Lte2 Rsa - взломано., Готовое решение,проверено L6,L7,V360,V3i Поделиться Опции

[Archy]

ВНИМАНИЕ! Тема только для опытных пользователей!

СВЕРШИЛОСЬ! Итак, мы закончили работу над методикой залома LTE2.
Подходит для телефонов L2, L6, L7, V360, V3i и других.
Исключение составляют телефоны с бутом 09.xx, на них пока что не удалось снять RSA.

Немного теории:
Дыра, через которую мы обходим RSA - в CG7 (подписи бута) - там часть данных самой подписи можно использовать как код, в котором джампом выводится управление, т.е. за пределы подписанного блока.
Точку входа ставим на этот самый код...
Ну и, соответственно, получаем управление за пределами подписи - остальное уже дело техники...
Вот метод исправления CG7:

- сливаем свой CG7(или вытаскиваем из shx своей прошивки, дело вкуса)
перед патчем проверяем что байты по +1140 равны E5 9F C0 00, если нет - CG7 требует иной модификации. такие версии - "в студию".
- патчим:
по смещению 0xC80 в CG7 прописываем значения 46 C0 48 01 68 00 47 00 10 04 00 00 (изначально там будут FF)
- вливаем обратно.

CG18 (подпись прошивки) опять-же оказывается почти не нужна , нам от неё потребуются лишь первые 16 байт - заголовок, в котором раньше был адрес самой CG18 (11FE0010) - он меняется на адрес CG7 - т.е. 11F80000 (правим CG18 как написано тут)

Код

Offset      0  1  2  3  4  5  6  7   8  9  A  B  C  D  E  F
-----------------------------------------------------------
00000000   11 F8 00 00 ....дальше не важно.................   .ш.A..

- таким образом бут проверяет CG7, считая что проверяет CG18 - и в CG7 нет диапазона адресов CG1 - и, ясен пень, ошибка проверки CG1 таким образом не вылезает.
То есть вместо проверки прошивки идет повторная проверка CG7...
Далее - начало CG1, которое правится (правим так):

Код

Offset      0  1  2  3  4  5  6  7   8  9  A  B  C  D  E  F
-----------------------------------------------------------
00000000   11 F8 11 41 ....дальше не важно.................   .ш.A..
00000010   B0 01 FF FB ....дальше не важно.................   .яы...

Поняли, в чем прелесть?
Делаем эти изменения в указанных СG, собираем монстра - и шьём, даже ТЕСТ ПОИНТ НЕ ПОНАДОБИТСЯ!
Методика патчинга - правим CG18, CG7, правим заголовок CG1, добавляем в "монстра" CG3 (с той же прошивки, откуда остальные кодовые группы), вносим свои изменения/патчи в CG1, затем прошиваем всё это ЦЕЛИКОМ. Всё...

Единственное НО - пока не можем бэкапить - записывать ПДС, но уже пишется полностью открытый "дуал-бут" для ЛТЕ2, так что...

На V3i другая адресация, поэтому патчить надо будет так:
В CG18 в начале пишем 12F80000
В CG1 пишем по смещениям:
0000000: 12F81141
0000010: B001FFFB
В CG7 правим как выше описано

На L7e, K1, Z3 снова иная адресация, по идее патчить надо так:
В CG18 в начале 13F80000
В CG1 пишем по смещениям:
0000000: 13F81141
0000010: B001FFFB
В CG7 правим как выше описано
НО! Почему-то не работает. Возможно, виновата какая-то дополнительная проверка в новых 0А.* бутах, может, что-то еще... Кто имеет знакомых со смарт-клипами и один из этих телефонов, зайдите к ним, смените одну цифру в ИМЕИ и СНИМИТЕ ПОЛНЫЙ БЭКАП (без ПДСа), только не смаррт-клипом (он кодирует бэкапы). Ну и бэкап в студию!

P.s. Любые обсуждения авторства данной методики будут моментально наказаны БАНом.
Авторство команды смартклипа, метод был слит оттуда с лёгкой правкой. НИКАКОГО ФЛУДА и ОФФА!
Обсуждаем только по сути.

p.s. Тема до зачистки:

Lte2_Rsa____.rar   ( 18.35 килобайт ) Кол-во скачиваний: 5287

p.p.s. Вот простенькая программа для снятия RSA. Работает только на распакованных файлах!

