Ковырнём Прошивку ..., Hex Workshop 4.0, Hiew etc... Поделиться Опции

Код

ВНИМАНИЕ!!!
Данный топик был открыт с целью облегчения жизни владельцам мобильного телефона Motorola C350, поставляемого на территорию нашей страны с прошивкой без возможности закачки JAVA приложений.
Исследование кода программ не повлечёт за собой его модификацию. Его исследование необходимо для написания собственной программы, которая не будет использоваться в комерческих целях.
Была написана первая версия программы, которая извлекает BIN файлы из прошивок с расширением SHX. После нахождения алгоритма криптования/сжатия (если это всё-таки случится) будет написана новая версия программы и выложена на всеобщее пользование.

Зашёл вот посмотреть как у вас тут с хаком дело обстоит. Есть толковые кулхацкеры и программеры (я о вскрытии флекс). Я тож люблю всякие там подозрительные файлы по F3 в нортоне заценить. Н-р: BM - BMP
, MThd - midi, RIFF...WAVEfmt - wav и т.д.
А файлы прошивки *.SHX - енто ни что иное как Motorola S-Records (LEN=34). Чё-то типа HEX, тока со структурой типа: A-B[C...C]-B[C...C]-и т.д., где A - дискриптор начала файла, B - адрес начала потока данных, C...C - сами данные представленные в 16-ном виде (HEX), ну данные разумеется тоже имеют свою структуру, но это не суть.
Импортируется сие чудо Hex Workshop'ом (у меня 4-ый) как Motorola S-Records, но так как разница между следующим [B] и предыдущим [B] больше чем сам поток данных предыдущего [B], то оставшееся пространство забивается нуликами. Оттого у меня и получился в итоге BIN файл размером 200 с лихом мегов. Весь такой - в дырку. Вот тока терпения не хватает его просмотреть (на предмет знакомого) по F3 в NC - великоват, собака. (А сам Workshop прогоняет чё-то - видать тож XXXL великоват будет). На днях всё-таки соберусь с духом.
Ну и на вашу помощь расчитываю...

[CeproBaH]

Попробуй shx2bin

DUMPER.EXE работает не правильно !!!! :o

Обоснование 1: 1) Запускаем 'Hex WorkShop 4.0'
2) Options > Preferences
3) На вкладке 'Export Settings' выбираем Motorola S-Records
4) Меняем значение 'Bytes Per Line' на 64 и жмём 'Apply'(Применить)
5) File > Open > Открываем любой файл (лучше EXE для наглядности)
6) File > Export
7) В графе 'Sava as type' выбираем 'Motorola S37 Records' (например)
8) Запускаем 'NC' и смотрим файл по F3:

>S00600004844521B - Это и есть ЗАГОЛОВОК про который я говорил.
>S3[LL][AAAAAAAA][ 64 байта нашего EXE'шника ][CC] - где:

S3 - дескриптор строки данных
[AAAAAAAA] - адрес
[CC] - контрольная сумма 64-х байт данных
[LL] - длина строки: 45h(69)=40h(64)+4(AAAAAAAA)+1(CC)

И что самое интересное [АААААААА] в таких файлах - может динамически меняться:
S345[00000000][64 байта][CC]
S345[00000080][64 байта][CC]
S345[00000040][64 байта][CC]
S345[00001234][64 байта][CC]

Весь файл тогда напоминает НЕ ДЕФРАГМЕНТИРОВАННЫЙ ВИНТ !!!!!!!
А думпер даже заголовок в HEX превращает... :o
Добавлено:
Обоснование 2: bigsmile;
1) Открываем по 'F3' в 'NC' наш 'SHX'
2) Жмём 'PageDown' пока не встретим ЗАГОЛОВОК.
3) Записываем на листочек первую строку (не всю конечно):

S3 45 11060000 29C34B32.....

4) Импортируем (методом описаным выше) этот SHX в Hex Workshop
5) Ждём пока всё протормозится
6) Edit > Goto
7) Выбираем 'HEX' и 'Beginning of File'
8) Offset: 11060000 и жмём 'Go'
9) Смотрим где курсор: 29C34B32.....
10) Скроллим вверх - тоже есть данные

ФРАГМЕНТАЦИЯ НАЛИЦО... ;)

ЭВРИКА !!!!!!!!!!!!!!!!!!!!

'SHX' файл содержит 4 заголовка.
Следовательно там 4 файла, причём первый - это наш 'LANG0011'.

