Lte2 Rsa - взломано., Готовое решение,проверено L6,L7,V360,V3i Поделиться Опции

[Archy]

ВНИМАНИЕ! Тема только для опытных пользователей!

СВЕРШИЛОСЬ! Итак, мы закончили работу над методикой залома LTE2.
Подходит для телефонов L2, L6, L7, V360, V3i и других.
Исключение составляют телефоны с бутом 09.xx, на них пока что не удалось снять RSA.

Немного теории:
Дыра, через которую мы обходим RSA - в CG7 (подписи бута) - там часть данных самой подписи можно использовать как код, в котором джампом выводится управление, т.е. за пределы подписанного блока.
Точку входа ставим на этот самый код...
Ну и, соответственно, получаем управление за пределами подписи - остальное уже дело техники...
Вот метод исправления CG7:

- сливаем свой CG7(или вытаскиваем из shx своей прошивки, дело вкуса)
перед патчем проверяем что байты по +1140 равны E5 9F C0 00, если нет - CG7 требует иной модификации. такие версии - "в студию".
- патчим:
по смещению 0xC80 в CG7 прописываем значения 46 C0 48 01 68 00 47 00 10 04 00 00 (изначально там будут FF)
- вливаем обратно.

CG18 (подпись прошивки) опять-же оказывается почти не нужна , нам от неё потребуются лишь первые 16 байт - заголовок, в котором раньше был адрес самой CG18 (11FE0010) - он меняется на адрес CG7 - т.е. 11F80000 (правим CG18 как написано тут)

Код

Offset      0  1  2  3  4  5  6  7   8  9  A  B  C  D  E  F
-----------------------------------------------------------
00000000   11 F8 00 00 ....дальше не важно.................   .ш.A..

- таким образом бут проверяет CG7, считая что проверяет CG18 - и в CG7 нет диапазона адресов CG1 - и, ясен пень, ошибка проверки CG1 таким образом не вылезает.
То есть вместо проверки прошивки идет повторная проверка CG7...
Далее - начало CG1, которое правится (правим так):

Код

Offset      0  1  2  3  4  5  6  7   8  9  A  B  C  D  E  F
-----------------------------------------------------------
00000000   11 F8 11 41 ....дальше не важно.................   .ш.A..
00000010   B0 01 FF FB ....дальше не важно.................   .яы...

Поняли, в чем прелесть?
Делаем эти изменения в указанных СG, собираем монстра - и шьём, даже ТЕСТ ПОИНТ НЕ ПОНАДОБИТСЯ!
Методика патчинга - правим CG18, CG7, правим заголовок CG1, добавляем в "монстра" CG3 (с той же прошивки, откуда остальные кодовые группы), вносим свои изменения/патчи в CG1, затем прошиваем всё это ЦЕЛИКОМ. Всё...

Единственное НО - пока не можем бэкапить - записывать ПДС, но уже пишется полностью открытый "дуал-бут" для ЛТЕ2, так что...

На V3i другая адресация, поэтому патчить надо будет так:
В CG18 в начале пишем 12F80000
В CG1 пишем по смещениям:
0000000: 12F81141
0000010: B001FFFB
В CG7 правим как выше описано

На L7e, K1, Z3 снова иная адресация, по идее патчить надо так:
В CG18 в начале 13F80000
В CG1 пишем по смещениям:
0000000: 13F81141
0000010: B001FFFB
В CG7 правим как выше описано
НО! Почему-то не работает. Возможно, виновата какая-то дополнительная проверка в новых 0А.* бутах, может, что-то еще... Кто имеет знакомых со смарт-клипами и один из этих телефонов, зайдите к ним, смените одну цифру в ИМЕИ и СНИМИТЕ ПОЛНЫЙ БЭКАП (без ПДСа), только не смаррт-клипом (он кодирует бэкапы). Ну и бэкап в студию!

P.s. Любые обсуждения авторства данной методики будут моментально наказаны БАНом.
Авторство команды смартклипа, метод был слит оттуда с лёгкой правкой. НИКАКОГО ФЛУДА и ОФФА!
Обсуждаем только по сути.

p.s. Тема до зачистки:

Lte2_Rsa____.rar   ( 18.35 килобайт ) Кол-во скачиваний: 5292

p.p.s. Вот простенькая программа для снятия RSA. Работает только на распакованных файлах!

RandomRSA2.rar   ( 165.14 килобайт ) Кол-во скачиваний: 18550

З.з.з.ы. Собираем и шьем прошивку с помощью FB 3.0.2 и выше, также можно шить через RSD_lite версии 3.3 и выше.

