Lte2 Rsa - взломано., Готовое решение,проверено L6,L7,V360,V3i Поделиться Опции

[Archy]

ВНИМАНИЕ! Тема только для опытных пользователей!

СВЕРШИЛОСЬ! Итак, мы закончили работу над методикой залома LTE2.
Подходит для телефонов L2, L6, L7, V360, V3i и других.
Исключение составляют телефоны с бутом 09.xx, на них пока что не удалось снять RSA.

Немного теории:
Дыра, через которую мы обходим RSA - в CG7 (подписи бута) - там часть данных самой подписи можно использовать как код, в котором джампом выводится управление, т.е. за пределы подписанного блока.
Точку входа ставим на этот самый код...
Ну и, соответственно, получаем управление за пределами подписи - остальное уже дело техники...
Вот метод исправления CG7:

- сливаем свой CG7(или вытаскиваем из shx своей прошивки, дело вкуса)
перед патчем проверяем что байты по +1140 равны E5 9F C0 00, если нет - CG7 требует иной модификации. такие версии - "в студию".
- патчим:
по смещению 0xC80 в CG7 прописываем значения 46 C0 48 01 68 00 47 00 10 04 00 00 (изначально там будут FF)
- вливаем обратно.

CG18 (подпись прошивки) опять-же оказывается почти не нужна , нам от неё потребуются лишь первые 16 байт - заголовок, в котором раньше был адрес самой CG18 (11FE0010) - он меняется на адрес CG7 - т.е. 11F80000 (правим CG18 как написано тут)

Код

Offset      0  1  2  3  4  5  6  7   8  9  A  B  C  D  E  F
-----------------------------------------------------------
00000000   11 F8 00 00 ....дальше не важно.................   .ш.A..

- таким образом бут проверяет CG7, считая что проверяет CG18 - и в CG7 нет диапазона адресов CG1 - и, ясен пень, ошибка проверки CG1 таким образом не вылезает.
То есть вместо проверки прошивки идет повторная проверка CG7...
Далее - начало CG1, которое правится (правим так):

Код

Offset      0  1  2  3  4  5  6  7   8  9  A  B  C  D  E  F
-----------------------------------------------------------
00000000   11 F8 11 41 ....дальше не важно.................   .ш.A..
00000010   B0 01 FF FB ....дальше не важно.................   .яы...

Поняли, в чем прелесть?
Делаем эти изменения в указанных СG, собираем монстра - и шьём, даже ТЕСТ ПОИНТ НЕ ПОНАДОБИТСЯ!
Методика патчинга - правим CG18, CG7, правим заголовок CG1, добавляем в "монстра" CG3 (с той же прошивки, откуда остальные кодовые группы), вносим свои изменения/патчи в CG1, затем прошиваем всё это ЦЕЛИКОМ. Всё...

Единственное НО - пока не можем бэкапить - записывать ПДС, но уже пишется полностью открытый "дуал-бут" для ЛТЕ2, так что...

На V3i другая адресация, поэтому патчить надо будет так:
В CG18 в начале пишем 12F80000
В CG1 пишем по смещениям:
0000000: 12F81141
0000010: B001FFFB
В CG7 правим как выше описано

На L7e, K1, Z3 снова иная адресация, по идее патчить надо так:
В CG18 в начале 13F80000
В CG1 пишем по смещениям:
0000000: 13F81141
0000010: B001FFFB
В CG7 правим как выше описано
НО! Почему-то не работает. Возможно, виновата какая-то дополнительная проверка в новых 0А.* бутах, может, что-то еще... Кто имеет знакомых со смарт-клипами и один из этих телефонов, зайдите к ним, смените одну цифру в ИМЕИ и СНИМИТЕ ПОЛНЫЙ БЭКАП (без ПДСа), только не смаррт-клипом (он кодирует бэкапы). Ну и бэкап в студию!

P.s. Любые обсуждения авторства данной методики будут моментально наказаны БАНом.
Авторство команды смартклипа, метод был слит оттуда с лёгкой правкой. НИКАКОГО ФЛУДА и ОФФА!
Обсуждаем только по сути.

p.s. Тема до зачистки:

Lte2_Rsa____.rar   ( 18.35 килобайт ) Кол-во скачиваний: 5292

p.p.s. Вот простенькая программа для снятия RSA. Работает только на распакованных файлах!

RandomRSA2.rar   ( 165.14 килобайт ) Кол-во скачиваний: 18551

З.з.з.ы. Собираем и шьем прошивку с помощью FB 3.0.2 и выше, также можно шить через RSD_lite версии 3.3 и выше.

