Ковырнём Прошивку ..., Hex Workshop 4.0, Hiew etc... Поделиться Опции

[Vilko]

4inut,
вроде ATI, но в прошивке залиты дрова на разные видеоконтроллеры и настройка задается симами.

[G.off]

[OFF]

4inut, слишком маленькие результаты JBenchmark для этого

ну, дык это вам ни ATI Radeon x850PE :) [/OFF]

[KQ_44]

Vilko & puper:
А могут быть и непрямые адреса не обязательно связанные с картой памяти.
Для гарантии, или перебрать всю прошивку или методом научного тыка.

Vilko:
А не знает ли уважаемый, кто-нить делал насилие над фоном в виде залития прошивки
от старших моделей с 32М на борту в младшие с 16М? Ну и конечно, последствия?!

[Vilko]

KQ_44,
гы! :) а как ты собираешься 32 метра в 16ти метровую флешку впихнуть?

[4inut]

2KQ_44,
Я пытался влить флеш от в620 на с650 последствия; FLASH FAILED в прошивальщике и надпись code corrupt в бут лоадере

[Random]

4inut, KQ_44,
действительно, а как вы себе представляли процесс влития 32 мегов в 16 мегобайт? :)
Если внимательно посмотреть адреса в 32 mb прошивках, то даже при желании вы их не вольете -
хоть сама прошивка полезет на 16 mb, а вот на флекс места-то тю-тю... Нету :)
И тем более адрес подписи для прошивки находится уж совсем за пределами флешки от C650.
А без подписи точно работать не будет...

[4inut]

2Randomx,
дык я вливал когда тока купил тело, съемку видео хателась :)

[KQ_44]

Уважаемые, у меня по причине ограниченого трафика нет возможности качать прошивки и смотреть отличия + никто не говорил, что прошивка+флех от 32М модели должны занимать все 32М, ведь в том и прелесть иметь дополнительное место не заполненое барахлом! Но похоже я ошибся в Мотороле, давать юзверю минимум возможностей - это их любимое занатие...

И тут вспоминаются строки: "Вес мир насилья мы разрушим..."

И кстати, почему-то никто не насилует код DSP блока, может пользы от этого
и не много, а вот общего понятия добавило бы значительно. Предложение ко всем,
кто еще не залез глубоко в прошивку и у кого не проявились персональные интересы:
"Посмотрите DSP блок - может там что-то большее, чем мы думаем!"

[Vilko]

KQ_44,
я например пока так и не нашел дизассемлер, который понимает код для DSP FreeScale 56000

[4inut]

HOLMS,
причем тут разрешение экрана? Врядли поддержка 176х220 занимает в 2 раза больше памяти :)

[Vilko]

HOLMS,
4inut,
хватит флудить, плиз.

[puper]

В ап-те есть не только двоичные шрифты - пример тому - фонт , которым выводится Дата-время и лого оператора, при наличии картинки на фоне.
Кто с талкивался с такими фонтами? Как они хранятся - байт(ворд)-цвет на пиксель или те же двоичные наборы для цвета (если да, то как - вес набор для символа, затем следующий или полследовательно по байтам для каждого пиксела)..
Или там используется маска для вывода - типа как для спрайта... (этот вариант лично мне кажется наиболее предпочтительным)
:D Или всё таки фонт хранится как двоичный, и применятся хитрый алгоритм обтекания символов белым цветом (гляди на извраты мотороловских программеров такой вариант отметать нельзя :) )...

Дело в том, что в лэнгпаке я пока их не обнаружил, а вот простой двоичный такого размера - присутствует...
Посмотрите на экран, да на шрифт, да внутро лэнгпака и выскажите своё мнение, плиз....

[Fuhrer]

2puper

хитрый алгоритм обтекания символов белым цветом

А что же там хитрого? Не знаю как это выглядит у тебя, но в моем с350 всё елементарно просто. Вокруг каждого пиксела чёрного цвета рисуется 8 пикселов белого.
Если говорить об алгоритме, то здесь очевидно одно: поверху белого текста нужно рисовать слой черного.
Ну если у них есть такая вещь как поверхности (как в DirectDraw, например, иными словами слои), тогда я бы сделал это по такому алгоритму:
- На поверхности "Ч" (чёрная) рисуется обычный чёрный текст.
- Поверхность Ч перебирается по пикселу. Если пиксел прозрачный - не делать ничего, если чёрный - нарисовать на поверхности "Б" белый квадрат 3х3 с центром в точке, где найден чёрный пиксел.
- Отобразить на экран поверхность Б, затем Ч.