Сообщение отредактировал Random - 16.3.2007, 20:23

[hattab]

Народ ответе у мя туго с этими науками что то самому менять ну не разу не выходило у мя ща AER RB стоит мне поможет это дело что здесь обсуждается?и если кто может обьясните дедушке как что к чему?надоела проша без доступа к фс

[nsk_modder]

Люди скажите пожалуйста а U6 на лте2 или лте1??? а то больно уж охота поковырять его прошивочку, но запарывать как то неохота

[Vilko]

люмен,
так, господа. давайте уже будем писать патчи в соответствующий раздел форума?


Crazy Modder,
LTE1

[БАВ]

Я к аер с бутом 0902 вообще боюсь подходить. Ребята, подскажите, имея от нее бэкап могу я поднять тел после неудачных экспериментов? И вообще бэк сливается с нее и заливается или нет? Без этого не могу начать опыты.

[Leon1988]

БАВ
Могу сказать за себя. Бэкап прекрасно сливается и заливается. За последние несколько дней убивал тел не меньше 15 раз. Из них один раз сделал это конкретно - ни одна прога его не видела. Помогла, почему-то, переустановка Винды с теми же р2к-драйверами. Что это было, так и не понял.

RekGRpth
Дай побольше инфы!!!
Ты патчил только бут, не трогая CG? Не знаком с прогой P2K_Easy_Tool, но по-моему, где-то говорили, что ее главное назначение - репайр ПДС. И если ты сделал полноценный ТП, то ведь можно было прошить еще более низкую версию бута?
Сделай, плиз, подробный мануал!

[Iceman2000]

Братцы, а можно создать монстр со сломанной rsa чтобы залил его и нет проблем.

Почему же нельзя....конечно можно!

[RekGRpth]

Leon1988
Вот вкратце:
Ну, в общем, я снял RSA на своём v360 c бутом 09.02!
Особая благодарность за помощь APosm и Voit21
Оказалось всё банально - проблема в буте!
Вкратце, это я сделал через ТП с помощью P2K_Easy_Tool_v39, но есть МАЛЕНЬКАЯ
хитрость: в бут слитый FB3 нужно в начало добавить
00 00 00 10 00 00 01 00
прикрепляю ИЗМЕНЁННЫЙ бут

сломать RSA я с ТП только смог - 4 дня боролся!
самое сложное - сверлить дыру
я это делал вручную патроном от дрели
рисунки:
в P2K_Easy_Tool_v53 в папке tpimages есть картинка, а ещё есть на YuetBlog'e картинка по разборке - ими двумя и пользовался
на картинке ТП обведён красным - его нужно замыкать на землю - например, тот же защитный экран
а вообще, я просверлил дыру и в корпусе и последний раз сделал ТП не разбирая тел - скрепкой!
я скрепку так изогнул, что батарею под углом приставил, потом скрепку вынул, а батарею до конца задвинул!
причём ТП с экраном нужно соединить только на время - вставил батарею - и отсоединяй!
т.о.
вставляешь батарею, тел должен определиться в RSD как S Blank Neptune LTE2
размыкаешь ТП
Шьёшь бут через P2K_Easy_Tool_v39
там на вкладке репаир есть бут
профиль только свой сначала внизу выбери!

[wert]

RekGRpth, ТП можно кстати вообще без акб делать: замыкаем втыкаем кабель и вуаля Бланк питание от компа. Пробовал так на L7 и V3r.

Сообщение отредактировал wert - 20.1.2007, 10:25

[Salavat_Red-blu]

А так вроде гладко прошло: собралась кракнутая прошивка, залилась без проблем,
но тело в флэш-моде с PH SIG ERR : 39 : 02

Хорошо хоть бэкап без проблем встал...

Ясненько, без ТП бут 09.02 не перебороть...

З.Ы. Но экран сверлить в теле, которому и месяца еще нет рука не поднимается...

[Iceman2000]

Ясненько, без ТП бут 09.02     не перебороть...

З.Ы. Но экран сверлить в теле, которому и месяца еще нет рука не поднимается...

Может попробуешь софтовым методом в ТП загнать...
Правда те кто давал халяву пока шло тестирование уже не дают её! Там типа снятие лока софтовым методом без ТП...
Так что можешь заплатить если что...все же проблем меньше в итоге если ТП делать не хотишь! Более мягкое решение так сказать
Тема была на форуме...поищи
Сорри если Офф...

[Leon1988]

RekGRpth
Спасибо, все ясно, можно бы и сделать ТП, но боюсь не самого процесса...
Я уже разбирал полностью тел и сорвал при этом 2 шурупа. Видно, до конца они не закручены и тело слегка поскрипывает при нажатии клавиш. Так что, обратно скорее всего не соберу, пока не найду такие же.

