Ковыряем ядро ОС Z6 на предмет обхода проверки RSA, и запуска программ от Е2 Поделиться Опции

[Abram]

1.так elvis и kuznet вроде их уже скомпилили ж... или я не прав? просто они вроде как об этом писали?

нет

2.а почему не оставить их на флехе и просто подправить скрипт на предмет путей?

Геморно. Я лично собираюсь сделать сначала менеджер софта (да, я смогу его нормально запустить), потом уже шоу-модули ставить как софт, лаунчер для Е2 скриптов - как софт, скрипты - тоже в отдельных пакетах.

ну и в догонку (я с линухом только на уровне этих телов общаюсь, посему может вопрос и глупый)))
3.а мы не можем подмонтировать свою директорию вместо /bin с флехи?

Думаешь, один такой умный? Да и в /bin нет ничего интересного

ну кнопку найти не проблема - главное скомпилять сам диспетчер)))...
*а кнопку - допустим левая боковая... если тулза будет прописана в кард/сисрегистри, то это не проблема...

Скомпилять скрипт?
Не проблема? Валяй. Сделай. Посмотрю на тебя. Мы думаем над тем, как можно запустить диспетчер из любого меню.

[lelvisl]

3.а мы не можем подмонтировать свою директорию вместо /bin с флехи?

Библиотека мото секюрити. Монтирование запрещено. Обойдёшь - будем рады.

ну кнопку найти не проблема - главное заставить работать сам диспетчер)))...
*а кнопку - допустим левая боковая... если тулза будет прописана в кард/сисрегистри, то это не проблема...

Ни одну кнопку переназначить нелзя, они все кажись в ядре прописаны. Насчёт боковой - проверить нада - изменияема ли она..

[NiX]

Библиотека мото секюрити. Монтирование запрещено. Обойдёшь - будем рады.

понятно) вопрос снят)

Ни одну кнопку переназначить нелзя, они все кажись в ядре прописаны. Насчёт боковой - проверить нада - изменияема ли она..

кнопки левая боковая, и лево/право/верх/низ назначаются через конфиги. помоему еще и камеру с диктофоном гдето видел, но точно не помню)

[lelvisl]

NiX, если боковая переназначается, попробую сделать ссылку на скрипт.

[nsk_qwerty]

lelvisl, здесь описано, где в конфигах кнопки переназначаются, если еще не видел.

[NiX]

тьфу епт))... прям накинулся))))...

Геморно. Я лично собираюсь сделать сначала менеджер софта (да, я смогу его нормально запустить), потом уже шоу-модули ставить как софт, лаунчер для Е2 скриптов - как софт, скрипты - тоже в отдельных пакетах.

ок)... бум ждать)...

Думаешь, один такой умный? Да и в /bin нет ничего интересного

вопрос уже снят) яж написал, что дурацкий)))...

Скомпилять скрипт?
Не проблема? Валяй. Сделай. Посмотрю на тебя.

не проблема кнопку назначить, через конфиги...

Мы думаем над тем, как можно запустить диспетчер из любого меню.

а в чем проблема?

[Abram]

а в чем проблема?

В том, что запуск с боковых кнопок, плеера и тд работает только из режима ожидания, так что толку от диспетчера никакого.

Добавлено позже (10.2.2008, 21:15):
Вру. Камера работает.

[Котенок™]

Голосовой набор. на него бы назначить

[NiX]

ну у нас с любой кнопки (кроме отбоя) все работает только в режиме ожидания, так что с этом придется мириться, но здесь главный вопрос, что до режима ожидания нам одно нажатие (отбой) из любого меню и три нажатия (отбой+вниз+подтверждение) из любой проги, так что думаю, что лучше так, чем каждый раз ползать по менюшкам, чтоб вывести из режима ожидания, либо закрыть какуюто прогу...
___________
ггг)))...
полез по конфигам искать камеру)))... может найду)...

Сообщение отредактировал NiX - 10.2.2008, 19:23

[Abram]

чтоб вывести из режима ожидания, либо закрыть какуюто прогу...

Для явы - да. Но мы ведь не говорим о яве!

[NiX]

Для явы - да. Но мы ведь не говорим о яве!

а как ведут себя нативприложения при нажатии на отбой?
ну мплеер, фбридер? (новый pol еще не ставил))...

[jKan87]

Кто-нибудь даст ответы на мои вопросы?
Взлом или обход RSA на Z6\V8
Сам телефон еще так глубоко не ковырял...

