Ковырнём Прошивку ..., Hex Workshop 4.0, Hiew etc... Поделиться Опции

[Vilko]

KQ_44,
там 2 этапа - есть хеш прошивки, зашифрованный ключем, и результат лежит в сертификате.
N - компонента ключа, которым закрыт хеш - тоже лежит в блоке подписи, не в прошивке!
эта N компонента прохеширована, и ее хеш уже зашифрован ключем, N которого зашит в ROM.
делайте выводы... :)

а насчет подмены ROM - да, вроде-бы блоки памяти 00000000 и 10000000 меняются местами при активированном спец-сигнале типа test-point.(но не сам test-point) :)

[puper]

и если уж ломать - гораздо реальнее сломать (подобрать) SHA-1 хеш на свой измененный код. на это надо несравнимо меньше операций, чем на факторизацию.

Я со свои 3- классным начальным образовнием мало что понимаю в ваших математических изысках(изысканиях), но эта цитата от отVILKO (Трижды РЕСПЕКТ!!!!!!1) - подтверждение всех моих душевных терзаний (бальзам на душу - истина рядом!!!!!!!!!) в resulte - нам надо дополнить прошу такими байтами, чтобы при подсчёте хэша проши она давала тот же результ что и в оргинале (до изменения) -ВЕДЬ SHA-1 АЛОРТИМ ТО УЖЕ ИЗВЕСТЕН! - Вот это и будет подбор/эмуляция - и МЫ ИМ ВСЕМ ВСУНЕМ!!!!!!

Клиента на Asm-е я то напишу. Да и описания алгоритмов наличиствуют (NumberFieldSieve тоже).
Не в этом проблема. Делать это тупо влоб, набирая огромное кол-во машин нестоит.
Надо найти максимум всего для упрощения этого процесса.

"Я тут слово сервер нечаяано пропустил" - Если идти эти путём (перебирать/перемножать простые числа) - наши внуки помрут - а число не найдено будет, мне видится всё таки челоческий фактор - живой девелопер Motorloa-вец со своими человеческими слабостями и т.д.

И ВСЁ ТАКИ! Если телу всунуть такой набор байт, когад SHA-1 даст тот же Result что и до изменения, тогд мы их сделали?

[puper]

Vilko

а учитывая тонкости реализации подписи именно в моторах - нужно подобрать хеш только на блок длиной 128 байт. этого будет достаточно, чтобы делать в дальнейшем любые изменения в прошивке без дополнительного подбора.

Я памятник воздвиг[ну] те неруктоворный , если пояснишь что за

тонкости реализации подписи именно в моторах - нужно подобрать хеш только на блок длиной 128 байт.

. - И сам дойду - но давйте не будем терять тайм.
--------- ПЛИЗ!

[Kwinch]

А нельзя создать на эмулированном порте еще и эмулированный телефон и таким образом захватывать весь траффик от ПСТ к телу???
Т.е. какую-то прогу, которая притворяется телефоном и ловит все приходящее на порт....

[puper]

А нельзя создать на эмулированном порте еще и эмулированный телефон и таким образом захватывать весь траффик от ПСТ к телу???
Т.е. какую-то прогу, которая притворяется телефоном и ловит все приходящее на порт....

Сдаётся мне эт ничё не даст, ну словим мы трафик - а чё с ним делать, - и без трафика ясно что куда идёт - вся муля в самолм теле.

[dion]

Kwinch, Это не проблема. Тот же USBsnoop. Оно не претворяется телефоном, а ловит весь траффик по USB.
Только IMHO смысла в этом 0. Не PST же подпись проверяет, а телефон.

[puper]

Вопрос к Vilko и иже с ним
Простите мне моё вновь возникшее ламерство и чайниковатость, но выше я читал, что CG18 - это подпсись прошивки - почему 2048 байт - и почему я там вижу такие строки типа "Motorila PKI, Motorila Inc" и т.д.

[Vilko]

puper,
потому что это блок стандартного pki сертификата со всеми заголовками, блоком ключа, блоком хеша и т.п.

Kwinch
можно, я такое давно уже сделал. только какой в данном случае только смысл?

[mardariy]

<_< Ответьте пожалуйста знающие люди на следующий вопрос- Насколько принципиальна версия языкового пакета для поред. прошивки, то есть насколько принципиально использовать пакет именно для этой версии прошивки, какие возможны глюки с программной точки зрения? Спасибо) :)

[Тушик]

mardariy,
Вообщем принципиальных различий нет,но на новые прошивы (1AR и выше) лучше заливать ленгпак минимум от 1 АР.
Пользователю запрещено создавать сообщения

[mardariy]

спасибо за ответ (не много не понял про 1AR -к какому телефону это носилось?) но эот собственно и не столь важно)) Вопрос был несколько в другом каким образом (программно) выделяется языковая область и соответственно исходя из этого на сколько критично наличие в ней чего то отличного от лэнгпака конкретно для данной версии... какая вообще принципиальная разница в лэнгпаках для одного и того же аппарата но для разных версий прошивок? такой абстрактный вопрос... без конкретного тела..(естественно касательно совр. аппаратов)))

