Учимся Патчить Прошивку! C помощью проги Binedit, Нужен Мануальчик от наших ГУРУ Поделиться Опции

[Osta]

C Помощью чего это сделать?

ну открываешь эльф е398 в IDA жмёшь клавишу G
вводишь BackLightLogInfoPrint - Ок
ты оказываешься на этой процедуре
видишь там по коду
LDR Rх, =blc_log_buffer
по щелчку на blc_log_buffer ты оказываешься в оперативке
на её куске под названием blc_log_buffer (запомни её адрес 14 хх хх хх )
жмешь на ней клавишу Х видишь её явное использование
по щёлчку переходишь на где явно прописан адрес в виде 14хххххх
искомого куска оперативки , видишь off_10хххххх DCD blc_log_buffer
что в НЕХ выглядит как 14 хх хх хх тоесть адрес тот что ты запомнил

вот так ищется оперативка и явное её использование (если всё хорошо)
есть ещё неявное использование наращиванием/срезанием адреса близлежащих кусков оперативки, но тут не этот случай

итого : когда ты нашёл off_10хххххх DCD blc_log_buffer
копируешь всё что рядом и уникально , например кусок стринга отладки
"BLCBacklightTimeout : Start"
и ищещь у себя в прошивке этот стринг , где-то рядом будет адрес 14 хх хх хх

[___РЕНАТ__]

Osta, а с помощью бин эдита это не получится?
открывать нужно эльф пак, или сам эльф или патч из эльф пака?

[Osta]

открывать нужно эльф пак, или сам эльф или патч из эльф пака?

открывать нужно это -->> Some useful stuff for patchers!

[Xav4ik]

Можно это сделать немного проще.
Нам нужно найти сигнатуру blc_log_buffer_100 которая расположенна в прошивке ACR_RB по адрессу 0x12789BD8.
С начало рабораем с прошивкой ACR_RB, открываем её в Bin Edit. Копируем адресс 12789BD8 в строку поиска и нажимаем кнопочку Ссылки на адресс, на ней изображенна красная буква А с лупой, Bin Edit найдёт ссылки открываем ссылку на данные. Переходим на любой адресс(их может быть несколько)я выбрал 1032506A, смотрим код

Код

1032506A:    4D52    LDR    R5, =blc_log_buffer_100
1032506C:    9001    STR    R0, [SP, #0x4]

видим что сигнатура тут присудствует.
Далее возвращаемся во вкладку Hex копируем строку кода и ищем её в другой прошивке.
вот я нашёл в прошивке AER_RB эту строку, перехожу на адресс, потом перехожу во вкладку код

Код

1032577A:    4D52    LDR    R5, =0x1278A5C4    
1032577C:    9001    STR    R0, [SP, #0x4]

Адресс 1278A5C4 это адресс функции blc_log_buffer_100.

ЗЫ. Согласен обьясняю я плохо, не судите строго.

[___РЕНАТ__]

Xav4ik, А как ты узнал что ...log_bufer... находится именно на этом адресе?
[/quote]

[Osta]

прошивке ACR_RB по адрессу 0x12789BD8

А как ты узнал что ...log_bufer... находится именно на этом адресе?

я так понимаю из исходника патча на ACR_RB

[Dj-AntoXa]

B app_start
BL AFW_CreateInternalQueuedEvAux

Скажите пожалуйста.
1. Как найти функцию BL? Через IDA поиском по паттернам?!
2. При компилировании на свою прошивку выдаёт ошибку что функция B выходит за пределы.

Сообщение отредактировал Dj-AntoXa - 7.3.2008, 6:06

[Osta]

1. Как найти функцию BL?

BL или AFW_CreateInternalQueuedEvAux ?

выдаёт ошибку что функция B выходит за пределы.

значит действительно далеко, ставь поближе

[Xav4ik]

Как найти функцию BL?