Сообщение отредактировал Random - 16.3.2007, 20:23

[Вопрос]

Вырываю F&B кодовые группы CG1, 3, 7, 18!
Снимаю с кодовых групп CG1, 7, 18 RSA, затем патчу кодовую группу CG1
Обрабатываю прошивку в SHX и шью RSD LITE, тело выдаёт ошибку и не выходит флэш мода!
PS: когда я прошиваю отпачинные группы в SMG, программа F&B выдаёт критикал эрор на первой кодовой группе
Помогите пожалуйста!

[jCancer]

Вопрос,
прошивать LTE2 модели можно с помощью ФБ ТОЛЬКО версии 3.0.2

[Вопрос]

jCancer,
не в том суть!
тут написано что шитьRSD
а версия FB у меня 3.0.058
после окончания выдаёт во флеш моде phone code sig error

Сообщение отредактировал Вопрос - 13.3.2007, 19:04

[Crond]

Цитата (Вопрос): не в том суть!
Ну-ну ага не в том...

Мне пемогло прошивание полнойй чистой прошивки которая у меня стояла. Лучше если это будет не чей-то бэкап, а скачаная из иНета ЧИСТАЯ прошивка.

Потом качай F&B 3.0.2 и прям в ней спокойно волшебными манипуляциями РСА снимается автоматом.

[Tangar]

У меня тут ламерский вопросик: а чем править-то кодовые группы?

[Akceptor]

У меня тут ламерский вопросик: а чем править-то кодовые группы?

Любым хекc редактором (напр. WinHEX, XVI32)

[jCancer]

Вот как раз дело в том, что шьешь ФБ - поэтому и сиг еррор наблюдаешь.
Ибо эта версия ФБ не шьет правильно CG1

[Zagoralsanya]

Что ни кто не знает???

Вот что нужно тебе сделать: "Кто имеет знакомых со смарт-клипами и один из этих телефонов, зайдите к ним, смените одну цифру в ИМЕИ и СНИМИТЕ ПОЛНЫЙ БЭКАП (без ПДСа), только не смаррт-клипом (он кодирует бэкапы). Ну и бэкап в студию!"

[Stalker8]

А у меня ну очень ламерский вопрос,не судите строго.Вот поламали вы Lt2 RSA и что теперь можно с этим всем сдеать?

[Вопрос]

Stalker8,
можешь патчить спокойно)

[AlexKooper]

так что не получилась ?)

Медленно продвигается, из-за того что тестерам прошивку пересылаю по инету. но тема реально работает на Е1, сделал патченый сг1 с блокировкой по меню+меню - работает.

Итак,
Получилось с мрх398 в2 49р!

Сообщение отредактировал AlexKooper - 21.3.2007, 18:38

[Zagoralsanya]

Ребят вы мне скажите пожалуйст: в сторону L7e разработки идут??? или можно пока и не ждать?

[Crond]

Ребят вы мне скажите пожалуйст: в сторону L7e разработки идут??? или можно пока и не ждать?

Идут, идут, можешь не беспокоиться.

[VANDAL1]

а что дало то это?)) взломали rsa и что

[MNS]

а что дало то это?)) взломали rsa и что

Очень много это дало, несколько из этого:
Возможность менять платформу например на V3i, Патчить прошивку, устанавливать неподписанные Itunes или MV и т.д

Сообщение отредактировал MNS - 24.3.2007, 18:23

[~~~HuNtER~~~]

а это прокатит на Е1?(0a.02 49R)

[MNS]

а это прокатит на Е1?(0a.02 49R)

Это у тебя LTE 1, а там RSA уже давно взламали

[Sinet]

Это у тебя LTE 1, а там RSA уже давно взламали

Насчет Е1 ты ошибаешься. Хоть он и лте1 но его ещё до конца так и не взломали, хотя я могу ошибаться.

[Stalker8]

Так как на счет е790 я так и не понял,поламали RSA или нет?

[~~~HuNtER~~~]

Ну ясно, тогда плз дайте ссылочку на инструкцию по взлому ЛТЕ1...

[Moto-Roker]

MNS
хоть он и lte1 но его бут не позволяет ломать Рса по старому способу но эта метода ломает

[EuGeN88]

AlexKooper, выложи пожалуйста полностью взломаную прошивку на Е1 (0A02) и если можно с патчами (передеча по БТ и с улучшением фоток)! Буду благодарен!

