Ковыряем ядро ОС Z6 на предмет обхода проверки RSA, и запуска программ от Е2 Поделиться Опции

[Martyr]

я так понимаю пока все безрезультатно ? не видать нам еще мпкг ?

[rtf15]

У меня вопрос:
где находится сама подпись RSA и ее проверка?

З.Ы. в инете нашел интересный линк: http://www.modmymoto.com/forums/showthread.php?p=443243 , может ктото попробует себе подобный конф подковырять... (обход mot_security)

[lelvisl]

rtf15, в бутлоадере, он проверяет при запуске КГ. Почитай также первый пост.

А обход мотсека - это бльшой шаг, если он и в правду проделан. Ща погляжу, потестю.

[Abram]

rtf15, в бутлоадере, он проверяет при запуске КГ. Почитай также первый пост.

А обход мотсека - это бльшой шаг, если он и в правду проделан. Ща погляжу, потестю.

Там кажется снятие noexec, или я плохо смотрел.

[rtf15]

rtf15, в бутлоадере, он проверяет при запуске КГ. Почитай также первый пост.

А обход мотсека - это бльшой шаг, если он и в правду проделан. Ща погляжу, потестю.

А чем бутлоадер можно поглядеть? есть какойто отладчик или дизасемблер (под АРМ?) ?

Хотел спросить: сдесь на сайте говорилось что части прошивки- образы squashfs.
под линуху их можно открыть, изменить и снова запаковать.
Так вот: после прошивки они нормально грузятся или бутлоадер сверяет чексум/подпись ?

[Abram]

Хотел спросить: сдесь на сайте говорилось что части прошивки- образы squashfs.
под линуху их можно открыть, изменить и снова запаковать.
Так вот: после прошивки они нормально грузятся или бутлоадер сверяет чексум/подпись ?

Из образов не подписаны только CG43, CG52. Они уже изменены в моём монстре

[rtf15]

Из образов не подписаны только CG43, CG52. Они уже изменены в моём монстре

А когда формируется подпись? Когда проша изготовляется гдето там? Или прога которой прошиваешь, сама вычисляет CRC/RSA ?

[lelvisl]

rtf15, подпись формируется при её создании в моторолле и записывается по указанным мной адресам.

[Abram]

Вот что я нарыл в конфиге ядра Z6:

FLASH_PARTS=rsv kpanic mbm.img mbmloader.img mbmbackup.img bploader.img cdt.bin atags.img lbl zImage rootfs.img userfs.img gsm_scma11_build.bin setup.img securesetup.img logo.bin pdsfs.img resource.img language.img mass_storage.img usb_firm.bin

Кажется, на теле реально использовать boot_usb дял загрузки своего ядра. Правда, из одного мейл-листа вычитано, что тело при попытке это сделать вываливается на 20 секунд, потом грузит стандартное ядро... Есть идеи?

[M@dneSS]

А вот это всё помочь никак не может https://opensource.motorola.com/sf/frs/do/v...ects.rokrz6/frs ?
Или это всё только для официального сотрудничества с Моторолой?

[Abram]

Господа,
ктонибудь пробовал хардварно обходить бутлоадер? жутко не силен в сборке/разборке телефонов, но судя по документации к MX31 достаточно чтото типа переставить джампер чтобы вывести процессор в режим загрузки через USB.

А вот с этого места поподробней!

[calverst]

Просто подумал... наверняка же люди которые ремонтируют телефоны не перепаивают контакты в случае когда наворачивается зашитый бутлоадер.
Щас уже не помню.... откудато отсюда доку качал:
http://www.freescale.com/webapp/sps/site/p...esign_Tools_Tab

[Avton]

а RCA там сколько бит? тупо перебором обьединенным не сломать?

Пробовали уже
Раскрытие секретного ключа для подписи прошивок
быстрее оказалось обойти защиту, чем ее взломать

[Aike]

Доброго времени суток, позавчера тоже стал владельцем Z6. Особо еще не ковырял МонтаВисту, но есть идея, если написать модуль ядра, исполнение кода на низком уровне(если конечно у ARM есть подобные разграничения как в x86), мне кажется даст какие-нибудь результаты.

Так, немного отредактировал motsecurity_sysfs.ko (занопил все что после точки входа, в теории оно при запуске должно тупо отработать пустые операторы и не поставить никаких блокировок)
Есть одна проблемма, как его загрузить вместо оригинального? Попытался
# modprobe /ezxlocal/download/mystuff/motsecurity_sysfs.ko
modprobe: could not parse modules.dep

В /lib/modules/2.6.10_dev лежит modules.dep но он пустой, что оно еще парсить пытается?