Я ищу фуйнкии таким методом.
Применяю патч в прошивке, потом открываю прошивку в Bin Edit, открываю исходник патча.
Видим что у нас код располоден по адрессу 0x1051A748

Код

.start  0x1051A748
        BL      my_MMAPortingGetCurrentViewType
        POP     {R3,R4,R7,PC}
.patchcoment "MMAPortingGetCurrentViewType"

Нам нужно найти функцию my_MMAPortingGetCurrentViewType, переходим на адресс 0x1051A748 открываем вкладку код видим следущее

Код

1051A748:    F7FFFFCE    BL    off_1051A6E8
1051A74C:    BD98    POP    {R3,R4,R7,PC}

Видим что тут есть BL смотрим ниже есть POP {R3,R4,R7,PC} и в исходнике тоже, значит мы на нужном месте. Адресс функции my_MMAPortingGetCurrentViewType будет 0x1051A6E8

[Dj-AntoXa]

2. При компилировании на свою прошивку выдаёт ошибку что функция B выходит за пределы.

значит действительно далеко, ставь поближе

как поставить поближе ?
Я её ищу так же как и BL (постом выше)

B continue
B app_exit_continue

Не запускается IDA выдаёт

D:\Program Files\IDA\cfg\idagui.cfg, 174: "OpNumber" = '#'
illegial hotkey

[WhiteHotIce]

Не запускается IDA выдаёт
Цитата(IDA)

D:\Program Files\IDA\cfg\idagui.cfg, 174: "OpNumber" = '#'
illegial hotkey

ну так открой этот файл и затри эту строчку, я, по крайней мере, так сделал, когды вылетела эта ошибка =)

[Dj-AntoXa]

ИДА запускается. Но как всё таки быть если функция В выходит за пределы? Какая разница между B и BL. BL переход с адресом возврата. Могу я их поменять?

Добавлено позже (9.3.2008, 14:41):
1.Перед тем как искать адрес я должен опдределять какой это код Thumb или ARM.
2. как найти адрес если он не находится не по сигнатурам, не по хэкс ходу.

[Osta]

Но как всё таки быть если функция В выходит за пределы?

лучше дай пример этого кода сюда. возможно у тебя не определена просто функция continue

Какая разница между B и BL

при В выполнение уйдет на адрес, который указан после В и не вернётся
при BL выполнение кода уйдет на адрес, который указан после BL
но после выполнения кода с этого адреса вернётся на адрес BL+1

[Umka85]

Пытаюсь портировать патч: USB-зарядка вместо анимации
Вроде офсеты правильные нашёл, патч не работает, телефон не включается.
Подскажите, как значения искать, там расхождение небольшое.
Вот что у меня получилось.

[Osta]

Вроде офсеты правильные нашёл

правкой только адресов патч работать 100% не будет
даже 0826 - это на L9 совершенно другой байт в seem 004a

[Umka85]

Вот потому я и здесь.
Исходник есть, Мануал по портированию я прочитал, только там плохо обяснили, как портировать от исходника. Можно поподробнее?

даже 0826 - это на L9 совершенно другой байт в seem 004a

Точно, значит на L9 будет:
01475C04: 0857

Сообщение отредактировал Umka85 - 10.3.2008, 16:09

[Dj-AntoXa]

Osta, вот исходник

.equ seem_4a 0x61F

.code 32

.start 0x103128AC
B 0x103128BC
NOP
.patchcoment "Dialog::baseKeyMapping"

.code 16

.start 0x105C1784
MOV R0, #0
.patchcoment "PowerDownStartApp 0"

.start 0x105C17C8
MOV R0, #0xEC
LSL R0, R0, #4
ADD R0, #0xA ;event=0xECA (3786) TTY
ADD R3, #0
BL AFW_CreateInternalQueuedEvAux
MOV R1, #0
NOP
.patchcoment "PowerDownStartApp 1"

.start 0x10505DC2
NOP
NOP
.patchcoment "TTYTNEnter"