Вот почему BIN большой получался !

Я не злюсь - я пляшу zootag;

Всё, гружу Delphi и пишу прогу ...

[CeproBaH]

А думпер даже заголовок в HEX превращает... :o

Lord-3X, все верно, я в курсе насчет заголовков, DUMPER их оставляет для наглядности.
Вот тока что теперь делать с этим дампом?

Вот тока что теперь делать с этим дампом?

Сначала надо получить 'правильный' дамп в BIN...а там посмотрим. Но с первого взгляда похоже что данные чем-то упакованы... Обычно в прошивках от телефонов хоть слова какие-то встречаются...

Ничего, разберёмси... после пары бутылочек пива (o)

Я прогу уже нацарапал, тока незнаю как её выложить сюда... sos

Мож кому намылить, кто выложит, а?

Спасибо, посмотрим чего это нам даст!

[CeproBaH]

Это нам дает криптованые файлы, ключ к которым находится или в PST или в самом Motorе.
Допустим, что удастся их ломануть и что мы получим? Файлы в машинном коде телефонного проца?
Есть спецы по Motoroloвскому API? :(

ключ к которым находится или в PST или в самом Motorе

Я думаю, что в ПСТ, т.к. у мотора и так бедный проц напрягается, да и смущают меня эти надписи 'P2K Superfile' и 'UNIX Generated Superfile'. Возможно писано это всё в эмуляторе проца под Unix и жато униксовским алгоритмом (TAR - какой-нить без заголовка). А в ПСТ алгоритм декрипта запихали.

Допустим, что удастся их ломануть и что мы получим?

А возьмём Motor T720 - разрешим яву, посмотрим чё делает ПСТ с её прошивкой или флексом. Мож там табличка какая-нить с настройками. Поищем подобную на С350. ;) .Мне TRW2K ничего не стоит загрузить, да хоть SoftIce, WinDasm, OllyDBG - ентого арсенала хватает...
А ява - всяко есть: MotoGP - java applet, C350 - 96x65, на Nokia 3510i тоже 96x65 и ента игруля туда качается и работает... Да и этот тип zorro; (ну про которую все говорят), что продаёт прогу за 600$ которая яву разрешает...

Да в крайнем случае тупо перезапишем в прошивке игру... bigsmile;

Кстати, Народ!!!

Java файлы имеют расширение JAD, а внутри - PK.........вобщем данные всякие.....и таблица файлов.

И это ни что иное как ОБЫЧНЫЙ ZIP. А его-то в прошивке я махом найду и если надо поменяю... А мож там помимо игр ещё что интересное есть. Мож планировщик - это тож JAVA, тогда мы и без разработчиков полноценный будильник добавим. А сейчас MP3 плеер на яве есть, правда звук моно, но это лучше чем ничего...

Но сначала надо расшифровать BIN файлы... <_< Пока думаем...

[CeproBaH]

Что-ж меня радует твой оптимизм (o)
Если нужна помощь кричи :)
У меня вобщето уже двое суток комп не выключается - дешифровщик крутится в поисках русских слов в прошивке ( вот тока интересно в какой кодировке они хранятся ).
Сначала замутил дешифратор, а потом посчитал скока ему еще крутиться - при простом переборе 8-ми символьного ключа с XOR-овским наложением выходит что-то около 34 тысяч лет! :o и кроме того надо просмотреть гигабайты текстового лога в поисках вразумительного русского слова, а если алгоритм кроме XORа, еще прибавляет к байту какоенить число, или сдвигает его на скокато бит в сторону, перебор приближается к бесконечности :(
Короче плюнул я на это дело и потер все, вместе с исходниками... вот так... надо искать другие пути... лобовая атака не катит... кул хацкеры ломайте PST! дело за вами..

[CeproBaH]

Есть идея!
USBee LX Data Logger
Зачем ковырять прошивку, когда можно подсмотреть что PST заливает на USB порт.
Правда вроде они дают только демо-версию, надо поискать еще... ;)

CeproBaH - (o) и ещё раз (o) !

кул хацкеры ломайте PST! дело за вами..

Дело всё в том, что у меня Windows Millenium Edition, PST не работает! Но ради общего блага снесу его завтра, поставлю 98-ой. Буду ПСТ трассировать в дасмах... PortMonitor заведу... Посмотрю откуда что берётся и куда девается...

надо искать другие пути...