Сообщение отредактировал Slan - 13.2.2008, 6:26

[Abram]

Все модули подписаны (точнее, где-то в /etc лежит хеш) - это во-первых. mot_security сам по себе ничего не ограничивает, а лишь устанавливает ограничения (т.е передаёт их ядру), смотреть в /etc/initservices/services/mot_securty.sh (вроде так). Нужно найти способ помешать его загрузке, тогда ограничения не выставятся.

[Aike]

Во, спасибо за наводку, теперь я понял что за листы там были в коде модуля.
В точке входа модуля была передача управлению функции security_subsys, в которой были какие-то параметры (честно говоря не особо понял какие, ибо ARM ассемблер вижу сегодня впервый раз ), зато из этой (секьюрити_сабсис) управление передавалось, другой функции motsec_sysfs_ops, которая как раз таки оперировала с allowed_mounts и mounts_locked.

Добавлено позже (24.1.2008, 15:32):
Хм, а /lib/modules/motsecurity_sysfs.ko вообще не запускается при загрузке телефона
Какой толк тогда в его allowed_mounts?

Сообщение отредактировал Aike - 24.1.2008, 11:33

[Abram]

Хм, а /lib/modules/motsecurity_sysfs.ko вообще не запускается при загрузке телефона
Какой толк тогда в его allowed_mounts?

Он из инит-скриптов грузится, устанавливает allowed_mounts & mounts_locked и выгружается в том же скрипте.

[Aike]

Он из инит-скриптов грузится, устанавливает allowed_mounts & mounts_locked и выгружается в том же скрипте.

Понятно. Тогда другого не пойму, ведь он разрешает монтирование только того, что можно монтировать на запись, какой смысл в монтировании сквашфс разделов?
Я наверное не догоняю, какая цель вообще в обходе этого модуля? Может быть другой подход есть.

[Abram]

Обьясняю. При запуске тела монтируется вся файловая система (ограничений пока нет). После этого устанавливаются ограничения: монтировать можно только память тела и флешку. А смысл обхода таков: после обхода мы сможем, например, переместить конфиги в ext3 раздел на флешке или же через mount --bind заменить файл в RO-файловой системе.

[Aike]

Тогда вижу такой вариант:
А если написать модуль ядра, который будет снимать ограничения?

[Abram]

Тогда вижу такой вариант:
А если написать модуль ядра, который будет снимать ограничения?

То ядро не даст его загрузить . Разве только взять insmod другой, может, он хеши проверяет.
Как вариант - ковырять init на предмет дыр (сорц есть, init из busybox)

[Aike]

Так, а можно как нибудь сделать полный дамп телефона, и юзать его на вмваре, или qemu? А то что-то вечно подключенный провод мне не нравится, новый телефон, боюсь аккумулятор быстро постоянной минизарядкой убью.

[Abram]

Так, а можно как нибудь сделать полный дамп телефона, и юзать его на вмваре, или qemu? А то что-то вечно подключенный провод мне не нравится, новый телефон, боюсь аккумулятор быстро постоянной минизарядкой убью.

1) Дамп не сделаешь
2) Где ты эмулятор под такой хардвейр найдёшь?
3) Не убьеш. Вот мой живёт, телефону месяц, первые недели две не вылазил из ЮСБ.

[Flex4]

А то что-то вечно подключенный провод мне не нравится, новый телефон, боюсь аккумулятор быстро постоянной минизарядкой убью.

Был V360, больше года. Делал монстр, тестировал патчи и очень много раз отсоединял присоединял на протяжении всего срока службы и ничего с ним не стало

[UginC390]

https://opensource.motorola.com/sf/frs/do/v...r60_g_80_31_15r Так что же это всё-таки такое??!

[Abram]

https://opensource.motorola.com/sf/frs/do/v...r60_g_80_31_15r Так что же это всё-таки такое??!

Релиз сорцев всех оперсорс-програм, использованых Моторолой.

[UginC390]

угу... только вот там есть всё, что бы собрать свою ось и даже кажись под наши тел. есть там такой архивчик hardhatXXXXXXXX. Так вот в нём всё хорошо разложено под каждый тип процессора, и под Freescale в том числе. Может можно попробовать собрать самим?! Только не надо сразу пинать...

[Abram]

угу... только вот там есть всё, что бы собрать свою ось и даже кажись под наши тел. есть там такой архивчик hardhatXXXXXXXX. Так вот в нём всё хорошо разложено под каждый тип процессора, и под Freescale в том числе. Может можно попробовать собрать самим?! Только не надо сразу пинать...

