Учимся Патчить Прошивку! C помощью проги Binedit, Нужен Мануальчик от наших ГУРУ Поделиться Опции

[~Gangs2er~]

Вот собсно, я наверное и начну-) Всем нам (Простым смертным) наверно когда нибудь хотелось поковырять прошивку-), но инетресурсов на закачку великой IDE не у многоих хватало-) например у меня-) и тут вдруг ЭТА тема ожила и я решил в неё заглянуть! И нашёл вот ЭТОТ интерестный пост, в котором и лежала эта хорошая прога, (BinEdit), весит она всего 800 килобайт и скачать её было не сложно!
Собственно теперь вопрос к нашим гуру:
Есть мануал: Учимся Дизасемблировать прошивку с помощью IDA, Может кто нибудь из Наших Многоуважаемых Программеров написать мануал наподобии (Учимся Дизасемблировать прошивку с помощью IDA), только с помощью этой проги?! Надеюсь на понимание-)!!!
С УВ Gangster

[Vilko]

бин-едит - не дизассемблер. им можно менять двоичные данные, и только. что-то изучать и анализировать - на данный момент только в IDA

[~Gangs2er~]

бин-едит - не дизассемблер. им можно менять двоичные данные, и только. что-то изучать и анализировать - на данный момент только в IDA

Блин, а жаль-)) То есть им менять нелязя вообще ничего-))) А может начать с него всётаки?!

[Motohobiman]

Мда,Ида мне не светит с таким трафом тоже...Бинарником 'патчить' можно, тока перед этим адресса процедур и.т.п. нужно в Иде искать... Интересно как Electro255 так лихо всё замутил,блин в асме мегабайт кода - тысячи страниц текста,гений наверное... 2 Vilko, скажи пожалуйста ,насколько сильны отличия в адресах кода старых моделей(е398) и новых(l7),eсть ли зависимость какая-то?И ещё существуют проблемы с подключением в p2k режиме новых телефонов в чём трабл?

[RekGRpth]

бин-едит - не дизассемблер. им можно менять двоичные данные, и только. что-то изучать и анализировать - на данный момент только в IDA

Вот уж никак не соглашусь! Как раз дизассемблер, компилятор, отладчик,...
я им СТОЛЬКО патчей портировал на гнусмасах!
вот прикрепляю доки

[~Gangs2er~]

RekGRpth, а вот как с ним работать не мог бы объяснить???

[bad-rustamka]

~Gangs2er~,
а что именно не получается?? файл с прошей что ли в проге открыть?
какое-то время работал с этой прогой, но потом перешёл на иду, и не пожалел, возможностей в ней значительно больше. Если уж так хочется работать с бинедитом, задавайте вопросы, отвечу как смогу

[Dimka]

Интересно как Electro255 так лихо всё замутил,блин в асме мегабайт кода - тысячи страниц текста,гений наверное...

Хе-хе. Если что - инфу elektro255 о том где что лежит в проше и как работает давал наш Vilko. Короче все, что elektro255 сделал - он сделал за счет Vilko. Vilko, как я понял, просто не любит заниматься патчами... Но и заслуги elektro255 я конечно не занижаю, он многое сделал!, просто Вы немного переоцениваете...

Vilko, скажи пожалуйста ,насколько сильны отличия в адресах кода старых моделей(е398) и новых(l7),eсть ли зависимость какая-то?И ещё существуют проблемы с подключением в p2k режиме новых телефонов в чём трабл?

Думаю Vilko тебе ответит подробнее и правильнее, но и я могу подсказать. Адреса буду отличать совершенно, точнее ни одни не будет совпадать. Зависимости ни какой нет. Это просто зависит от того, как скомпилится прошивка или как слинкуется, так сказать.

[Motohobiman]

Vilko,Random для меня вообще персоны the best from all and over the top 4ever...Самое интересное,что эти люди как Человеки(в широком смысле слова) - хорошие,а это большая редкость в наше времья.Да...Жизнь прожить не поле перейти.Vilko искатель-творец вот и влом с патчами возиться ему,знает что можно и всё,ищет интересное,новое ...Нафлудил...Извините...Димка,пасиб,я то губу раскотил на патчи от Ешек;-).

[SANYO_K]

Я так понимаю Binedit сгодится разве что для портирования патчей?

[~Gangs2er~]

а что именно не получается?? файл с прошей что ли в проге открыть?