Сообщение отредактировал jKan87 - 10.2.2008, 19:52

[Abram]

а как ведут себя нативприложения при нажатии на отбой?
ну мплеер, фбридер? (новый pol еще не ставил))...

Хендлится програмой.

[NiX]

Хендлится програмой.

и можно на нее повесить функцию увода в фон?
думаю, что да...
тогда спокойно вешаем на боковую клавишу менеджер процессов,
и получаем три вариации:
когда открыты папки - одно нажатие до режима ожидания (отбой)
открыта ява - три нажатия (отбой - вниз - подтверждение)
открыта натив прога - одно (отбой)

кстати, не знаю, как в е2, а в а1200 диспетчар задач (родной) находится в меню программ, и для его использования надо также свернуть все, и потом зайти в меню. и ничего сложного из себя эта процедура не представляет. имхо.

[Abram]

Тогда хватит говорить - пиши . Мы тебе спасибо скажем.

[сера]

Ребят , я так и не понял , что прошить чтоб все стало итереснее

Для начала не флудить не по делу, а перечитать еще раз, если не понял...

Сообщение отредактировал TEQUILA - 20.2.2008, 18:41

[Don Omar(TenderFog)]

Ребятя занимаюсь снятием ФУЛЛ бекапа.. Есть мыли и идеи.... Есть материалы. ! + работаю над дуалбутом.! Dct пожелания в личку. Я думаю ковыряние фулла нам что то даст!

[Mailik]

Я вот не понял, как gcc, glibc собрать(скомпилить), и куда потом их пихнуть, чтоб запускать.

[Krab1]

Кстати, не знаю, как в е2, а в а1200 диспетчар задач (родной) находится в меню программ, и для его использования надо также свернуть все, и потом зайти в меню. и ничего сложного из себя эта процедура не представляет. имхо.

В Е2 нет какого то выделенного менеджера задач его руками вешали в основном на кнопку вызова плеера... нажимаешь на нее в любом меню\проге\явы вылазит менюшка с запущеными процесами их там меньше на порядок отображаеться чем в А1200 и 3 варианта kill\hide\rise

вот скрин на всякий



Сообщение отредактировал Krab1 - 25.3.2008, 1:32

[GandjaFuzz]

задача состоит в том чтобы изучить все проверки на подлинность РСА всех подписанных сг, для этого надо разобрать бут - отдизасмить, посмотреть проверки и вычислить, из бута ли проверяются все сг прошивки или из ядра телефона. вычислать как идёт проверка. режим в IDA для бута ARM xScaleL. так же бут мувится на участок в оперативке, т.е. таковой запуск идёт с адреса 0x90010000. да и если рса сверяются из ядра, то с рса мы уже ничего не поделаем.

Сообщение отредактировал GandjaFuzz - 24.3.2008, 10:39

[andrey_moto]

задача состоит в том чтобы изучить все проверки на подлинность РСА всех подписанных сг, для этого надо разобрать бут - отдизасмить, посмотреть проверки и вычислить, из бута ли проверяются все сг прошивки или из ядра телефона. вычислать как идёт проверка. режим в IDA для бута ARM xScaleL. так же бут мувится на участок в оперативке, т.е. таковой запуск идёт с адреса 0x90010000. да и если рса сверяются из ядра, то с рса мы уже ничего не поделаем.

извините спрашиваю глупость наверное, но на е2 сверяется рса из бута или из ядра? для себя интересно просто. и как это на а1200?

[GandjaFuzz]

на е2 и на а1200 рса вообще нету

[keLBass]

я только что был на офф сайте моторолы, я так понял вышла з6 unlocked... или я чего-то не понимаю

http://www.store.motorola.com/mot/en/US/ad...balpr_z6usaonly

судя по цене дело в прошивке...

Сообщение отредактировал keLBass - 6.4.2008, 19:11

[DK__]

keLBass, я уже давно такое наблюдал... но всё никак не решался спросить ! Знающие люди ответят.

[Bogd@n]

это типо незалочены под оператора

[DK__]

qwerzxcv, точно... гугль рулит. Немного не дописали Unlocked GSM Cell Phone

[keLBass]

упс,,, я просто лох в англицком.. и времяни не было..

я больше не буду...

Сообщение отредактировал keLBass - 7.4.2008, 9:30

[GandjaFuzz]

кто-то говорил что подписаны все кодовые группы кроме CG52 и CG43. это не так вот список подписанных кодовых групп

1 - адрес на которое мувится кодовая группа
2 - длина которое подписывает кодовая группа.