.start 0x105064D8

PUSH {R0-R7,LR}
MOV R6, R0
MOV R5, R1
MOV R4, #0
BL AFW_GetEv
MOV R7, R0

MOV R1, #0x0
LDR R0, seem_4A_CE
BL _Ven_TT_L__DL_DbFeatureStoreState_0

MOV R0, #0x4A
LDRB R0, [R0, R5]
CMP R0, #1
BNE app_exit

LDR R0, [R7,#0x20]
SUB R1, R0, #1
CMP R1, #3
BHI app_exit

MOV R4, R0

MOV R3, #0
MOV R2, #1
MOV R1, #0x65
MOV R0, #0x8C
LSL R0, R0, #4 ;0x8C0 (2240)

B continue

app_exit:
B app_exit_continue

.align 2
seem_4A_CE:
DCD seem_4a+0xCE
.align 1

.start 0x1050661C

continue:
CMP R4, #1
BEQ pwr_down

CMP R4, #2
BEQ reboot

CMP R4, #3
BEQ java_killer

CMP R4, #4
BNE app_exit_continue

B shotcuts

pwr_down:
MOV R0, #0
BL _Ven_TT_L__pu_main_powerdown
B app_exit_continue

reboot:
ADD R0, #0x5 ;event=0x8C5 (2245) reboot
B app_start

java_killer:
ADD R0, #0x3A ;event=0x8FA (2298) java-killer
B app_start

shotcuts:
MOV R0, #0x3A
LSL R0, R0, #4
ADD R0, #0x1 ;event=0x3A1 (929) shotcut

app_start:
BL AFW_CreateInternalQueuedEvAux

app_exit_continue:
MOV R0, #0
MOV R1, #0
POP {R0-R7}
POP {R3}
BX R3
.patchcoment "TTYSEData"

Из этого всего я должен только поменять:
.start
B
Bl
Так?

Повторюсь:

1.Перед тем как искать адрес я должен опдределять какой это код Thumb или ARM?
2.Как найти адрес если он не находится не по сигнатурам, не по хэкс ходу.

[juicedddd]

Dj-AntoXa,
замены потребуют:
.equ seem_4a 0x61F - офсет начала сима 4а
B
BL
.start
и значения которые составляют целый эвент, т.к скорее всего эвенты для твоей проши будут другие

[xmasloff]

1. B - это переход, если он вида "B 0x.......", то искать надо, так как переход на конкретный адрес,
если вида "B metka" - оставляем как есть, так как переход на метку в исходнике.
2. BL - вызов адреса с сохранением адреса возврата, таким образом вызываются функции (процедуры),
например BL AFW_CreateInternalQueuedEvAux, здесь:
BL - вызов
AFW_CreateInternalQueuedEvAux - функция, тебе ее нужно найти для своей прошивки.
3. Чтобы найти нужную функцию - открой в BinEdit прошивку, с которой портируешь, открой в нем "Редактор патчей",
в нем открой патч и, сравнивая исходник и код патча в BinEdit - определишь адрес функции для прошивки-источника, ну а дальше дело техники.
4. Чтобы найти адрес было легче - при копировании строки hex-кода в BinEdit выбери правой кнопкой мышки
"Копировать как HEX-Сигнатуру" (THUBM или ARM - зависит от кода).
5. Определить ARM-код или THUMB - не всегда можно это сделать сразу, BinEdit очень часто показывает ARM как THUMB.
Но есть один признак - если ты видишь в коде много-много команд LSL ...,
то переключи BinEdit в режим ARM, если он покажет нечто более осмысленное, значит это ARM.
И еще, ARM-код - это всегда 4-х байтные команды, в отличие от THUMB,
где 4-х байтные только вызовы BL и данные, остальные - 2-х байтные.
6. Ивенты в пределах одной платформы телефона (R4513 например) - одинаковые.