Ну вообще ты прав, фонт сделать было бы легче, чем такой хитроумный алгоритм...

[gsm-dev]

Готов поделиться 3 ключами для подписания прошивки RSA работает на всех типа телефонов моторола а также раскриптовкой PDS

2puper

А что же там хитрого? Не знаю как это выглядит у тебя, но в моем с350 всё елементарно просто. Вокруг каждого пиксела чёрного цвета рисуется 8 пикселов белого.
Если говорить об алгоритме, то здесь очевидно одно: поверху белого текста нужно рисовать слой черного.
Ну если у них есть такая вещь как поверхности (как в DirectDraw, например, иными словами слои), тогда я бы сделал это по такому алгоритму:
- На поверхности "Ч" (чёрная) рисуется обычный чёрный текст.
- Поверхность Ч перебирается по пикселу. Если пиксел прозрачный - не делать ничего, если чёрный - нарисовать на поверхности "Б" белый квадрат 3х3 с центром в точке, где найден чёрный пиксел.
- Отобразить на экран поверхность Б, затем Ч.

Ну вообще ты прав, фонт сделать было бы легче, чем такой хитроумный алгоритм...

[dimichxp]

gsm-dev,

Ну дык поделись.

[mad74]

puper,
на самом деле действительно используется обтекание обычного шрифта, когда у меня был относительно удачный опыт по изменению шрифта(писал раньше в этой ветке), изменения коснулись всего, что выводится на экран стандартным шрифтом

[puper]

puper,
на самом деле действительно используется обтекание обычного шрифта, когда у меня был относительно удачный опыт по изменению шрифта(писал раньше в этой ветке), изменения коснулись всего, что выводится на экран стандартным шрифтом

С другой стороны, если это так, то даже хорошо, не надо маски менять, пусть себе обтекает...

[MicroM]

Вопрос по С650.
Ковыря прошивку не наталкивался-ли кто на код взаимодействия с камерой?
По идее ovfirmware.bin всякий раз при её запуске записывается в память микроконтроллера,
который управляет камерой.
Телефон потом передает коды событий (изменили яркость, нажали снять) этому контроллеру.

[Vilko]

MicroM,
да, так и есть.
а что именно нужно?

[MicroM]

Нужно знать коды событий.
Часть я понял из Ovfirmware.bin
Остальное пока непонятно.

Может еще что-то туда подгружается.
Есть подозрение что в контроллер может подгружаться LookUpTable.
Это таблица перекодировки, для быстрого сжатия в JPG.
По даташиту её программирует хост устройство, для контроллера хост это телефон.
Правда даташита на OV529 нет, читал про OV511. На OV511 строятся веб камеры.

[Vilko]

Нужно знать коды событий.
Часть я понял из Ovfirmware.bin
Остальное пока непонятно.

Может еще что-то туда подгружается.
Есть подозрение что в контроллер может подгружаться LookUpTable.
Это таблица перекодировки, для быстрого сжатия в JPG.
По даташиту её программирует хост устройство, для контроллера хост это телефон.
Правда даташита на OV529 нет, читал про OV511. На OV511 строятся веб камеры.

нашел процедуры загрузки Ovfirmware.bin
ищу все, что еще связано с коммуникацией с этим устройством.

[MicroM]

Читается из телефона таким образом
FF,FF,FF,A,B,C,D,E причем читается подряд из одной ячейки памяти (внешней).
Сначала заголовок из FF затем код события/параметра A, значение для него В.
Последние три тоже читаются и всё это размещается в памяти.
Зачем три последних мне пока непонятно. Я их вообще занулял и выкидывал из фирмваря их обработку, всё работало.
Коды такие.
12h - профиль освещения
17h - стиль фотографии
18h - зум с джойстика
21h - экспозиция
24h - зум из настроек камеры
25h - яркость
05h - вроде фоткание
04h - без этого видоискатель неработает
09h - наступает если настройки камеры в меню менялись

Есть еще много всяких но эти самые нужные :)

[sic_cat]

Ребят.. не поленился прочитать все странички топика
итак упор на то что в процике есть некая прога которая запускается при включении, делает всякие дела, и главное проверяет подпись.
Напрямую по УСБ мы ее перепрошить не можем....