Да открыть собственно получается-) А вот что дальше делать???
Мне бы инструкцию как вот эту:https://motofan.ru/board/index.php?showtopic=37556&st=90&p=653748

[RekGRpth]

Ну, инструкцию я не напишу, я же выложил её а вот пример раскопки можно
слил я с тела бут и прошу и решил посмотреть, что там творится
открыл их оба в разных окнах бинедита
в буте ищу последовательность 4770 - конец функции
опа - нашёл целую кучу!
так так, посмотрим на первую:
off_00000070 ;вызывается с адреса 0x000000FA
00000070: B410 PUSH {R4} ;Сохранить регистры R4
00000072: 2000 MOV R0, #0x0 ;R0 = 0
00000074: 4975 LDR R1, =0x10092000 ;R1 = значение по адресу (PC + 468)=[0x0000024C]= 0x10092000
00000076: 1C0A MOV R2, R1 ;R2 = R1 = 0x10092000 (269033472)
00000078: 1C11 MOV R1, R2 ;R1 = R2 = 0x10092000 (269033472)
0000007A: 1C14 MOV R4, R2 ;R4 = R2 = 0x10092000 (269033472)
0000007C: 69D3 LDR R3, [R2, #0x1C] ;R3 = слово по адресу [R2 + 28 байт]
0000007E: 42A3 CMP R3, R4 ;Сравнить по R3 - R4
00000080: D000 BEQ loc_00000084 ;если равно (Z) то переход на адрес 0x00000084
00000082: E006 B loc_00000092 ;Переход по адресу 0x00000092
loc_00000084: ; Переход с адреса 0x00000080
00000084: 3104 ADD R1, #0x4 ;R1 = R1 + 4 = 0x10092004 (269033476)
00000086: 2301 MOV R3, #0x1 ;R3 = 1
00000088: 680C LDR R4, [R1] ;R4 = слово по адресу [R1]
0000008A: 2CB1 CMP R4, #0xB1 ;Сравнить R4 и 177 "±"
0000008C: D000 BEQ loc_00000090 ;если равно (Z) то переход на адрес 0x00000090
0000008E: 2300 MOV R3, #0x0 ;R3 = 0
loc_00000090: ; Переход с адреса 0x0000008C
00000090: 1C18 MOV R0, R3 ;R0 = R3 = 0x0 (0)
loc_00000092: ; Переход с адреса 0x00000082
00000092: BC10 POP {R4} ;Загрузить регистры R4
00000094: 4770 BX LR ;переход по адресу в LR
интересно, и что же она делает? других функций не вызывает, совсем простая!
!легко понять, что она читает значение по адресу 0x10092000+0x1C (а это, если глянуть в FB3 - самое начало проши CG1), которое равно 10092000 (хм... вот совпадение ) и сравнивает его с 10092000
затем считывает значение по адресу 0x10092000+4, которое равно 000000B1 и сравнивает с B1 и при условии равенства возвращает 1
что самое забавное, это (возвращение 1) происходит ВСЕГДА
блин! первая функция в буте НИЧЕГО не делает!!!
мож дальше ковырнём

[Raziel_sh]

SANYO_K

Я так понимаю Binedit сгодится разве что для портирования патчей?

патчи портировать можно и просто в hex-редакторе

[SlavUser]

Вот практическая задачка.
Пытаюсь портировать патч "перезагрузка вместо Software Update" c ACB_BR на 52.45_А (L6)

Вот код исходного патча

[Patch_Info]
Firmware=R4513_G_08.B7.ACR_RB
Description=Перезагрузка телефона из меню вместо пункта "Обновление ПО"
Author="IceMan2000", портировал "xmasloff"
Version=1.1

[Patch_Code]
C11A00: F7E7FBB1

[Patch_Undo]
C11A00: B510B088

Для нужной прошивки я нашол значение B510B088 по адресу BC08F8 (или 10C408F8).
Каким-то путем я вычислил что мне нужно перейти по адресу 106D9CDE.
Т.е теперь я должен "поменять" код на что-то вроде:
..............:
10C408F8: FXXXFXXX BL off_106D9CDE ; переход по и т.д.
..............:
Что теперь записать вместо FXXXFXXX я не знаю.

Сообщение отредактировал SlavUser - 2.5.2007, 9:54

[sasha45]

SlavUser, проще открыть CG1 любым HEX редактором и по нужным адресам записать нужные значения.