Сообщение отредактировал xmasloff - 10.3.2008, 21:36

[Dr.Hemp]

Привет всем! Вот хочу портануть патч меню выключения 1.05 с л7 прошивка ACR_RB. Но не получается у меня. Вот зделал исходник
.start 0x103D54D0
NOP
NOP

.start 0x103D5B32
PUSH {R0-R7,LR}
MOV R6, R0
MOV R5, R1
MOV R4, #0x0
BL 0x102DA9A4
MOV R7, R0
MOV R1, #0x0
LDR R0, =0x00000692
BL 0x10678DBC
MOV R0, #0x4A
LDRB R0, [R0, R5]
CMP R0, #0x1
BNE 0x103D5B92
LDR R0, [R7, #0x20]
SUB R1, R0, #1
CMP R1, #0x3
BHI 0x103D5B92
MOV R4, R0
MOV R3, #0x0
MOV R2, #0x1
MOV R1, #0x65
MOV R0, #0x71
LSL R0, R0, #4
CMP R4, #0x1
BEQ 0x103D5B76
CMP R4, #0x2
BEQ 0x103D5B7C
CMP R4, #0x3
BEQ 0x103D5B84
CMP R4, #0x4
BNE 0x103D5B92
B 0x103D5B88
ADD R3, SP, #0x2C
ADD R0, #0x4
B 0x103D5B8E
MOV R0, #0x1
BL 0x1017247C
B 0x103D5B92
ADD R0, #0x3
B 0x103D5B8E
MOV R0, #0x3A
LSL R0, R0, #4
ADD R0, #0x1
BL 0x102DA71E
MOV R0, #0x0
MOV R1, #0x0
POP {R0-R7}
POP {R3}
BX R3

.start 0x103D5CAC
DCD 0x00000692

.start 0x104F983C
MOV R0, #0xCD
LSL R0, R0, #4
ADD R0, #0x9
MOV R3, #0x0
BL 0x102DA71E
MOV R1, #0x0
NOP

.start 0x10666324
B 0x10666334
NOP

это режим амр
.start 0x10666324
B 0x10666334
NOP
Вот офсеты которые нашол для 79.
00322918: 46C046C0
00322F3E:
003230A4:
00437C74: 20CD010030092300F5E0FF6B210046C0
00584BC4:

Исходник нужен от 79 не паченой????
Что мне дальше делать с Исходником от л7???
Спосибо!!!

[Джуманджи]

при портации патчей на "новые" прошивки (L7e,K1,L9), столкнулся с такой проблемой. в патче идет переход с сохранением адреса возврата на вызов функции, номер дрм картинки (насколько я понял), вида 4718 16С0 ХХХХ ХХХХ. Так вот, я не могу найти этот кусок кода в нужной мне проше. там слишком похожих кусков кода. По какому принципу искать?

[Dr.Hemp]

Бин Эдит не запускается вылоите файлик для системс 32

[Dr.Hemp]

Народ помогите,вот почти разобрался как портировать патчи, вот только проблема у меня. с LDR 0х0000650 отел портировать патч меню выключения для 79. может кто выложит вторую строчку патча, кто портировал

[Dr.Hemp]

Чё впадлу обьяснить чтоли?
Что это ещё LDR R3, =0x12784CC0 При поиске на 79 находит адрес 0x10CFFFFE
Что за ерунда?
Вот посмотрите пожалусто, что у меня не так..
В настройках
1) Минимальный размер болока-4(рекамендуется)
2)байт заполнения-0хFF(255)
3)длина сигнатур при создании-32
4)длина сигнатур ММС при создании-8 инструкции
5)Режим создания сигнатур-Обычный(контроль даных и переходы)
6)Смещать начало показа кода на...-16 байт
7)Сохранять базу даных по прошивке0Стоит галка
8)Подменять дальние переходы BLX-нет галки
9)Выводит информацию по адресам под курсором-Стоит галка
10)Дизассемблировать код под курсором в НЕХ редакторе-Стоит галка
11)amr big Tndian-стоит галка
12)Формировать дерево при поиске даных-Стоит галка
13)Мультипоиск даных-Стоит галка..
Что не так почему у меня бин находит такие адреса как LDR R3, =0xB0924FC7 ;R3 = значение по адресу (PC + 296)=[0x101F91A0]= 0xB0924FC7


Сообщение отредактировал Dr.Hemp - 22.4.2008, 15:46

[___РЕНАТ__]

Dr.Hemp, что конкретно из выше сказаного тебе не понятно?!!