RandomRSA2.rar   ( 165.14 килобайт ) Кол-во скачиваний: 18544

З.з.з.ы. Собираем и шьем прошивку с помощью FB 3.0.2 и выше, также можно шить через RSD_lite версии 3.3 и выше.

Сообщение отредактировал Random - 16.3.2007, 20:23

[Random]

Щас пропотчил CG1,7 и 18 при помощи RandomRSA2 вроде пропатчилось, но заливать буду завтра, тк тел нужен бутет с утра в живом состоянии.
Так вот пропатчил и заметил, что разер CG1 до патча составлял 14 475 264, а после 13 163 352 это отображается во ФБ3, это нормально или как ?
Значит дальше група CG3 по идеи вообще не трогается, а смотрите что размер до 335 872 после 279 240. А CG7 и CG18 где и происходит асновной патчиньг ничего не измениолось ни размер ни адреса начала ни конца.
Проверте пожалуйта. А может быть я просто чето не догнал.

Ну опять... галочка стояла "отрезать пустоту в конце кодовых групп"? Вот размер меньше и получился.

[павлеГ]

Random, хочу попробывать снять рса защиту на л7е...
вопрос по проге RandomRSA2 - какой начальный адрес CG7 нужно указывать для л7е?
зы...успокойте меня, я могу имея бэкап если что восстановить телефон?

[Vint]

павлеГ, разбери прошивку на кодовые группы SHXCodec-ом. В их названиях будут писаться начальные адреса.

[V360]

Есть идея как обойти защиту на V360 с бутом 09.02.

Но сначала расскажу маленькую историю.
Надумал я вчера снять RSA и пропатчить прошивку B7R для открытия доступа к ФС и корелетам.
Сначала пропатчил прошивку с помощью RandomRSA для снятия RSA. Затем сразу пропатчил кодовую
группу CG1 для доступа к файловой системе. Собрал Флешбекапом3 полную прошивку. Далее залил с помощью
P2K Easy Tool 3.9 полученную прошивку в тело с бутом 08.A0 и MixACR+AER прошивкой. Тело прошилось нормально программа проверила чексумму, и вырубила телефон. Ну я нажимаю включить не включается нифига, вставляю вынимаю батарею не включается, даже клавой не мигает, в бут режим не входит. Смотрю программами тело в бланке. Далее сливаю через бланк с помощью P2K Easy Tool PDS и Boot сравниваю с забекапленными мной полностью совпадают значит думаю дело в прошивке раз Boot и PDS не повредились. Заливаю свой ранее сделанный бекап тем же P2K EasyTool 3.9. Бекап залился без проблем после чего
тело само включилось и работает нормально.

Сначала я был огорчен что у меня ничего не получилось но немного подумав я понял что таким образом можно тело заганять в Blank БЕЗ ТП!!!!! Т.е. своего рода софтовый ТП.
Теперь если загнать эту прошивку в тело с 09.02 и оно тоже перейдет в Blank то дальше льем бут 08.A0 или 08.D0(от L7) ну и дальше прошиваем бекап потом патчим RSA и т.д.
Как с тестпойнтом слезть с 09.02 уже описал RekGRpth в посте 118 этой темы(8 страница). Там же он прикрепил бут который нужно лить в бланке.

Вот ссылка на мою убивающую тело прошивку http://slil.ru/23819503 весит 20 мегов.


Кому интересно попробовать пробуйте и отпишитесь. Наличие прямых рук и мозгов обязательно. Если не уверены лучше не пробуйте тело можно легко убить.


Кто что думает об этом? И как правильно патчить прошивку где я ошибся?

[Ideya]

Снял RSA, пропатчил обоими патчами. Все работает.
Все спасибо.
Впринципе нового про платформы не скажу R444...03R.
Тоже что и у люмен"а.
Ждем новых патчей

[Flex4]

V360 клево слушай=)) а ты ТП уже делал?? если делал то попробуй аер себе залить и слезть с нее без ТП таким образом, возьмешься??

[Колян777]

Ну опять... галочка стояла "отрезать пустоту в конце кодовых групп"? Вот размер меньше и получился.

Значит все норм можно лить?

[APosm]

V360 клево слушай=)) а ты ТП уже делал?? если делал то попробуй аер себе залить и слезть с нее без ТП таким образом, возьмешься??