Iceman2000
Ты адресовал пост Salavat_Red-blu, извини что влезаю.
Писал я им на аську, ноль внимания. Тогда еще бесплатный аккаунт давали. Но что-то затихло все

Жалко, что умирает ветка...

[Sinet]

RekGRpth, или другие добрые люди, подскажите пожалуйста как перегнать тот бут что ты выложил в бинарник? а то он в SMG формате, а P2K_Easy_Tool_v39 понимает только бинарники.
Насколько я понял SMG это и есть бинарник. Можно ли просто поменять расширение на BIN??
Я правильно понял что нужно заливать именно тот бут который ты выложил?

Дырочку уже просверлил, и тут столкнулся с такой проблемой.

[RekGRpth]

RekGRpth, или другие добрые люди, подскажите пожалуйста как перегнать тот бут что ты выложил в бинарник? а то он в SMG формате, а P2K_Easy_Tool_v39 понимает только бинарники.
Насколько я понял SMG это и есть бинарник. Можно ли просто поменять расширение на BIN??
Я правильно понял что нужно заливать именно тот бут который ты выложил?

Дырочку уже просверлил, и тут столкнулся с такой проблемой.

ты ПРАВИЛЬНО понял
ДА МОЖНО поменять расширение, а можно и так открыть: напиши в поле, где имя файла *, нажми Enter, и он покажет все файлы, и тогда сможешь выбрать и SMG!

[wRAR]

Господа, хотелось бы увидеть подробную инструкцию для L2.
Я правильно понимаю, что надо разобрать прошивку (от L6 можно?), запихнуть в RandomRSA2.exe 3 группы, нажать кнопку, после чего добавить в FB3 указанные в проги 4 группы и лоадер? Какой лоадер брать, учитывая что в L2 и L6 разные версии бута?

[Vilko]

Voit21,
работа хорошая. но еще раз предупреждаю - это тема НЕ О ПАТЧАХ!
для патчей предусмоторен отдельный разде форума.

all
за публикацию описаний патчей здесь начинаю банить. давайте все-таки соблюдать правила...

[Motohobiman]

wRAR, никакой разници нет,человек выше сказал всё правильно,бери любую нашу(л2/л6) прошивку и в бой,всё делай как в шапке написано ,единственый напряг запомнить(запиши) адреса CG 1,CG3,CG7,CG18,когда будеш собирать обработчиком пригодиться.Спасибо нашим Гуру всё очень просто.

[YoU-PiteR]

Ребята, кто-нибудь из монстров мото в Питере имеется, есть дикое желание научиться работать с прошивками, с железом вроде разобрался, с анлоками и прочим - тоже - спасибо Supshow, но он сейчас постоянно занят, а полной документации я найти не могу, да и когда на виду обьясняют - попроще. Как уже было замечено, не все с цифрой в голове рождаются, но когда желание есть, почему бы не попробовать. С меня причитаться будет, это уже вопли мои, ибо есть желание. Надоело чужими прошивками играться. Ну а удалите, ну значит туда мне и дорога. А написал я это здесь потому, что большего скопления монстров в одном месте я не наблюдал уже давно. Да и вместе как-то веселее.

[A.06]

Voit21,
А что уже патч для доступа к ОЗУ есть??

[Random]

Ну все... Начинаю чистку

[spat]

эх, поменял л7 на смарт, а теперь тут такое тварят.
Ребята вы боги что ещё сказать

[wRAR]

L2 внесите в подзаголовок темы :]]

Я правильно понимаю, что SHX из 4 патченых кодовых групп, сделанный на основе некой прошивки, можно спокойно лить в любые телефоны с этой прошивкой?

[Vilko]

wRAR,
да

[wRAR]

Следовательно, это дело можно куда-нить выкладывать для тех, кому боязно самому патчить
Правда моя 8Мб в архиве...

[Akceptor]

Следовательно, это дело можно куда-нить выкладывать для тех, кому боязно самому патчить

Ну да. Я вот качнул из монстра мпх эти самые кодовые группы и влил себе. Все работает на ура.

Правда моя 8Мб в архиве...

Где-то так и весит но по сравнению с монстром это не так и много

[060787]

Есть вопросик. Насколько я знаю на V235 LTE2 с бутом 08.E0. Как думаете данный мануал покатит или нет? И что этот обход RSA дает кроме возможности патчинга?

[wert]

060787, V235 походу сродни L2(6), значит должно покатить, кроме патчинга(он сам правда много дает) в принципе ни че ни дает.

