Lte2 Rsa - взломано., Готовое решение,проверено L6,L7,V360,V3i Поделиться Опции

[Archy]

ВНИМАНИЕ! Тема только для опытных пользователей!

СВЕРШИЛОСЬ! Итак, мы закончили работу над методикой залома LTE2.
Подходит для телефонов L2, L6, L7, V360, V3i и других.
Исключение составляют телефоны с бутом 09.xx, на них пока что не удалось снять RSA.

Немного теории:
Дыра, через которую мы обходим RSA - в CG7 (подписи бута) - там часть данных самой подписи можно использовать как код, в котором джампом выводится управление, т.е. за пределы подписанного блока.
Точку входа ставим на этот самый код...
Ну и, соответственно, получаем управление за пределами подписи - остальное уже дело техники...
Вот метод исправления CG7:

- сливаем свой CG7(или вытаскиваем из shx своей прошивки, дело вкуса)
перед патчем проверяем что байты по +1140 равны E5 9F C0 00, если нет - CG7 требует иной модификации. такие версии - "в студию".
- патчим:
по смещению 0xC80 в CG7 прописываем значения 46 C0 48 01 68 00 47 00 10 04 00 00 (изначально там будут FF)
- вливаем обратно.

CG18 (подпись прошивки) опять-же оказывается почти не нужна , нам от неё потребуются лишь первые 16 байт - заголовок, в котором раньше был адрес самой CG18 (11FE0010) - он меняется на адрес CG7 - т.е. 11F80000 (правим CG18 как написано тут)

Код

Offset      0  1  2  3  4  5  6  7   8  9  A  B  C  D  E  F
-----------------------------------------------------------
00000000   11 F8 00 00 ....дальше не важно.................   .ш.A..

- таким образом бут проверяет CG7, считая что проверяет CG18 - и в CG7 нет диапазона адресов CG1 - и, ясен пень, ошибка проверки CG1 таким образом не вылезает.
То есть вместо проверки прошивки идет повторная проверка CG7...
Далее - начало CG1, которое правится (правим так):

Код

Offset      0  1  2  3  4  5  6  7   8  9  A  B  C  D  E  F
-----------------------------------------------------------
00000000   11 F8 11 41 ....дальше не важно.................   .ш.A..
00000010   B0 01 FF FB ....дальше не важно.................   .яы...

Поняли, в чем прелесть?
Делаем эти изменения в указанных СG, собираем монстра - и шьём, даже ТЕСТ ПОИНТ НЕ ПОНАДОБИТСЯ!
Методика патчинга - правим CG18, CG7, правим заголовок CG1, добавляем в "монстра" CG3 (с той же прошивки, откуда остальные кодовые группы), вносим свои изменения/патчи в CG1, затем прошиваем всё это ЦЕЛИКОМ. Всё...

Единственное НО - пока не можем бэкапить - записывать ПДС, но уже пишется полностью открытый "дуал-бут" для ЛТЕ2, так что...

На V3i другая адресация, поэтому патчить надо будет так:
В CG18 в начале пишем 12F80000
В CG1 пишем по смещениям:
0000000: 12F81141
0000010: B001FFFB
В CG7 правим как выше описано

На L7e, K1, Z3 снова иная адресация, по идее патчить надо так:
В CG18 в начале 13F80000
В CG1 пишем по смещениям:
0000000: 13F81141
0000010: B001FFFB
В CG7 правим как выше описано
НО! Почему-то не работает. Возможно, виновата какая-то дополнительная проверка в новых 0А.* бутах, может, что-то еще... Кто имеет знакомых со смарт-клипами и один из этих телефонов, зайдите к ним, смените одну цифру в ИМЕИ и СНИМИТЕ ПОЛНЫЙ БЭКАП (без ПДСа), только не смаррт-клипом (он кодирует бэкапы). Ну и бэкап в студию!