Опытным путем установили, что АЕР бут не правит. Но что-то она же правит! С остальных прошивок слезаем без проблем. Остается только ПДС.
Но насколько мне известно ни бут ни ПДС без ТП не залить (пока ни у кого не получилось). Так что это, наверное, это ответ на твой вопрос

[Sinet]

APosm, скорее всего Flex4 имел ввиду чтобы V360 попробовал слесть с AER с помощью P2K_Easy_Tool_v39. Ведь с её помощью можно перезалить ПДС (или что там она с ним делает). Просто для этого телефон нужно перевести в бланк, так вот этим способом и можно попробовать перевести тел в бланк софтово, т.е. не разбирая и не замыкая кантакта. Что будет на много удобнее.

[APosm]

APosm, скорее всего Flex4 имел ввиду чтобы V360 попробовал слесть с AER с помощью P2K_Easy_Tool_v39. Ведь с её помощью можно перезалить ПДС (или что там она с ним делает). Просто для этого телефон нужно перевести в бланк, так вот этим способом и можно попробовать перевести тел в бланк софтово, т.е. не разбирая и не замыкая кантакта. Что будет на много удобнее.

Варианты залить бут в бланк-тело без ТП не проходят обычно (как и ПДС)
ПДС уникален (так во всяком случае писали еще про Е398)
Если даже зальется бут, то остально е будет без толку (если АЕР - как родная была изначально)
При слезании с АЕР с помощью ТП, делался ФулРепеир, но родная проша была 5АР

Выводы, я думаю прозрачны

Хотя, я не застрахован от ошибок

[V360]

На этом теле я неделал тестпойнт потому залить AER немогу.

[QUOTE]Варианты залить бут в бланк-тело без ТП не проходят обычно (как и ПДС)
ПДС уникален (так во всяком случае писали еще про Е398)
Если даже зальется бут, то остально е будет без толку (если АЕР - как родная была изначально)
При слезании с АЕР с помощью ТП, делался ФулРепеир, но родная проша была 5АР[QUOTE]

Полсе залитя моей прошивки тело было в постоянном бланке т.е. встваляешь батарею тело сразу падает в бланк.
Т.е. вынимание а затем вставка батареи аналогично замыканию ТП. Я лично вчера слил таким образом pds и boot.
Я тест пойнт на V360 делал уже раз 100 поэтому знаю что если тело в бланке то сним можно очень много чего сделать главное иметь бекап boot и pds. Поэтому я считаю что если тело упало в бланк то оно имеет теже возможности что и ТП. Единственная неприятность может быть если повредится PDS а boot будет нормальным тогда тело перейдет во флешмод а PDS восстановить будет нельзя без ТП. Я так уже попадал на одном теле (хотя может кто знает как залить PDS без ТП я нет).

Ну что никто нерешается попробовать?

P.S. Если найдутся храбрецы то лить мою прошивку нужно P2K Easy Tool 3.9 у меня именно после перепрошивке им тело перешло в бланк.

[060787]

Прога для обхода RSA выдает, что файлы нельзя пропатчить. Телефон V235, платформу точно не помню, качал отсюда

[sasha45]

060787, а зачем ты 2 раза нажимаешь на кнопку "Снять RSA"?

[Random]

060787, а зачем ты 2 раза нажимаешь на кнопку "Снять RSA"?

На самом деле я уже встречал прошивки, в которых в CG18 на 4 байта смещено место где патчиться, может это одна из таких

[sasha45]

Random, не знаю. но у меня такая байда была когда вместо одного раза на кнопку "Убрать проверку RSA" нажимал 2 раза.

[bos38]

Я отключил Rsa с помощью RandomRSA2. Начал собирать в FB3 а как выбрать RAM Downloader. FB3 при сохранение выдает ошибку 6. Может я не правильно собираю? Напишите пож. как надо собирать с помощью FB3. Или выложите уже готовую R479_G_08.B5.10R. А то у меня наверно ничего не получится. Пожалуйста

[Crond]

как выбрать RAM Downloader

Выбираешь из папки с FlashBackup'ом, Стартовый адрес на твоей я не знаю, но на L7 - 03FC8000

[Ideya]

Я отключил Rsa с помощью RandomRSA2. Начал собирать в FB3 а как выбрать RAM Downloader. FB3 при сохранение выдает ошибку 6. Может я не правильно собираю? Напишите пож. как надо собирать с помощью FB3. Или выложите уже готовую R479_G_08.B5.10R. А то у меня наверно ничего не получится. Пожалуйста