[женек66]

Парни кто может скинуть рабочие пропатченые файлы для монстра CooLMP_R479_G_08.B5.10R_mcLexx_EdT для V3i.[SIZE=7]

[kola87]

Вопрос опытным, возможно ли в принципе создание патча для Моторолы который увеличивал бы HEAP? ведь если хотя бы до 1.5 мб поднять с 800-850 кб, много чего бы появилось(один нормально работающий Multitime чего стоит)

[bos38]

У кого-нибудь есть R479_G_08.B5.10R с отключенным RSA и доступом к ФС. Выложите пожалуйста.

[AlexProw]

По поводу 09.02:

Может попробуешь софтовым методом в ТП загнать...
Правда те кто давал халяву пока шло тестирование уже не дают её! Там типа снятие лока софтовым методом без ТП...
Так что можешь заплатить если что...все же проблем меньше в итоге если ТП делать не хотишь! Более мягкое решение так сказать

Чел отписался на буржуйском форуме по поводу использования этого софта с бутом 09.02

Hi!
I have V360
R4513_G_08.B7.AER
Boot Loader 09.02
and this is my log
Establish connection to handset
Switch handset to TCMD interface
Switch handset to FLASH interface
FLASH Interface established ok
Read handset bootcore version
Bootcore version on handset: 0902
TESTPOINT required on phone for this model and bootcore

What is wrong?

Вывод - не прокатит.

[павлеГ]

какой начальный адрес писать в проге для л7е?

[ЬЗК]

По поводу 09.02:

Чел отписался на буржуйском форуме по поводу использования этого софта с бутом 09.02

Вывод - не прокатит.

не факт, там большинство таких челов забывают выбрать пункт софтовый ТП в настройках, сам наблюдал, если не выбрано то сабжевая ошибка.
на буте 08D0 у меня давал ошибку в процессе перешива лодеров

[RekGRpth]

По поводу 09.02:

Чел отписался на буржуйском форуме по поводу использования этого софта с бутом 09.02

Вывод - не прокатит.

Подтверждаю - этот чел был я

[hayova]

Друзья! Извините за вопрос (поиск юзал, факи читал), но все же нужна помощь.
Все сделал по указанной методике. Прошил. Как быстро проверить, что защита отключена?

Собственно вопрос возник в связи с тем, что MediaViewer не запускается, вот и думаю в чем может быть дело - неправильно "сломал" защиту или копать в другую сторону.

Заранее спасибо.

[RekGRpth]

так надо ещё и патч отмена подписей корелетов установить!

[hayova]

RekGRpth, нашел, спасибо, попробуем.

[ERICH KRAUSE]

А на V3x это сработает? Флэшбэкап с разными прошивками по разному показывает кодовые группы. Но ни в одной враз не бывает 1,3,7 и 18 кодовых групп, да и адреса у них совершенно другие.

[jCancer]

В свете удачной смены платформ 479 и 47A на V3i решил попытать счастья в деле смены платформы L7 с 4513 на 4517 - попытался скриптом от Random пропатчить CG1, 7, 18 - не получается.
Программа отказывается с ними работать... "Эти файлы не могут быть пропатчены" сообщает.
ACR_RB пропатчилась на ура....

Прошивку для 4517 скачал вот эту: R4517_G_08.C4.32R_LP0939_DRM0101_JPJAVA_G_08_L7_06_03_01R_SE1111AXXB7129_1FF.shx

Решил хексом пропатчить вручную, но адреса в кодовых группах совершенно другие - соответственно вслепую менять байты просто страшно.
Могут быть идеи насчет ситуации? Точнее насчет того, как эту ситуацию обойти?

[Crond]

Все сделал по указанной методике. Прошил. Как быстро проверить, что защита отключена?

Ты взломал сейф. Как ты поймешь что действительно его взломал?
Если ты вшил патченое добро в тел и оно заработало, значит УЖЕ rsa снята. То есть Прошивка Дала себя изменить? Ну вот..

[Колян777]

Такой вопрос.
Щас пропотчил CG1,7 и 18 при помощи RandomRSA2 вроде пропатчилось, но заливать буду завтра, тк тел нужен бутет с утра в живом состоянии.
Так вот пропатчил и заметил, что разер CG1 до патча составлял 14 475 264, а после 13 163 352 это отображается во ФБ3, это нормально или как ?
Значит дальше група CG3 по идеи вообще не трогается, а смотрите что размер до 335 872 после 279 240. А CG7 и CG18 где и происходит асновной патчиньг ничего не измениолось ни размер ни адреса начала ни конца.
Проверте пожалуйта. А может быть я просто чето не догнал.