[AlexKooper]

Смотри например тему mpx398 v2 49R, а патчи можно любые для соотв. прошивки поставить если там они еще не стоят
Еще есть мотосимбиан для 79, но его не рекомендую - на чистые 4х прошивки уже не слезть

А еще в теме монстров для Е1 я выложил мануал, как это делается

Сообщение отредактировал AlexKooper - 27.3.2007, 12:34

[JackiLL]

А с Z3 еще не разобрались?

[Akceptor]

Archy,
Мысль следующая: Покупка смартклипа
Имхо, делу обхода РСА на всех моделях поможет Думаю, нам давно пора иметь свою клипсу

[TigerWolf]

Здравствуйте.

Купил жене телефон... v3i с itunes, прошивка r47a_g_08.d9.75r (последняя вроде), boot A.030
сразу начались проблемы с itunes (10 сек играет, потом ошибка приложения).. Я побоялся другим монстром прошиваться, т.к. у меня самый последний зашит. Залил flex и DRM от CooLMP_R47A_G_08.D9.3CR_mcLexx_EdT там вообще itunes не стартует (при загрузке телефона сразу идёт ошибка приложения). Пробовал через MMM ставить различные itunes - выдаёт при включении телефона, что itunes повреждён и просит его удалить. Я так понимаю, что другие не ставятся из-за того что защиту RSA надо снять, в этой связи вопрос:
В Flash&Backup 3.0.3 появился пункт снятие RSA на LTE2 телефонах, взял родную прошивку оставил только CG1, CG3, CG7, CG18 поставил галочку на снятие RSA для LTE2 и сохранил. Проанализировав полученные файлы пришёл к выводу, что там всё заменено по нужным адресам и группам. Единственное, что смутило, так это конечные адреса каждой из CG групп (начальные в норме). Т.е. в оригинальной прошивке
CG 1 (100A0000 - 1135FFFF)
CG 3 (10040000 - 1009FFFF)
CG 7 (12F80000 - 12F9FFFF)
CG18 (12FE0000 - 12FE07FF)

а в модифицированной FB3

CG 1 (100A0000 - 10DABB5F)
CG 3 (10040000 - 1008788F)
CG 7 (12F80000 - 12F9FFFF)
CG18 (12FE0000 - 12FE07FF)

тобишь для СG1 и CG3 отличаюся...

В связи с этим шить побоялся... Кто-нить знает, можно ли попробовать прошиться (учитывая мою нынешнюю прошивку и бут) и даст ли мне это что-нить для решения проблемы itunes?

P.S. Пробовал другие флексы ставить (от Supshow) не помогает, при этом DAP работаетотлично так что с флешкой и телефоном всё в порядке).

заранее спасибо

[Maks_K]

TigerWolf,
Может у тебя стоит птичка на -"убирать пустоты в конце кодовых групп"

[TigerWolf]

Извини, но в FB3 не видел такой галочки

[Maks_K]

TigerWolf,
Закладка чтение данных
после списка кодовых групп:
стоит
1. Выбрать все
2. Убрать пустоту в конце кодовых групп

[TigerWolf]

нет... Я не ставил эту галочку

[TigerWolf]

Уппс.. сорри так и есть... спасибо, буду пробовать...

Добавлено позже (1.4.2007, 21:50):
В моём случае не получилось... брал тек. рабочую прошивку, патчил в FB3.0.3 и склеивал из cg1,3,7,18
shx файл - все файлы проверил сначала - всё ОК по ецепту . Прошивал последним RSD 3.5. Телефон включился и работает.


21:49:03, April 01, 2007
Line: 2033
ERROR: Phone[0000]: Error verifying Subscriber Unit Info: Chipset type does not match.
File: X:\test_dev_usb\flash\code\flashdll\PST_FP_FlashThread.cpp
Device ID: 0

21:49:03, April 01, 2007
Line: 3547
ERROR: Phone[0000]: Flash failed.
File: X:\test_dev_usb\flash\code\flashdll\PST_FP_FlashThread.cpp
Device ID: 0

21:49:03, April 01, 2007
Line: 573
ERROR: Flash failure: Phone[0000]: Error verifying Subscriber Unit Info: Chipset type does not match. (Error Code: 5a),
Detailed Error Details: Direction of the Error=No Direction, Command Value=4600000, Code Group Number=1
File: X:\test_dev_usb\flash\code\flashdll\FlashHdlr.cpp
Device ID: 0