P.s. Любые обсуждения авторства данной методики будут моментально наказаны БАНом.
Авторство команды смартклипа, метод был слит оттуда с лёгкой правкой. НИКАКОГО ФЛУДА и ОФФА!
Обсуждаем только по сути.

p.s. Тема до зачистки:

Lte2_Rsa____.rar   ( 18.35 килобайт ) Кол-во скачиваний: 5291

p.p.s. Вот простенькая программа для снятия RSA. Работает только на распакованных файлах!

RandomRSA2.rar   ( 165.14 килобайт ) Кол-во скачиваний: 18549

З.з.з.ы. Собираем и шьем прошивку с помощью FB 3.0.2 и выше, также можно шить через RSD_lite версии 3.3 и выше.

Сообщение отредактировал Random - 16.3.2007, 20:23

[~~~HuNtER~~~]

а это прокатит на Е1?(0a.02 49R)

[MNS]

а это прокатит на Е1?(0a.02 49R)

Это у тебя LTE 1, а там RSA уже давно взламали

[Sinet]

Это у тебя LTE 1, а там RSA уже давно взламали

Насчет Е1 ты ошибаешься. Хоть он и лте1 но его ещё до конца так и не взломали, хотя я могу ошибаться.

[Stalker8]

Так как на счет е790 я так и не понял,поламали RSA или нет?

[~~~HuNtER~~~]

Ну ясно, тогда плз дайте ссылочку на инструкцию по взлому ЛТЕ1...

[Moto-Roker]

MNS
хоть он и lte1 но его бут не позволяет ломать Рса по старому способу но эта метода ломает

[EuGeN88]

AlexKooper, выложи пожалуйста полностью взломаную прошивку на Е1 (0A02) и если можно с патчами (передеча по БТ и с улучшением фоток)! Буду благодарен!

[AlexKooper]

Смотри например тему mpx398 v2 49R, а патчи можно любые для соотв. прошивки поставить если там они еще не стоят
Еще есть мотосимбиан для 79, но его не рекомендую - на чистые 4х прошивки уже не слезть

А еще в теме монстров для Е1 я выложил мануал, как это делается

Сообщение отредактировал AlexKooper - 27.3.2007, 12:34

[JackiLL]

А с Z3 еще не разобрались?

[Akceptor]

Archy,
Мысль следующая: Покупка смартклипа
Имхо, делу обхода РСА на всех моделях поможет Думаю, нам давно пора иметь свою клипсу

[TigerWolf]

Здравствуйте.

Купил жене телефон... v3i с itunes, прошивка r47a_g_08.d9.75r (последняя вроде), boot A.030
сразу начались проблемы с itunes (10 сек играет, потом ошибка приложения).. Я побоялся другим монстром прошиваться, т.к. у меня самый последний зашит. Залил flex и DRM от CooLMP_R47A_G_08.D9.3CR_mcLexx_EdT там вообще itunes не стартует (при загрузке телефона сразу идёт ошибка приложения). Пробовал через MMM ставить различные itunes - выдаёт при включении телефона, что itunes повреждён и просит его удалить. Я так понимаю, что другие не ставятся из-за того что защиту RSA надо снять, в этой связи вопрос:
В Flash&Backup 3.0.3 появился пункт снятие RSA на LTE2 телефонах, взял родную прошивку оставил только CG1, CG3, CG7, CG18 поставил галочку на снятие RSA для LTE2 и сохранил. Проанализировав полученные файлы пришёл к выводу, что там всё заменено по нужным адресам и группам. Единственное, что смутило, так это конечные адреса каждой из CG групп (начальные в норме). Т.е. в оригинальной прошивке
CG 1 (100A0000 - 1135FFFF)
CG 3 (10040000 - 1009FFFF)
CG 7 (12F80000 - 12F9FFFF)
CG18 (12FE0000 - 12FE07FF)

а в модифицированной FB3

CG 1 (100A0000 - 10DABB5F)
CG 3 (10040000 - 1008788F)
CG 7 (12F80000 - 12F9FFFF)
CG18 (12FE0000 - 12FE07FF)

тобишь для СG1 и CG3 отличаюся...