Как собрать: обработка прошивок в ФБ3, жмем на RAMDLD выбираем в папке ФБ3 папку Loaders в ней файл для V3i. Спросить про адрес указываешь этот 03FC8000. Теперь жмешь на добавить и выбираешь CG1 адрес начала вводишь тот что ниже. Рядом указываешь что это именно CG1. Так же для CG7 и CG18. Адреса приведены ниже. Для V3i не нужно добавлять CG3. Но адресс ее указан. Когда все добавишь жмешь на сохранить как и сохраняешь под *.shx.
CG 1 (100A0000 - 1135FFFF)
CG 3 (10040000 - 1009FFFF)
CG 7 (12F80000 - 12F9FFFF)
CG18 (12FE0000 - 12FE07FF)

[павлеГ]

начал собирать прошивку столкнулся с проблемой....
какой начальный адрес нужно приписать для л7е, когда выбираешь рамблд?
и собирать её я так понял надо под профилем к1
неполучается(
ткс...рассказываю как делал
...за основу взял чистую прошивку R452D_G_08.03.0AR
...разобрал на части(с профилем к1)...
...через прогу RandomRSA2 отключил какбы рса, начальный адрес написал 13F80000(начальный адрес CG7)
...собирал так....сначала выбрал лоадер(к1, другово вроде нету)...далее добавлял по одной группе(начальные адреса ставил те, кторые были у прошивки
CG1 - 10092000
CG2 - 11AC0000
CG3 - 10040000
CG4 - 11860000
CG7 - 13F80000
CG15 - 115E0000
CG18 - 13FE0000
вот...собираю это всё в прошывку...шью - флэшбекап ругается после
записи загрузчика....
на экране телефона:
Critical Error
DAA5
19ED
помогите разобраться...чонетак...(

[Archy]

Положи этот файл в папку FB3/Profiles

R452D_L7e.prof

Код

[FB3 Profile]
ID=R452D_L7e
Model=Motorola L7e L7i
UseLdr=1
RamDld=Z3 (0AC2).ldr
Addr=03FC8000
Jump=03FC8010

[Code Groups]
BOOT=10000000-1000FFFF
;PDS=10010000-1001FFFF
CG1=10092000-115DFFFF
CG2=11AC0000-13F5FFFF
CG3=10040000-10091FFF
CG4=11860000-11ABFFFF
CG7=13F80000-13F9FFFF
CG15=115E0000-1185FFFF
CG18=13FE0000-13FE07FF

Адрес начальный в проге RandomRSA2 укажи как 13F80000, сними РСА (КНОПКУ ЖАТЬ ТОЛЬКО ОДИН РАЗ!!!).
Потом качни (если у тебя ее нет) оригинальную прошивку на pontoprint.com.ua/l7e, замени нужные сг(1,7,18), а потом прошей её, когда будешь прошивать, обязательно прошей cg1, cg3, cg7, cg18. Ну или вообще полностью.
Всё.

[MerlKory]

Archy, павлеГ, прошивку сделал, заломанную, R452D_G_08.03.0AR но пока не смог пропатчить доступ к яве ... чуть подробнее что сделал - в этом треде

Я ответил тебе там. Зачем ты к ней чужой ленг прилепил? Я же родной выложил 2Е...
В общем все обсуждения в том топике только.
ок ... ленг крутил родной !!!! ) просто не у тебя стянутый ...

Сообщение отредактировал MerlKory - 30.1.2007, 15:52

[павлеГ]

Archy, это я понял....
основная трабла происходит при сборке....
зы...нубский вопрос...а это...чем создать-то R452D_L7e.prof))) я пока изменю просто какойнить из существующих
кстате арчи и мерл...вы просто друг друга не понимаете паходу)))) непарьтесь)))човы...

[MerlKory]

павлеГ, блокнотом ... можешь взять от K1... только обрати внимание на бутлоадер ... у тебя могёт не быть к Z3 ... то же самое - оставляешь от К1

[павлеГ]

павлеГ, блокнотом ... можешь взять от K1... только обрати внимание на бутлоадер ... у тебя могёт не быть к Z3 ... то же самое - оставляешь от К1

непонял про z3?
изменил профиль л7(копию точнее)...нотепабом....флэшбекап выдал ошибку....щас заного ставлю..