[Alexey1960]

Всем привет.
Если я правильно понял, снятие проверки RSA должно было позволить слезть с неугодной прошивки. В моем случае это R4515_G_08.BD.D3R с 7-й версией PDS (телефон V3r). Прошивка эта у меня появилась вынужденно, после того как неудачной перепрошивкой убил телефон.
Так вот, выполнив все рекомендации Random, за что ему огромное спасибо, я перепрошил телефон. Все прошло на ура. После чего попробовал залить CG1 от прошивки R4515_G_08.BD.74R (5-я версия PDS) в комплекте с CG7 и CG18 из моей прошивки. Как результат - телефон из режима загрузки не вышел. Пришлось возвращаться в исходное состояние: перепрошиваться на R4515_G_08.BD.D3R.
Подскажите, пожалуйста, возможную причину неудачи. Очень уж хочется слезть с R4515_G_08.BD.D3R.
И второй вопрос: какую CG, помимо RAMDLD нужно обязательно включать в прошивку для перепрошивания CG1?
Заранее всем признателен.
P.S. Делал снятие проверки RSA и вручную и при помощи Flash&BackUp 3.04. Программа работает корректно (проверял через WinHex).
Пользователю запрещено создавать сообщения
Сообщения пользователя проверяются модераторами

[Vilko]

Alexey1960,
обход RSA предназначен для получения возможности модифицировать любую из прошивок, а не вливания версий, которые без этого не запускаются.
для того чтобы установить другую прошивку, которая просто так не запускается, нужно найти и устранить причину, не дающую ей запустится. вот тут может помочь возможность сделать патч, например той самой невливающейся прошивки.

[Motohobiman]

Два слова в тему шей 4ре групы Cg 1 3 7 18 ты пропустил Cg3 без нее некорект,вот когда например уже вся прошивка сидит в телефоне с обходом РСА,тогда достаточно менять модифицированую Cg1.Удачи.Можно шит8 ФиБ3 всё.

[Alexey1960]

Alexey1960,
обход RSA предназначен для получения возможности модифицировать любую из прошивок, а не вливания версий, которые без этого не запускаются.
для того чтобы установить другую прошивку, которая просто так не запускается, нужно найти и устранить причину, не дающую ей запустится. вот тут может помочь возможность сделать патч, например той самой невливающейся прошивки.

В том-то и дело, что мне вряд ли "по зубам" обнаружить и устранить причину. Могу лишь предположить, что возможная причина в отличии версии PDS этих прошивок. В текущей прошивке это 7-я версия, а в прошивке, кот. я бы хотел прошить - 5-я версия.
Ну да ладно, в любом случае респект, что не оставили мое сообщение без внимания.


Добавлено позже (5.4.2007, 11:22):

Два слова в тему шей 4ре групы Cg 1 3 7 18 ты пропустил Cg3 без нее некорект,вот когда например уже вся прошивка сидит в телефоне с обходом РСА,тогда достаточно менять модифицированую Cg1.Удачи.Можно шит8 ФиБ3 всё.

Если это сообщение было адресовано мне, то я так и делал: т.е. прошил именно четыре кодовые группы. Вернее, CG3 прошил уже в догонку 1-й, 7-й и 18-ой.
Пользователю запрещено создавать сообщения
Сообщения пользователя проверяются модераторами

[Motohobiman]

Вам(тебе) сообщение.Хм.Попытка не пытка,но насколько мне извесно вариант CG 13718 менять любую групу из другой прошивки _ опасно,и будет 90 проц. труп.Пробуйте проги Smart_Moto ,p2k Eazy Tools 3.9.Так как вы хотите не выйдет наверное сделать.Имхо.

[crazy SaZoN]

Алекс75, ну как? Получилось вернуть родной бут? Или его уже никак не вернуть?

[qazaq]

Вы мне скажите пожалуйста: на счет бута 09.XX у L7, разработки идут??? или пока и не ждать?

[HDD-Killer]

На L7e, K1, Z3 снова иная адресация, по идее патчить надо так:
В CG18 в начале 13F80000
В CG1 пишем по смещениям:
0000000: 13F81141
0000010: B001FFFB
В CG7 правим как выше описано
НО! Почему-то не работает.

Так для Z3 и др. пока решения не нашли? Если нет, то ведутся ли работы какие-нибуть в этом направлении?

[Crond]

Наверняка ведутся. А против 09.хх бутов есть панацея - ТП, правда, слишком жестокая.