[juicedddd]

Что это ещё LDR R3, =0x12784CC0 При поиске на 79 находит адрес 0x10CFFFFE
Что за ерунда?

12784CC0-это адрес в оперативе, а на 79 значит неправильно ищеш

Что не так почему у меня бин находит такие адреса как LDR R3, =0xB0924FC7 ;R3 = значение по адресу (PC + 296)=[0x101F91A0]= 0xB0924FC7

он у тебя правильно находит, просто ты видимо не так делаешь чтото

[rottenlife]

i'm trying to port patch clock on SS from 49R to 46R.

from original patch:
00313022: F000F917

on binedit i've got:
10393022: F000F917 BL _off_10540473

then i put
BL 0x10540473
on source code

i've got result:
+10080000
00313022: F1ADFA26

how can i put the right source when i meet those BL _off_ ?




(29.4.2008, 18:29):
also found this:

.start 0x10224950
DCB "sl."
PUSH {R0-R7,LR}
MOV R1, LR
SUB R1, #0x5
ADR R0, =0x10224974
BL 0x10224642
POP {R0-R7}
B 0x10224978
DCB ""

how am i supposed to put as the right source?

[bigserg555]

BL 0x10540473

Correctly
Instead of "sl." there should be what that figures - look them in a patch. These figures will differ depending on an reflash. Find where DCB "sl." it is used on one reflash, and look what DCB is on the same place in other reflash

[rottenlife]

for BL _off_10540473 (on binedit) to BL 0x10540473 (on the source).
how come the generated patch is different from the original patch?

[rottenlife]

can anybody help me provide resource asm for patch clock in ss with outline?
thank you

[mushrom]

вот учусь портировать патчи.Есть вопросы.помогите пожалуйста.
при создании исходника для патча через bin edit в редакторе патчей что писать в компилятор если вот такая ситуация:

0951FF4 EB05 _______ ;Скорее всего это AMR режим процессора или данные
00951FFE 3551 ADD R5, #0x51 ;R5 = R5 + 81 "Q"

на месте ______ пусто!

[Osta]

EB 05 35 51

это 99% AMR-ая BL-ка на какую-то функцию , режим поменяй

[mushrom]

Osta,
Как определять AMR или Thumb ?

[Osta]

Как определять AMR или Thumb ?

точно не скажу .. почитай тут Учимся Патчить Прошивку.

[mushrom]

Osta,
спасибо за ссылку, есть ещё один вопросик:
допустим в редакторе патча при создании исходника захожу в адрес 00951EE0, та следующий код:
BL off_00BA1258, а следующий после 00951EE0 адреса стоит этот же самый 00951EE0, только уже с кодом:
B loc_00951A8C
LSL R4, R3, #5
B loc_009523E8
Какой всё таки код писать в компиляторе?

Сообщение отредактировал mushrom - 30.5.2008, 9:40

[Osta]

захожу в адрес 00951EE0, та следующий код:

давай может скрины уже , я так не понимаю

[___РЕНАТ__]

Открой сам файл патча через блокнот и пиши тот код значение которого соответствует hex значению в патче.

[Dr.Hemp]

Патаюсь партировать парт и не могу найти вот это в своей прошивке
LDR R0, =0x12789BE4 ;R0 = значение по адресу (PC + 60)=[0x10313574]= 0x12789BE4
портирую с л7 acr на 79

[Osta]

и не могу найти вот это в своей прошивке
0x12789BE4

это адрес в оперативке , у тебя будет другой

[Dr.Hemp]

Osta,
Как мне найти этот адрес?