[AlexKooper]

sasha45, так весь вопрос в том, как узнать какие значения - нужные, а именно, как в хекс-кодах будет выглядеть асм команда BL off_106D9CDE.

[Keyran]

Вроде переход в этом случае идет не по абсолютному адресу, а по относительному. Так что выглядеть она будет по разному. Я делаю подбором, т.к. лень искать это в смещении.

[SlavUser]

Keyran,
Подбором это как?

F000F000,
F000F001,
..............
FxxxFyyy

так что ли?

[Keyran]

Ну вот пример -
00354AAA: F550F8C9 BL off_000A4C40
00354ABC: F550F8C0 BL off_000A4C40
Как видишь, по разным адресам одни и те же инструкции пишутся по разному.
Вообще, BL -инструкция, котороя кроме обычного перехода, сохраняет еще и адрес возврата.
Можно заметить, что если инструкция в хексе имеет вид Fxxx Fyyy
00354ABC-00354AAA=(8c9-8c0)*2. Это выполняется для любых двух инструкций BL, ссылающихся на один адрес.
В данном случае, yyy = 000 по адресу 355С3С. Осталось найти зависимость между этим адресом, 550 и А4С40.


Сообщение отредактировал Keyran - 2.5.2007, 15:37

[Vilko]

команда BL выполняется так:
PC := PC + (OffsetHigh << 12) + (OffsetLow << 1)
в бинарном виде команда записывается так
1111xxxx xxxxxxxx 11111yyy yyyyyyyy
где x - это OffsetHigh а y - OffsetLow
и еще - в любых инструкциях, оперирующих с PC, значение PC берется +4 к адресу самой инструкции. внимательнее при рассчетах.

Сообщение отредактировал Vilko - 3.5.2007, 6:33

[SlavUser]

Vilko,

Спасибо за подробный ответ, но не все шарят в програмировании
Не мог бы ты конкретнее немного ответить
Если я знаю адрес куда переходить то как мне узнать код команды?

типа вот такого
10C408F8: FXXXFXXX BL off_106D9CDE

Сообщение отредактировал SlavUser - 3.5.2007, 6:37

[Vilko]

SlavUser,
считаешь разницу адресов между командой BL +4 и адресом куда перейти.
делишь на 2
если значение меньше 2047 - просто записываешь его в OffsetLow
если больше, то делишь на 2048, результат пишешь в HighOffset, остаток - в Low

[clipsa]

Каким-то путем я вычислил что мне нужно перейти по адресу 106D9CDE.
Т.е теперь я должен "поменять" код на что-то вроде:
..............:
10C408F8: FXXXFXXX BL off_106D9CDE ; переход по и т.д.
..............:
Что теперь записать вместо FXXXFXXX я не знаю.

Я же тебе писал в калькуляторе первое окно откуда второе bl 0xкуда в третьем результат

[SlavUser]

clipsa,
Ввожу в калькулятор кода
Адрес 10C408F8 Мнемоника BL 0х106D9CDE Код F7FFFFFE

Не совсем уверен что это правильный результат

Сообщение отредактировал SlavUser - 2.8.2007, 10:41

[clipsa]

SlavUser,

Правильный (неправильный такой F000F800), для проверки введи его нажми обновить и увидишь
да кстати забыл написать убери галочку Настройки > Подменять дальние переходы через BLX

Сообщение отредактировал clipsa - 3.5.2007, 8:44

[SlavUser]

clipsa,
Неправильный результат

Что интересно, что когда ввожу в калькулятор кода значения адресов из оригинального патча сразу правильный результат получаю, а для моих адресов что то не то.
Может просто не может быть перехода по найденому адресу?

[clipsa]

Ввожу в калькулятор кода
Адрес 10C408F8 Мнемоника BL 0х106D9CDE Код F7FFFFFE

проверяю

Результат F000F800 т.е. адрес на который ты хочешь перейти находится вне диапазона адресов доступных команде bl (слишком далеко)
Вероятно ты где-то ошибся

[SlavUser]

clipsa,
Уже сам начал догадываться

т.к 10С..... а переход аж на 106.....
будем искать
правда я уже в полной растерянности.....

А может этот патч и нельзя портировать на нашу прошивку?