[Тушик]

mardariy,
ОЙ!Не посмотрел,у тебя Триплеты.Обьясню на примере С650. Не знаю точно,но помоему до прошивы 1AR был один ленгпак,после нее другой.У того что ДО была косячная русификация,у тех что после-чуть получше,но тоже не ахти.
Впринципе заливка другого ленгпака не критична.Это просто как тебе нравится,у каких-то ленгов русификация хуже,у каких-то лучше.Вот и все.
Пользователю запрещено создавать сообщения

[Vilko]

mardariy,
суть в том, что длина(кол-во записей) в лэнге может менятся. и новая прошивка при старом лэнг-паке может обратится к несуществующей в этом старом ЛП записи.
как именно при этом заглючит - не знаю. :)

dion, puper
по поводу лома SHA у меня еще идей, готовых к реализации нету, поэтому пока про RSA:
1 - одна из наиболее сложных задач при подборе - как раз нахождениепростых чисел, само деление на них потом - не проблема. так что задача нахождения их точно должна быть на клиенте.
2 - искать надов диапазоне 1..корень(N), т.к. один из сомножетелей точно будет меньше этого корня. надеюсь, понятно почему? :)
3 - за реализацию сервера подбора я сам не возьмусь - времени нет, так что жду добровольцев.

неплохая библиотека для работы с большими числами: _http://indigo.ie/~mscott/ , _ftp://ftp.computing.dcu.ie/pub/crypto/miracl.zip

[mardariy]

спасибо всем за ответы :)

[Vilko]

hobbit19,
если сломаем подпись, так или иначе - можно будет творить полный беспредел. :)

KQ_44,
с процедурами sha можно было не мучится, они стандартные, у меня и на cpp и на асме есть. :)
а по поводу портов - давай в асю... 57190216

[absorbb]

В каком виде в прошиках хранятся типы файлов? В зашифрованном или в явном?
Если например тип jar описать как мелодию, то можно было бы сделать возможность посылать яву из телефона.

[Vilko]

absorbb,
ну сколько раз повторять - НЕЛЬЗЯ ПОКА ПРОШИВКУ МЕНЯТЬ! НЕЛЬЗЯ!

[absorbb]

Vilko,
да знаю, я просто подумал может это вообще во флексе

[absorbb]

Vilko,
off_topic; [off] тут объявился чел с прошивкой 96R_A для е398 хочет поделиться с народом. Может поможешь?
Это будет первый опыт слива прошивки и последующей заливки [/off]

[KQ_44]

Vilko:
Твой ICQ у меня есть давно, но нас тут ограничивают, да и все рабочие материалы по С650 дома.
Исходники SHA у меня тоже есть разные, просто сравнивал - с них станется и свои прелести внести+для понятия, что на входе процедур.

[absorbb]

ftp.electro.com.pl - очень интересный ФТП. например по адресу
ftp.electro.com.pl/serwis/Motorola/motorola
можно найди кучу документов, описывющих схемы тел моторол.
Гляньте может что пргодица.

[mad74]

вот такой вопрос возник у меня: а не поддерживает ли файловая система в p2k телефонах ссылки, как это реализовано в *nix-подобных ОС? Это могло бы открыть интересные возможности, с учетом того, что карта памяти, скажем, в Е398, является для телефона каталогом /b/(или я неправ?)...

[KOPAY]

Вообщем вопрос у меня, глупый наверное, влом было если честно искать, скажите, у всех моторов один и тот же тип процессора? Если да, то какой, если нет, то, если это возможно, скажите, какой тип на моторе Е398. И есть ли файлs поддержки этих процессоров под IDA?

[dmat]

KOPAY,
какой то из ARM7 помоему

[KQ_44]

KOPAY:

Из rdf файла в Е398: CPU>Motorola LTE-ARM7TDMI-S

Все зависит от платформы, на которой собрана мобила.
Сходи к Freescale Semiconductor, Inc. (бывшая Motorola Electrinics)
Я встречал платформы: i.200-20 (2G) i.250-20 (2.5G) i.250-21 (2.5G) i.275 (2.75G) i.300-20 (3G).
Посмотри которая по хар-кам ближе - в описаниях к платформам есть много интересного.

Для IDA - ARMB, он же ARM Big-endian (инфа от Vilko).

[Vilko]

Все, что касается подбора простых сомножетелей для ключа моторолы перенесено сюда: Раскрываем подпись прошивки

[KQ_44]

2All:
Ходил на сайт о котором говорил absorbb. Там есть даташиты на несколько процов от Моторолы из серии DSP566xx (на сайте моторолы даташитов на них нет). Это не то, что было бы интересно, НО некую инфу о работе некоторых блоков оттуда можно почерпнуть.

[Archy]

Ребята, повторите плз ссылку на прогу (а лучше на 1-й страничке для народа приклейте) для перебора РСА ключа, есть несколько компов - будем считать :)

[hobbit19]

Archy
ты попал в немного невту тему
о RSA все перенесено в сротв тему!!!!

[oper_89]

А ОТ С350Л можно прошивку взломать? Если да, то чем и где это взять?

[Vilko]

oper_89,
что значит "взломать" ?

