспользовался алгоритмом - всё ОК! java script:emoticon('clap;applo', 'smid_21')java script:emoticon('clap;applo', 'smid_21')java script:emoticon('clap;applo', 'smid_21'). Телефон Жив!!! IMEI (опять я про негоjava script:emoticon('bigsmile;', 'smid_20')) ОСТАЛСЯ! P.S. телефон у меня v3x , boot 0.6.8.2 , прошивка e5p. (на радостях совсем забыл написать)

Сообщение отредактировал pa4ok - 17.7.2007, 2:05

[zeDDer]

Проверено, на E3P, 701P, C3P РСА обходится по этому алгоритму (boot 0.6.7.1)!
BeZ РЕСПЕКТ!!!

Сообщение отредактировал zeDDer - 16.7.2007, 17:26

[BeZ]

pa4ok,
у тебя v3x???
какая прошивка была для снятия RSA и какой бут?

Добавлено позже (16.7.2007, 21:37):
zeDDer,
ну здесь не только моя заслуга, заслуга многих:
тех, кто ГОТом снимал РСА; Chik_v; того, кто подсказал, что в CG1 поддельный имеи (извинете, просто забыл - кто это был ), ну и Vilko конешно не без участия остался
Все, давайте переезжать в Ломаем и строим...

Попробуем еще на е1000 тоже самое сделать

в boot 0.5.F.1 нужной последовательности не находиться
поэтому у кого такой бут, то видимо надо повышать бут

Сообщение отредактировал BeZ - 17.7.2007, 6:22