а что если вогнать мобилу в testpoint....ведь позволяет же это восстановить мертвые телы ?
и пытаться шить.

или вот еще есть момент, по сименсам М55....первые телы имели программную дыру в загрузчике, так их через нее и патчили. Потом загрузчик сменили
НО !!! к его области кода можно было долезть java апплетом...написали патч на java....а в моторе как ?

и как вообще в проц этот код запихали ? если он там в EEPROM или FLASH то можно и перешить коротнув отдельные ноги....

или вариант только один, купить новый ARM запрогить его по своему и впаять на место родного...
но на это не каждый решится :(

[wRAR]

и пытаться шить.

Кого шить? Непрошиваемую область, где проверка? Мимо.

и как вообще в проц этот код запихали ? если он там в EEPROM или FLASH то можно и перешить коротнув отдельные ноги....

Щаз, ага. IMEI заодно смени.

или вариант только один, купить новый ARM запрогить его по своему и впаять на место родного...

Смысл?

[Vilko]

или вариант только один, купить новый ARM запрогить его по своему и впаять на место родного...

ARM там на кристалле одного большого чипа по имени neptune lte, который по сути есть 90% всего телефона.
так что паяльником там делать нечего

[sic_cat]

ARM там на кристалле одного большого чипа по имени neptune lte, который по сути есть 90% всего телефона.
так что паяльником там делать нечего

ясно. опять же не у каждого есть паяльная станция <_<

а как он вообще программируется...я с MCSками общался в свое время....сначала в них память неперезаписываемая была, сейчас как правило все можно переписать.
а как дела с этим neptune lte ? чип то новый...

[Vilko]

sic_cat,
ну, новый - это ты хватил... насколько я знаю он уже снят с производства, новые уже с 3G платформой идут.
а насчет перезаписываемости - не знаю. никаких намеков на то, что это возможно не находил.

[sic_cat]

Vilko
да я про E398....его платформа используется в еще только готовяшемуся к продаже E1 с iTunes

а как такие фантастические варианты, при прошивке есть кодовая группа для DSP
а ее подпись тоже проверяется ?
а этот самый DSP стартует сразу или только после проверки подписи
а если сразу то есть ли у него доступ к адресному пространству де идет проверка подписи
а если есть то может ему написать программку небольшую <_<

и еще заметил такое....при обычном включении тел ждет несколько секунд а потом включает подсветку...
эти секунды и идет проверка подписи ?
а вот при подключенной зарядке тел врубается мгновенно....проверка не идет

[Vilko]

sic_cat,
iTunes - это реализация запасов наштампованных LTE процов в "новой обертке" :). возможно, сами процы еще производятся, но сомневаюсь.
LTE2, который есть 3G - уже в продаже.

- DSP - да, она подписана одним блоком вместе с основным кодом прошивки. т.е. firmware DSP и код прошивки не разделимы.
- DSP fw подгружается в dsp уже самой прошивкой после получения ею управления и инициализации кучи других устройств.
подсветка включается после инициализации операционки, а это долго.

[sic_cat]

Vilko
совсем нас разочаровываешь, все начинания на корню губиш :(
вот пойду и напьюсь, а с остатков пьянки куплю SE K750

ломать код всеравно нереально ((( вариант или ломать железо или моторольца
в питере есть их центр...
хуже то что врядли они зают ключик, наверно если что и пишут то на подпись в долину шлют

[Vilko]

sic_cat,
ключика ни у кого в мотороле нету, есть сервер, который подписывает данные.
а насчет начинаний - я вот уже вовсю Е1000 ковыряю.
правда, его на MCORE сделали вместо ARM, на него хрен доки найдешь.

