Сольём irom L9, кто согласится вот на ТАКОЕ? Поделиться Опции

[motoprogger]

Есть идея, как прочитать irom Motorola L9. Для этого нужно выпаять флеху, прошить её на программаторе, впаять её обратно и замкнуть точку TP_MOD на землю. Теперь обо всём по порядку.
Внимание, способ не испытан, всё описанное ниже - теоретические выкладки
1) Находим снимок irom L7e. У кого-то он должен быть, если на форуме не лежит
2) Выпаиваем флеху. На всякий случай читаем программатором полный бекап её содержимого, скидываем на комп.
3) Прошиваем в начало флехи снимок irom
4) Впаиваем флеху
5) Замыкаем TP_MOD на землю, подаём питание на телефон, отключаем TP_MOD от земли - телефон определится как бланк, с версией бута, если не ошибаюсь, 0300 (L7e)
6) Читаем диапазон адресов 10000000-10200000 (с верхней границей могу ошибаться) - там собственный irom телефона.
7) Если предполагаем использовать телефон по прямому назначению - можно замкнуть TP_MOD на землю, перезапустить телефон, отключить TP_MOD и прошить снятый программатором FULL64MB бекап по адресу 0 (там будет флеха).
Вы делаете всё на свой страх и риск. Я не гарантирую результативности данной операции, а также сохранности вашего телефона!

[Vilko]

шютник.
несравнимо проще и дешевле купить простенький jtag, подключится к телу и слить всю память.

[motoprogger]

Vilko,
Про JTAG не знал ))))))

[BrainRX7]

ЭЭЭ, а разве у L9/L7e/K1/Z3 флеха на 64 мб? По-моему на 128метров..

[DmT]

BrainRX7,
нет. и это не имеет значения в рамках темы.

[motoprogger]

Нам 2 МБ хватит, я под 2 МБ указывал адреса.

[GandjaFuzz]

что за тупость написана в закреплённом посте?
вот вам иром от L9, могли бы просто попросить....
так же прикрепляю иром от L7e
слитые куски - их адресация - 0х0-0х40000

Сообщение отредактировал GandjaFuzz - 3.2.2008, 0:03

[motoprogger]

что за тупость написана в закреплённом посте?

Пост не закреплённый, а просто первый

вот вам иром от L9, могли бы просто попросить....

У него irom L9 неизвестно сколько уже - а он молчит!

[blackbox]

У него irom L9 неизвестно сколько уже - а он молчит! biggrin.gif

Конечно, иначе пропадет смысл собирать деньги на L9 (GandjaFuzz, не обижайся, я шучу )

[motoprogger]

На самом деле если у себя не на чем тестить - производительность разработки падает до нуля. Это всё равно что если бы я из линукса писал программы под Windows на Delphi и выкладывал исходники - компильте, тестируйте - мне сообщали бы об ошибках компиляции и я бы их исправлял, снова выкладывал...

[gorod]

offblackbox, Я три сотки кинул, хотя такого аппарата нет и не будет

не обижайся, я шучу

Сообщение отредактировал gorod - 5.2.2008, 9:49

[DmT]

GandjaFuzz,
А как ты его слил?
(Не офтоп)

[Umka85]

А как ты его слил?

Да, и зачем нужен? Можно где нибудь справочку почитать?

[GandjaFuzz]

спецальный лоадер....
в ироме прописаны проверки которые проходит бут, он нужен для того чтобы обойти рса бута.

Сообщение отредактировал GandjaFuzz - 5.2.2008, 12:27

[DmT]

GandjaFuzz,
а откуда лоадер? уж не из клипсы ли выдрал?

[KAMTOS]

Уверяю всех что при наличии одного только irom'a сделать обход рса практически невозможно, на телефоне нужно проводить ужасные опыты и не факт что он загнется

[Vilko]

KAMTOS,
и много ты обходов RSA сделал, что так уверенно заявляешь?

вообще-то обход делается на эмуляторе, пошагово проходя проверки и анализируя где что происходит и как это можно обмануть.

[DmT]

Vilko,
Кстати о эмуляторе! Что он из себя представляет, и где его можно взять? Какой у него функционал?

[KAMTOS]

на эмуляторе за всем не отследшь, есть же порты которые используются при проверке рса например, 0x24858000 в нем данные при успешной проверке рса и неуспешной сильно отличаются

[motoprogger]

Честно я тоже думал, что с обходом RSA бьются один на один с дизассемблером и телефоном...
DmT,
Эмулятор - armsim вроде в комплекте ADS, я так понял, в него загружаются бинари irom, прошивки и прочего... изначально определённого, забивается, где оператива, скриптами описывается оборудование - и можно анализировать работу прошивки или какой-то её части.

[GandjaFuzz]

DmT,
нет) из имиджа от W510)))) хотел сам давно написать, но как только собрался мне в аську скинули имидж ))

Добавлено позже (5.2.2008, 20:03):
я пользуюсь эмулятором Trace32, поищи в сети

[Vilko]

эмулятор - armsim, он-же trace32, первая сцылка гугля по trace32 )

KAMTOS,
в порту 24850000 менятся ничего не может впринципе, это порт UID, там SN аппарата прошит. в нем закодированы в том числе тип периферии и тип аппарата(продуктовый/инженерный).
вообще вся проверка RSA - полностью софтовая. железо как таковое в алгоритме не участвует.
да, от sn проверка зависит в том смысле, что в инжинерных проверка _всегда_ проходит.
не более того.
есть еще кое-какая периферия, чисто теоретически влияющая на проверку. но ее состояние не зависит от того, что именно проверяет айром и нормальная ли прошивка или нет. потому на эмуляцию-отладку проверки подписи железо влиять НЕ МОЖЕТ.

Сообщение отредактировал Vilko - 6.2.2008, 10:28

[KAMTOS]

Я про порт 24858000 а не 24850000. Может возобновить поиски секретного ключа, ты ведь говорил что достаточно расшифровать 128-битный хэш подписи, отредактировать 1-е 4 байта бута и залить отредактированный хэш?

Сообщение отредактировал KAMTOS - 6.2.2008, 14:01

[motoprogger]

железо как таковое в алгоритме не участвует

Так вроде SHA1 от подписанных блоков аппаратго считается?

Добавлено позже (6.2.2008, 20:49):
И как раз по адресам 0x24858000-0x24858020 находится модуль аппаратного вычисления SHA1-отпечатка: 0x24858000 - слово состояния/управления, 0x248580004 - адрес начала очередного блока, 0x24850008 - его длина, с 0x2485000C по 0x2485001C включительно - отпечаток, от старшего слова к младшему.

Добавлено позже (6.2.2008, 21:22):

Может возобновить поиски секретного ключа, ты ведь говорил что достаточно расшифровать 128-битный хэш подписи, отредактировать 1-е 4 байта бута и залить отредактированный хэш?

Пока нереально по времени

Добавлено позже (6.2.2008, 21:28):
Кстати, раз всё делаем на эмуляторе - зачем для обхода RSA на L9 нужен L9?

Сообщение отредактировал motoprogger - 6.2.2008, 15:21

[Vilko]

motoprogger,
в irom есть дублирующий алгоритм программного sha1, если аппаратный не отвечает и/или не включен в состав железа(определяется по UID)
соотв эмуль заставляем "идти" по софтовому направлению