Сообщение отредактировал SlavUser - 3.5.2007, 10:02

[Osta]

считаешь разницу адресов между командой BL +4 и адресом куда перейти.
делишь на 2
если значение меньше 2047 - просто записываешь его в OffsetLow
если больше, то делишь на 2048, результат пишешь в HighOffset, остаток - в Low

а нет программ для расчетов всех загогулин арма
типа ввести адрес1 ввести адрес2 - получаем BL или LDR для Rх либо ... ну что нужно

Сообщение отредактировал Osta - 4.5.2007, 8:44

[SlavUser]

Osta,

Есть конечно. clipsa про такую как раз и упоминает в одном из сообщений чуть выше.
Калькулятор кода называется. Найти можно в BinEdit. Инструменты -> Компилятор -> Вид -> Калькулятор кода

[AlexKooper]

У меня получается по адресу и команде код сосчитать, а как по адресу и коду команду получить? дизасмить как? в калькуляторе обновить не нашел. бинедит версии 2006.12.12

[RekGRpth]

Блин! Чё вы к калькулятору, да к хекс-коду привязались!
Ничё этого НЕ НУЖНО!!!!
Всё ГОРАЗДО ПРОЩЕ!!!
Берёте асм-исходник, компилируете, ВСЁ!!!
Бинедит САМ считает все переходы и переводит их в хекс!
Чё мудрить-то?!

[Мачо]

При порте патча есть только код. А исходников нет. :-) вот и мудрим. Я уже код BL подбираю сек за 20.

[AlexKooper]

Мне неудобно держать 2 дизассемблированные прошивки - непатченую и патченую (которую для каждого патча надо заново дизасмить). Проще иметь дизасм непатченой а как будет выглядеть дизасм патченой определить дизасмнув патч. Там и надо-то в большинстве случаем переход увидеть.

[RekGRpth]

При порте патча есть только код. А исходников нет.

Дак их же просто получить: ставишь патч на прошу, для которой он сделан, открываешь её в бинедите и смотришь по тем адресам, и прямо выдиляешь дизасм и копируешь в асм-файл, осталось найти только адреса в твоей проше!

Мне неудобно держать 2 дизассемблированные прошивки - непатченую и патченую (которую для каждого патча надо заново дизасмить). Проще иметь дизасм непатченой а как будет выглядеть дизасм патченой определить дизасмнув патч. Там и надо-то в большинстве случаем переход увидеть.

При портировании патчей НУЖНО держать открытыми 4 (ЧЕТЫРЕ!!!) проши одновременно!
1) непатченная, для которой есть патч
2) патченная, для которой есть патч
3) непатченная, для которой делается патч
4) постепенно патчуемая, для которой делается пачт - для проверки
всё вместе это хапает не меньше... гига...

[AlexKooper]

RekGRpth, ага, 4. Причем два исходных зачастую отличаются одной командой! А ведь узнай я, что делает функция патча... может, это элементарный nop (упрощаю конечно) - и из-за него открывать еще одну прошивку?

Сообщение отредактировал AlexKooper - 14.5.2007, 5:56

[Vilko]

AlexKooper,
если не хочешь ошибится - лучше открывать обе и видеть оба варианта кода. nop конечно примитивная команда. но вот забит им может быть весьма сильно значащий переход например.

[Osta]

может, это элементарный nop (упрощаю конечно) - и из-за него открывать еще одну прошивку?

команду ноп видно и так в патче , это всегда 46 C0...

Блин! Чё вы к калькулятору, да к хекс-коду привязались!

ну не было у нас телефона Самсунг :-) , который патчить ранее начали чем Моторы :-)
как в калькуляторе кстати посчитать LDR ? :-)

[AlexKooper]

Vilko,
Osta,
RekGRpth,
я все понимаю, но ответьте мне пожалуйста на один вопрос:
как дизассмеблировать код примерно такого вида:
0001234: 2000 (если я на 100% уверен что тут код, а не данные)

не используя дизасм полной патченой прошивки.
Хотелось бы так же просто, как делается калькулятором бинедита аддр+асм>код

Vilko, можно ли как-то в IDA прописать тип моторольких прошивок, чтоб каждый раз не вводить оффсеты сг1, рам и т.д.?

Сообщение отредактировал AlexKooper - 14.5.2007, 8:40

[Osta]

код примерно такого вида:
0001234: 2000

это обнуление MOV R0, #0