[puper]

Вот зародилась мысль, как попатчить прошивку, минуя RSA- всё ИМХО.
Когда делал лэнгпак эдитор, то Crusader любезно предоставил мне кой-какую инфу, которую он нарыл в своё время, тож желая его (лэнгпак) сломать.
Среди всего прочего был его разговор с Vilko (все дороги ведут в рим ? :) )

Vilko      14.10.20 15:05 с 240 по 244 - это ARM thumb код, процедура,
                               которая возвращает ее вызывающему LangPack_ID

Теперь по пунктам:
1. Подпись прошивки проверяется при включении аппарата - так?
2. Если в лэнгпаке есть код, много вероятно что он когда-нибудь да вызывается, и опять многовероятно, что вызывается он при работе аппарата, т.е. после проверки подписи.
(М.б. он вызывается из "Параметры--> Состояние телефона -->Другие сведения --> Языковой пакет");
3. Лэнгпак мы менять умеем. По-крайней мере строки и прочая муть пока не интересует - главное - изменить четыре байта и ещё дописать туда кучу байт (назовём эту кучу процедура A).
4. Меняем Thumb код (четыре или пять? 240-244? байт), возвращающий LangPack_ID на свой, который вызывает нашу процедуру A.
5. Наша процедура А должна проверить, если она вызывается первый раз (после включения) - тогда она патчит прошивку кодом, дописанным в тот же лэнгпак например.
Для того, чтобы менять можно было много байт, из лэнгапака можно поудалять ненужные языки. В конце в любом случае она возвращает LangPack_ID - как было задумано первоначально.

ИТОГО: Мы имеем телефон с чистой прошивкой и лэнгпак, в которм сидит патч для этой прошивки. Пропатчивание происходит уже после включения аппарата ( - когда все подписи проверены) и действует до выключения.

Один Огромный минус - если выключить аппарат (или он сам выключится) в таком состоянии (не вернув на исходную) - то он потом не включится - надо перепрошивать (Слабенький выход из этого- сделать так, чтобы процедура А, если обнаружит, что патч уже сделан, тогда отменяла его).

Скажите, люди премногоопытные и премногознающие, что здесь не так?

P.S. О серьёзных глюках и нужных пожеданиях по SHXCodec пишите на мыло плиз (papirosnik@mail.ru), на мелкие глюки пока забейте - всё таки тема называется "Ковырнём прошивку..." а не "глюки недоделанной проги" :)

[hobbit19]

puper
а всетаки ты проверял прогу на 364 серии?
кстати насчет обхода RSA хорошая идея попытайся ее реализовать!!!!
кстате говыряяс в прошивках ты нечего не обнарущил что
может сократить время подбора RSA
какие нибудь законамероности

[Vilko]

puper,
по поводу патча прошивки через лэнг - уже пробовал. эта процедура фактически либо не вызывается вообще, либо вызывается при условии, которое я так пока и не смог найти. судя повсему, вызов ее прописан в случае, если происходит выход из процедуры инициализации OS телефона, а этого выхода при удачной инициализации OS просто не происходит.

Видимо SHXСoDec надо уводить в отдельную тему?

завтра займусь. :)

[puper]

Vilko,

эта процедура фактически либо не вызывается вообще

м.б. ещё какие-нибудь подобные шлюзы на глаза не попадались?
если да, то может найдём всё-таки способ их активировать.
И второй вопросик - при перезагрузке тела из-за глюка опсос получит сведения, что абонент отключается, али будет так, как если батарею вынуть. По другому: выполняется ли какой-то exitproc, или тел перегружается в результате сброса проца (аппаратно) и этого никто, кроме его самого не может предвидеть?

[Vilko]

puper,
как и на компе - бывает нормальный shutdown, с нормальным сохранением всех данных и т.п., а бывает и неожиданный рестарт, вплоть до мгновенного ресета. впринципе, ничего опасного в этом нет, опсосу вообще плевать, как именно абонент пропал из сети, а в телефоне нет таких данных, которым может сильно повредить неожиданное выключение...

м.б. ещё какие-нибудь подобные шлюзы на глаза не попадались?

нет, больше ничего подобного не находил...
впринципе, есть возможность через команду memacc, позволяющую производить чтение/запись памяти тела(именно памяти, не процесса записи флешки) - пропатчить оперативку телефона, в которую при загрузке копируются драйвера железа для их более быстрого выполнения. с тем, чтобы пропатченный драйвер передавал управление на нужный адрес, где бы он ни находился. но это крайне сложно и мне например пока не удалось.

[oper_89]

Vilko,
как на с350л языки урезать и надписи поменять, а то не получается что-то?

[oper_89]

Vilko, короче открываю lang.editor, жму parse language, а он мне access voilation... Шо делать?

[oper_89]

Меня терзают смутные сомнения... Кажись, этой проге не нравятся ленгпаки от с350-х. Так ли это и следует ли ожидать версию с поддержкой для этих моделей?

[Vilko]

oper_89,
телефоны С350 .. С550 - это предыдущее поколение, его поддержка не планируется, во всяком случае мной, ибо этих телефонов становится все меньше и меньше.