0x90000100 длина 0x3800 - CG41
0x90070000 длина 0x3800 - CG31
0x90100000 длина 0x3800 - CG34
0x90500000 длина 0x17F800 - CG35
0x91000000 длина 0x1CFB800 - CG36
0x92D00000 длина 0x77F800 - CG46
0x93C00000 длина 0x3DF800 - CG45
0x93780000 длина 0x1F800 - CG44
0x93A00000 длина 0x3800 - CG49

кодовые группы которые не подписаны: CG37, CG42, CG43, CG48, CG52

Добавлено позже (8.4.2008, 2:10):
кодовая группа CG31 - это карта всех подписанных кодовых групп, т.е. в ней находятся все указатели на подписанные кодовые группы и бут конечно же проверяет её

Добавлено позже (8.4.2008, 2:11):
вот сам кусок проверки
ROM:90015ED8 LDR R0, [R5,#8]
ROM:90015EDA MOV R1, #4
ROM:90015EDC BL checker_rsa

Добавлено позже (8.4.2008, 2:51):
впринципе нам нужно снять рса только с CG36... подумаем как это сделать.

Добавлено позже (8.4.2008, 3:01):
кто хочет сам поковырять на предмет RSA предлагаю скачать этот архив, в нём я отпарсил кодовую группу CG31 а так же отдизасмил бут A3C9... для их запуска необходимо иметь у себя IDA 5.X

вот линк: http://depositfiles.com/files/4601741

Сообщение отредактировал GandjaFuzz - 8.4.2008, 11:42

[gibson]

GandjaFuzz,

кто хочет сам поковырять на предмет RSA предлагаю скачать этот архив, в нём я отпарсил кодовую группу CG31 а так же отдизасмил бут A3C9... для их запуска необходимо иметь у себя IDA 5.X

Если накатаеш максимально подробную инструкцию как и что нужно делать, думаю желающих попробывать будет много! А так вряд ли кто то захочет что то искать и разбираться!

[GandjaFuzz]

а какая вам инструкция нужна? как обойти рса? я ещё сам не придумал.
а так что могу вам сказать ищите способ замены подписанной области на другую.

[Matorist]

GandjaFuzz, вот такой вопрос можно ли бут сменить с А3.СС на A3C9? (Или тогда закономерный какой из них выше =))

[BeZ]

выше первый
сменить по всей видимости нельзя
был уже опыт печальный

[UginC390]

кодовая группа CG31 - это карта всех подписанных кодовых групп, т.е. в ней находятся все указатели на подписанные кодовые группы и бут конечно же проверяет её
вот сам кусок проверки
ROM:90015ED8 LDR R0, [R5,#8]
ROM:90015EDA MOV R1, #4
ROM:90015EDC BL checker_rsa

1 - А что такого особенного в CG36, что rsa надо обходить только там?! А на остальные почему не надо обходить?

2 - Если в проверке сделать безусловный переход на тот указатель который получает бут при успешной проверке? Т.е. заменить проверку на переход по конкретному адресу?

[GandjaFuzz]

UginC390,
ну во-первых CG36 - это rootfs в ней находятся все программы, ява машина, все либы. которые нам необходимо патчить
во-вторых было бы всё так просто. отпатчить бут. давно бы уже сделали. бут так же проверяется. а проверяется он иромом. а иром нам никак не изменить.

Добавлено позже (8.4.2008, 15:25):
BeZ,
печальный опыт был с отпатченным бутом...)

Matorist,
обычный бут перешить можно, но пока нету смысла

[UginC390]

UginC390,
бут так же проверяется. а проверяется он иромом. а иром нам никак не изменить.

Прошу не пинать, возможно это глупость, но как я понимаю:
1) Бут проверяеться иромом
а)Бут прошёл проверку удачно - загружаем дальше;
б)Бут не прошёл проверку - посылаем пользователя.

Так вот после того как наступило событие (1.а) - бут начинает проверять своими силами и средствами и вот их и поправить... Если такое не возможно прошу объяснить почему так нельзя...

[Alternative_NickName]

"бут так же проверяется" - потому и нельзя. Я как понимаю, проверяется окромя RSA еще и контрольная сумма...итд итп.

[jKan87]

GandjaFuzz, а что находится в неподписанных кодовых группах CG37, CG42, CG43, CG48, CG52 ?

[GandjaFuzz]

CG52, CG43 - это фс, а что в остальных группах фиг знает.

[Bogd@n]

37cg весит 7мб а остольные помелочам...

[GandjaFuzz]

фиг знает. пытался разобрать я думал что это фс. но нет. это какие то данные.