[puper]

Всё таки меня не покидает мысль обойти подпись хотя во время жизни одного цикла, т.е до выкл. аппарата.
1-й вариант остаётся в силе...(см. много постов назад (через шлюз в лэнге)))
Vilko, расскажи, плиз, при каких условиях происходит вызов того THUMB кода... Глядя на декомпилированный текст прошивки, у меня появилось смутное предположение, что он срабатывает, когда кол-во языкоав в лэнгпаке = 0. Т.е тогда происходит инициализация как-бы аварийного варината, и вызывается этот код.. хотя обоснований мало - только мало аргументированная версия... Но если всё таки так, то вариант прокатит.
И 2-й. Java. В жизни не написал ни одной строчки на Java (потому как ретроград - АСМ уважаю :) - и не сильно признаю всякие апперетивы... Но есть предположение, что через Javu можно всё-таки пропатчить прошивку... Пусть хотя бы и до первого выключения - или два пунка: Применить патч- отменить патч.... Не хочется верить что в Java наглухо обрублен доступ к памяти /портам

[Exebyte]

И 2-й. Java. В жизни не написал ни одной строчки на Java (потому как ретроград - АСМ уважаю :) - и не сильно признаю всякие  апперетивы... Но есть предположение, что через Javu можно всё-таки пропатчить прошивку... Пусть хотя бы и до первого выключения - или два пунка:  Применить патч- отменить патч.... Не хочется верить что в Java наглухо обрублен доступ к памяти /портам

Нет, из JAVA этого точно нельзя сделать... Если только какими-нибудь недокументированными командами, но это не факт... А для того, чтобы проверить это надо конкретно поковырять JAVA движок...

P.S. Я тоже не любитель языков "высокого" уровня... ASM рулит...

[Vilko]

puper,
жаба по своему определению исключает какой-либо доступ к железу/прошивке. разве что найти какой-нибудь баг в данной конкретной реализации JVM. но это нужно "долго и мучительно" расписывать и изучать весь движок JVMбкоторый весьма немаленький.

а насчет "обойти подпись хотя-бы на 1 цикл" - так с этим-то проблем нет, я уже давно описывал, что возможен "внешний запуск" патченной прошивки. т.е. ты вливаешь исправленную прошивку, телефон при включении видит ее несоответствие подписи и уходит в бланк. после это ты тем-же например RAMLDR просто даешь флеш-команду JUMP на точку входа в прошивку и она работает. до следующей перезагрузки, когда опять комп и ramldr понадобятся.

[RusBiT]

Vilko, А можно слить как нибудь эту пропатченную прошивку не выключая сам телефон ?
Что то типа p2k backup`а сделать

[Vilko]

rusbit,
ну, впринципе можно, только зачем? выключил, считал обычным способом, потом опять включил...

[puper]

а и один цикл жизни то же хорош... У меня тел по месяцу-полтора бывает не перегружается (когда его не насиловать).
И ещё (To Vilko и иже с ним, кто код расковырял)....... Что есть в начальных адресах (читай начиная с нуля) - неужто вектора прерываний и исключений, как и в комповых схемах? А немного выше что - BIOS железа? Я в коде прошивки мало нашёл работы с железом, ИМХО через тот первозданный BIOS работает. Верно ли сие предположение....? По крайней мере обращение к видеоконтролеру встречается только в начальных аресах (это что я смог увидеть) - а в самом коде не встречались ссылки на железо.... А там (в начале) что то типа InitDisplay, ShowDisplay, DoneDisplay и т.д. - Это верно - или я глуп и слеп? Кроме того, в BootLоadere тоже есть такие функиции....... (Как аварийный вариант для отображение чегой-то там на экране)

[RusBiT]

Vilko,
А кто нибудь пробовал так => пропатчил прошивку => зашел в flasg mode (* # выкл) и скачал прошу через ramdlr.
Надо как то попробовать решить эту проблему...

[Vilko]

puper,
да, в начале действительно таблица прерываний, и нечто типа биос- то, что начальную инициализацию проводит и проверяет подпись перед тем, как управление передать. он-же обеспечивает функционирование бланк-режима.
а само общение прошивки с железом большая часть все-же в самой прошивке, просто мало искал...

rusbit,
я что-то не пойму, что у тебя за проблемы и что ты хочешь решить? нахрена тебе прошивку сначала пропатчивать а потом считать? ну считается она, это я тебе сразу говорю. и дальше что? :)

[Osta]

Vilko, у меня вопрос :

Код

[b]Vilko[/b]
Модель телефона: С350, С650
Прошивка: R364_G_0B.D1.0BR

вот для с650 нет ли уже изменённой прошивки, в которой явно видно,
что она переделана/улучшена ?
например, вот ребята прошивка, в ней сделана мультисъёмка ,
ставить и запускать как описано выше.
Спасибо .