В принципе мы имеем дело с эмуляцией COM порта... Порт Монитор тут как раз кстати! А все телефоны как я понимаю общаются с виндой как обычные модемы - через AT команды... А я в них ничего не понимаю (практики небыло)...

Надо запускать PortMon и пробовать шить тел. А потом просматривать лог...
Завтра начну ковырять PST. А насчёт AT комманд прошу помощи. sos

[CeproBaH]

Насчет AT команд для сотовых посмотри тут.
А вобще по модемным командам инфы в инете немеряно, какие проблемы?

USBee LX Data Logger

Уже качаю ...

Скачай ЗДЕСЬ PortMon, FileMon и RegMon - пригодится... :)
Добавлено:

http://motorsync.narod.ru/src.exe

CeproBaH, ссылка мёртвая ... :(

Она не мертвая, у меня качнулось!

[CeproBaH]

Посмотрел я PortMon'ом процесс заливки EMS, и др. оперяций PST - логируются какието команды от/в телефон и все. А где сам траффик? Видимо этот монитор HOOK'ит какие-то winAPIшные мессаги связанные с портом, а данные текут без их использования...
USBee Data Logger вообще просто логирует все снгналы порта каждые 0.25 сек, как выделить из такого лога поток данных?
Сам собрать USB трэйсер я пока не готов, надо наверно искать другие проги...
(Или опять-же ковырять PST)

Я уж Окна 98 поставил и ПСТ, пробовал трассировать. Сонный был - пытался привязаться к API Kernel32.CreateFile (open_existing_denyread) и GetFileAttributes, а потом вырубился. Сегодня продолжу...

Порт захватывть тож пробовал с помощью PortMon98! Когда выходишь в инет через GPRS Manager - всё логирует, а если льёшь прошивку - фиг! <_< Еще не пробовал USBee ...

Смотрите файл P2K Test Commands Version 40_1.tdb[COLOR=blue] из папки с PST, там есть какие-то комманды, мож это поможет... Они же есть в Flash & Test Command.

[CeproBaH]

Смотрите файл P2K Test Commands Version 40_1.tdb

Особенно интересна команда
"KJAVA"|"054"|"1"|"XX"|"YY"|90.00|"kJava Test Commands."|||
Найти бы еще по ним описание...

Ну тут вроде чё-то починили...
Тока я под своим именем зайти не могу...

Скачал 'С Decompiller' (REC называется) и декомпилил PST! Вроде часть текста получилась пригодной для восприятия, пытаюсь разгрести мусор. В общем пока весь в ПСТ...

P.S. Я надеюсь что здесь всё починят до конца...

CeproBaH!

Ты в C++ ведь шаришь? Сначала по (o). И делай:
1. Катани REC.
2. Катани PE Explorer 1.93
3. Открываешь с помощью PE Explorer'a по-очереди: PST.EXE, PST.DLL, pst_fp_flash.dll и pst_fp_flashdevapi.dll. После открытия каждого жмёшь сохранить. Перезаписываешь. Вкратце объясню зачем: у ПЕ Эксплорера есть встроеный плагин, который распаковывает UPX...
4. Закинь ЭГЕшник(rec.exe) в директорию с ПСТ и запусти 'rec.exe pst_fp_flash.dll' из-под какой-нить оболочки или BAT'ник создай. Получишь исходник библы. Не сам PST.EXE шьёт, он эту DLL'ку грузит, прямо кнопка FLASH в этой ДЛЛ и весь интерфейс. А она ещё к 'pst_fp_flashdevapi.dll' обращается. Так что последнюю можешь тож загнать в РЕК. Получишь файлы '*.rec' - это и есть исходники на С (ну там конечно ASM'a больше, чем самого С)

[CeproBaH]

Ну слушай, друг... это всё конешно хорошо, я попробую , но будет проще если ты эти исходники получил - зашли их мне я посмотрю. Так будет быстрее.

НАРОД !!!

Помогите достать ключ из PST !!!!!!!!!!!!!!!!!!!!!!!!!

Добавлено:
[/QUOTE]зашли их мне я посмотрю[/QUOTE]

Не вопрос! Куда слать?

[CeproBaH]

...
(To moderators: Можно удалить)

CeproBaH - лови...