Потом некогда будет, попинаю щас. Это сорцы ядра. Прикинь, это сорцы Linux . Собрать-то можно, прошить - нет. Единственное применение - изучение.

[Rider_ALT]

А собрать и заменить бутлоадер не пробовали ?

Там же стандартный uboot вроде как используется, сорцы тоже были на opensource.motorola.com

[Abram]

А собрать и заменить бутлоадер не пробовали ?

Там же стандартный uboot вроде как используется, сорцы тоже были на opensource.motorola.com

Подпись бута проверяется при заливке .

А про uboot давай подробней!

[e-yes]

Там не das u-boot, там AFAIK blob (кстате, GPL, но не вижу исходников на моте). Или... Потыкайте меня носом в каком файле смотреть

[Abram]

Там не das u-boot, там AFAIK blob (кстате, GPL, но не вижу исходников на моте). Или... Потыкайте меня носом в каком файле смотреть

Была такая пьянка на opensource.motorola.com в discussion, но чего-то тишина... Исходников не видно, возможно, что и нет там этого бута.

[NiX]

абрам, скажи мне, глупому)... а что нам на данный момент мешает вручную прописывать и запускать скрипты от е2? (ну кроме отсутствия используемых в них шоумодулей?)

[Abram]

абрам, скажи мне, глупому)... а что нам на данный момент мешает вручную прописывать и запускать скрипты от е2? (ну кроме отсутствия используемых в них шоумодулей?)

Отличие в структуре.

[NiX]

эммм... структуре чего?

[Abram]

эммм... структуре чего?

Скрипта . Шоу-модули не впихнуть в з6, например... Разве лаунчер какой хитро выделанный сделать

[NiX]

Абрам, а вот эта тема к чему была?... ну и дальнейшее в начале этой темы?...

Я собрал. Берешь сорс gcc и glibc с opensource.motorola.com и любой не самый старый binutils. Далее следуешь инструкциям по кросс-компиляции: binutils, gcc, glibc.
По дороге есть мелкие проблемки, описать трудно - решить легко.

А что, есть что скомпилировать? А то время-то я убил, а только потом
понял что кроме main() { printf("Hello, world\n"); } ничего интересного и выдумать не могу. :-)

Как убрать noexec я знал. потому и хотел собрать компилятор. Шоумодули - скомпилированные модули С Е2, которые можно использовать в скриптах, и врезульате иметь скрипты с ГУИ. Далее берём кучу исходников прог с Е2 и компилируем, получаем кучу софта. Вот, сколько пользы. К вечеру всё это будет реально!!

помнится, что elvis пытался найти исходники для прог с е2, и kuznet в первом мане по доступу к фс писал:

Кто-то уже догадался, наверное. Если в InstalledDB руками добавить
новую запись с правильной строчкой Directory и Exec, и добавить id
в UserMenuTree, то через меню можно запускать любые програмки.
Все демки из e2-ezx-sdk компилируются и работают. mplayer компилируется
и после небольшой подточки почти работает, звука только нет. :-(

в принципе, это имхо ко всем сведующим людям вопрос...
если вроде как шоумодули и демки от е2 были "скомпилены и запущены", то почему мы не можем попробовать отредактировать скрипты от е2 и начать их использовать?

[Abram]

1) Шоумодули не скомплируются, нужно править.
2) Их не запишешь в /usr/bin или любой каталог с програмами - RSA.

[lelvisl]

Abram, шоу модули портануть вполне реально. а бин их швырять необязатьелно. Можно типа в mmc/mmca1/bin, и каждый аз ссылаться на эту папку в скриптах. Вот. если будут шоу модули, то будет, как минимум диспетчер задач иметь. далее. Мы не сможем заюзать кнопку плеера под диспетчер, июо наад править ядро для переназначения кнопки. Ваши идеи по вызову диспетчера задач?

[NiX]

)))...
может я туплю)...
1.так elvis и kuznet вроде их уже скомпилили ж... или я не прав? просто они вроде как об этом писали?
2.а почему не оставить их на флехе и просто подправить скрипт на предмет путей?
ну и в догонку (я с линухом только на уровне этих телов общаюсь, посему может вопрос и глупый)))
3.а мы не можем подмонтировать свою директорию вместо /bin с флехи?

Добавлено позже (10.2.2008, 21:44):
пока писал, lelvisl, все тоже самое сказал)))...

Добавлено позже (10.2.2008, 21:46):
ну кнопку найти не проблема - главное заставить работать сам диспетчер)))...
*а кнопку - допустим левая боковая... если тулза будет прописана в кард/сисрегистри, то это не проблема...

Сообщение отредактировал NiX - 10.2.2008, 18:50