[Sinet]

павлеГ, ты не просто скопируй, там к первой строчке добавится информация о месте от куда ты скопировал. Должно быть так:
[FB3 Profile]
ID=R452D_L7e
Model=Motorola L7e L7i
UseLdr=1
RamDld=Z3 (0AC2).ldr
Addr=03FC8000
Jump=03FC8010

[Code Groups]
BOOT=10000000-1000FFFF
;PDS=10010000-1001FFFF
CG1=10092000-115DFFFF
CG2=11AC0000-13F5FFFF
CG3=10040000-10091FFF
CG4=11860000-11ABFFFF
CG7=13F80000-13F9FFFF
CG15=115E0000-1185FFFF
CG18=13FE0000-13FE07FF

Просто тоже сначала скопировал, а там перед первойстрочкой была инфотрмация откуда скопировал. Так что проверь ещё раз.

[павлеГ]

всё...профиль заработал....прошивка не льётся....
флэшбэкап:
Выполнение команды JUMP...
Ошибка!

на экране телефона:
Critical Error
DAA5
19ED

[sasha45]

Archy, извини за , но не мог бы ты назвать приблизительные сроки выхода DualBoot для LTE2 телефонов? Уж очень душу ломит от ожидания

[MerlKory]

павлеГ, проверь что у тебя во флешбыкапе есть файл из этой строчки
RamDld=Z3 (0AC2).ldr
если что - замени её на строчку от К1

[Archy]

Блин, надо шить RSD_Lite 3.3 или выше, я же писал тебе в личке
ФБ3 нужен только для замены кодовых групп, но им это лучше не шить...

[павлеГ]

прошился...увидел это:
Boot Loader
0a.C0
SW Version:
R452D_G_08.03.0AR
PH SIG ERR: 39:02:
откатываюсь...

[Archy]

Ха! А ведь да - и у меня не вышло - все то же самое...

Данная методика пока НЕ РАБОТОСПОСОБНА на L7e, K1, Z3...

НЕА. Не катит, как и на К1 - ничего не получилось.
Завтра буду дергать счастливого владельца смарт-клипа по поводу L7e, Z3, K1..

[Archy]

Ищется бут версии не 0А.* на К1-Z3-L7e, т.е. на R452*

[Motohobiman]

Вот блин,значит доступа к ФС на L7e не видать пока.

[MerlKory]

Ищется бут версии не 0А.* на К1-Z3-L7e, т.е. на R452*

думаешь такой есть ??? если только выправить младшие версии бутов от L7 ... но кто это сможет сделать ???

[Archy]

+ он нужен с подписанным лоадером...
В любом случае завтра постараюсь узнать, как смарт-клип решает данную проблему.......

[MerlKory]

+ он нужен с подписанным лоадером...
В любом случае завтра постараюсь узнать, как смарт-клип решает данную проблему.......

лоадер взять оттуда же ... только попросить Рэндома подправить карту памяти ... ну или попробовать с нашим лоадером ..
кстати - загляни сюды ... тут немного ковыряю сертифы и подписи ...

[Archy]

В общем плохая новость - смарт-клипа команда тоже РСА на Л7е-К1 пока не заломала...
Жаль, наверное, из-за малого кол-ва запросов со стороны клиентов... Пока тишина.

ИМХО надо найти работоспособный бут, старее 0А.*, ибо проблема на 99% в нём.

[павлеГ]

арчи, есть вероятность что он может быть у самых первых л7е и подобных(т.е. которые вышли в продажу самыми первыми?)

[Sinet]

Непонятный трабл. Телефон в360 был с 9м бутом, я его понизил до 08.D0 и попытался снять RSA. После снятия телефон включается, но при его закрытии на внешнем экране нет верхней строчки(батарея, антена и тд). Если же я ставлю патч на снятие подписи и ещё другие то телефон так же прекрасно всключается,но при закрывании флипа вообще вырубается(повисает и горит клава, помогает только вынимание акума). Не пойму в чём дело. Делал это уже с другим телефоном и всё было ОК. Даже если влить рабочую прошивку из того что я уже сделал то таже фигня. Хотя вроде все офсеты совпадают.
В чем же трабл??

[БАВ]

Sinet:
А до этого какая прошивка стояла, АЕР? Как люди понижают бут-то! Вроде без ТП пока не получается! Или есть уже чего?