Насчёт AT комманд - отбой! Не выйдет!
Я качнул Motorola Service Software by Victor v3.2.3. Там кнопка активации Java. Тыкаю - говорит Done! Открываю Java игру (Moto GP), жму Upload - фиг!!!
Думаю, что телефон не поддерживает JAVA Upload. Именно Upload!

Надо как на J-70 чуваки в своё время делали - прямо в прошивке!
Кстати! Когда начинаешь шить телефон, ПСТ создаёт файлы SMG. Те же самые, что и моя прога. Такие же закрипченые. И то, что они закрипчены говорят следующие факты: открываем W32DASM'ом 'pst_fp_flash.dll' и жмём 'Refs>String Data References', смотрим строки - видим 'Decrypt', 'Encrypt', '.smg' и много там ещё таких интересных... не в этой, так вдругой длл из вышеперечисленного набора^. <_<

[CeproBaH]

Дык ты можешь сами процедуры вытянуть? Тыж в ассме шариш, ядро криптовщика нащупай, там скорей всего простейшие команды - XOR, сдвиг, сложение. Мы так Samanta Fox(Strip Poker) на ZX Spectrume "разлочивали" когдато давно :)) Может прокатит? :)

Спешу обрадовать!!!

Я нашёл процедуры, закреплённые за кнопками 'Browse' и 'Flash' !!! :D Как обычно вырубился под утро на самом интересном.

Вкратце о том что делает кнопка 'Flash':
1. очищается буфер для чтения файлов SMG (размер 8 кБ)
2. Kernel32.ReadFile
3. чтото делается... (с первого взгляда не похоже на декрипт, да и в буфере ничего не меняется)
4. Pst_fp_flashdevapi. флешит эти 8 кБ (ещё не трасировал этот entry, декрипт скорее всего здесь!)
5. повтор с 1 пока не кончится файл

Могу адреса кнопок выложить. А вообще я ща домой приду и буду трасить дальше пока голова ещё работает. Заодно адреса выложу... ;)

[CeproBaH]

это и есть исходники на С (ну там конечно ASM'a больше, чем самого С)

Я бы даже сказал, что там от С остались только фигурные скобки :D

Я бы даже сказал, что там от С остались только фигурные скобки

Я бы тоже так сказал :P , потому и плюнул на эти исходники и пользую TRW2000, OllyDBG 1.09d и Win32DASM by J.Ping для исследований. Вообще мне пофиг на самом деле какой язык. Хоть БАРСИК, хоть ПАСКАЛЬ, хоть тот, на котором первые два написаны - АССЕМБЛЕР, т.к. начинал я всё своё программирование на ZX Spectrum и до сих пор хоть и эмулятор, но пользую. B)

А вот адреса кнопок (pst_fp_flash.dll из PST 6.0):
,-----------------------------------------------------------------------_
|**********|---TRW2000---|---Olly DBG---|---WinDASM---|
+---------------+-----------------+----------------+-----------------+
|-Browse---------015979B0------015879B0-----100079B0---|
|-Flash -----------01597DC0------01587DC0----10007DC0---|
\_____________________________________________/

Вообще адреса равны 79B0 и 7DC0 соответственно, всё остальное - зто Image Base - адрес, с которого эта библа загрузится, так - для релоцироемости. bigsmile;

Народ !!!

Можете смело ставить бряк в TRW2000 и трасировать прогу на предмет интересного:

1. Запускаете TRW2000, 'BROWSE', открываете PST.EXE и 'LOAD'
2. вводите: bpx 1597dc0
3. жмёте: CTRL + N
4. юзаете ПСТ

Как только вы нажмёте кнопочку 'FLASH' сразу система встанет колом и на экране появится окно TRW. Ну а дальше - 3..7 бутылочек пива, книжку по ассемблеру, терпение + 3..NN часов свободного времени, SDK по WinAPI, листок бумаги, авторучку и комбинации клавиш F8, F10, F9. Я конечно займусь тем же самым, но вдруг кто опередит (если это кому надо помимо Сергофана и меня <_< )

P.S. TRW2000 настолько замораживает систему, что таймер BIOS останавливается (часы не идут). Так что не забывайте переводить время по окончании работы в TRW.

[CeproBaH]

Lord-3X, c современным ассмом я уже не очень дружу, как-то все больше на С++ наседаю, но если что, чем смогу помогу, адрес знаешь.

[Sep.]

Народ, я особо не петрю в программинге, но вы занимаетесь офигенно нужной штукой. Ведь ява открывает не только новые игры а и броузер через GPRS (нормальный инет а не ВАП), ICQ через Jabber (ява приложение которое на С55 один корешь юзает), и т.д. А игры это вторично...
Я очень заинтересован в вашем проекте, попытаюсь привлечь побольше знающего народа в эту ветку. Вы наверно уже знаете, но самый хакерский форум (на инглише) по вопросам всяких перешивок здесь: http://forum.gsmhosting.com/vbb/forumdispl...php?forumid=166 Там же в других разделах явно найдете много интересного. Главное что там много русских людей которым приходится общаться на инглише.
Так же интересный человек занимающийся reverse engenering есть здесь (обитает на том же форуме, русский, легко вступает в контакт со всеми): http://www.spunlock.com/ у него на форуме много инфы подобного рода.
Забацайте эту Яву хотя бы за счет стирания исходных игр!
Удачи вам всем!

Незнаю как насчет врубления Явы...
Но вот насколько реально поковырять прошивку и заменить установленные игры на нужное мне ПО? Кто-нить задумывался над этим?

Всё чего мы так долго ждали НО БОЯЛИСЬ что это будет не у нас......... абыдна..........

тьфу линка не та )))) ВОТ ТА

Но вот насколько реально поковырять прошивку и заменить установленные игры на нужное мне ПО? Кто-нить задумывался над этим?

SmasH !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
А ты сначала читал? А мы над чем тут задумываемся?

Все !!!
Компьютер тут менял. С сегодняшнего дня продолжаю работу над проектом. Разобрался с АТ коммандами, ужо умею версию ПО определять, имей, тип тела(1800MHz&900MHz), производителя... и т.д. Оказывается комманды-то стандартные... Я от нокии ПДФ-ку по АТ надыбил. Оказывается если проверку на модель и производителя убрать в проге для работы с записной книжкой(будь-то от нокии или симёна - пофиг), то можно читать записнушку от любого телефона!!! bigsmile;

... вы занимаетесь офигенно нужной штукой... Я очень заинтересован в вашем проекте, попытаюсь привлечь побольше знающего народа в эту ветку.

Sep. - 5 баллов (o). Кричи всех сюда! Тоже помощь, одобрямс...

Ведь ява открывает не только новые игры а и броузер через GPRS (нормальный инет а не ВАП)

Sep. - КОЛ , но только в том случае, если ты имеешь ввиду интернет через браузер Internet Explorer, Opera и т.д. - он и так доступен!!! Читай форумы...

Вы наверно уже знаете, но самый хакерский форум (на инглише)...

Спасибо! Но уже знамс... :)

Так же интересный человек занимающийся reverse engenering есть здесь (обитает на том же форуме, русский, легко вступает в контакт со всеми): http://www.spunlock.com/ у него на форуме много инфы подобного рода.

Я тож Reverse Engeneering, его бы к нам... вдвоём веселее !!! (можно, даже нужно больше, просто так говорят )

Забацайте эту Яву хотя бы за счет стирания исходных игр!

В результате исследований я пришёл к выводу, что иначе не выйдет !!!

Удачи вам всем!

Спасибо... Заходи почаще... (o)

unit PST_FP_FLASH; (PST 6.0)

uses TRW2000;

procedure TFormX.FLASH_Button.OnClick(sender: TObject);
begin
--- [код программы] ---
0159D49A CALL (пишет в StringGrid: Creating Image File)
0159D4A5 CALL (создаёт то, что писал ^. Извлекает криптованные SMG из SHX)
0159D4AC (JUMP, если нет ошибки на 0159D554)
* * *
0159D554 (не важно!)
0159D565 CALL (всё остальное: Loading Boot, Erase, ... , FLASH COMPLETED!!!)
^^^ я сюда, а вы??? ^^^
--- [код программы] ---
end;

А вот OllyDBG колом встаёт на бряках... Фонарё'к... <_<

[T-Troll]

Lord-3X: В результате исследований я пришёл к выводу, что иначе не выйдет !!!

Выйдет.

У меня такая идея есть - дело в том, что загрузить сам JAR в телефон не проблема, проблема в том, чтобы прошивка его распознавала и добавляла в "игры" или "office tools".
Так что ИМНСХО оптимальный солюшн - поправить прошивку, дабы сканила зону, например, pictures и добавляла найденные JAD/JAR в games. Сейчас под игры там отдельная зона, загрузить в которую просто не дают.

Над этим сейчас и работаю.