В связи с этим шить побоялся... Кто-нить знает, можно ли попробовать прошиться (учитывая мою нынешнюю прошивку и бут) и даст ли мне это что-нить для решения проблемы itunes?

P.S. Пробовал другие флексы ставить (от Supshow) не помогает, при этом DAP работаетотлично так что с флешкой и телефоном всё в порядке).

заранее спасибо

[Maks_K]

TigerWolf,
Может у тебя стоит птичка на -"убирать пустоты в конце кодовых групп"

[TigerWolf]

Извини, но в FB3 не видел такой галочки

[Maks_K]

TigerWolf,
Закладка чтение данных
после списка кодовых групп:
стоит
1. Выбрать все
2. Убрать пустоту в конце кодовых групп

[TigerWolf]

нет... Я не ставил эту галочку

[TigerWolf]

Уппс.. сорри так и есть... спасибо, буду пробовать...

Добавлено позже (1.4.2007, 21:50):
В моём случае не получилось... брал тек. рабочую прошивку, патчил в FB3.0.3 и склеивал из cg1,3,7,18
shx файл - все файлы проверил сначала - всё ОК по ецепту . Прошивал последним RSD 3.5. Телефон включился и работает.


21:49:03, April 01, 2007
Line: 2033
ERROR: Phone[0000]: Error verifying Subscriber Unit Info: Chipset type does not match.
File: X:\test_dev_usb\flash\code\flashdll\PST_FP_FlashThread.cpp
Device ID: 0

21:49:03, April 01, 2007
Line: 3547
ERROR: Phone[0000]: Flash failed.
File: X:\test_dev_usb\flash\code\flashdll\PST_FP_FlashThread.cpp
Device ID: 0

21:49:03, April 01, 2007
Line: 573
ERROR: Flash failure: Phone[0000]: Error verifying Subscriber Unit Info: Chipset type does not match. (Error Code: 5a),
Detailed Error Details: Direction of the Error=No Direction, Command Value=4600000, Code Group Number=1
File: X:\test_dev_usb\flash\code\flashdll\FlashHdlr.cpp
Device ID: 0

[Alexey1960]

Всем привет.
Если я правильно понял, снятие проверки RSA должно было позволить слезть с неугодной прошивки. В моем случае это R4515_G_08.BD.D3R с 7-й версией PDS (телефон V3r). Прошивка эта у меня появилась вынужденно, после того как неудачной перепрошивкой убил телефон.
Так вот, выполнив все рекомендации Random, за что ему огромное спасибо, я перепрошил телефон. Все прошло на ура. После чего попробовал залить CG1 от прошивки R4515_G_08.BD.74R (5-я версия PDS) в комплекте с CG7 и CG18 из моей прошивки. Как результат - телефон из режима загрузки не вышел. Пришлось возвращаться в исходное состояние: перепрошиваться на R4515_G_08.BD.D3R.
Подскажите, пожалуйста, возможную причину неудачи. Очень уж хочется слезть с R4515_G_08.BD.D3R.
И второй вопрос: какую CG, помимо RAMDLD нужно обязательно включать в прошивку для перепрошивания CG1?
Заранее всем признателен.
P.S. Делал снятие проверки RSA и вручную и при помощи Flash&BackUp 3.04. Программа работает корректно (проверял через WinHex).
Пользователю запрещено создавать сообщения
Сообщения пользователя проверяются модераторами

[Vilko]

Alexey1960,
обход RSA предназначен для получения возможности модифицировать любую из прошивок, а не вливания версий, которые без этого не запускаются.
для того чтобы установить другую прошивку, которая просто так не запускается, нужно найти и устранить причину, не дающую ей запустится. вот тут может помочь возможность сделать патч, например той самой невливающейся прошивки.

[Motohobiman]

Два слова в тему шей 4ре групы Cg 1 3 7 18 ты пропустил Cg3 без нее некорект,вот когда например уже вся прошивка сидит в телефоне с обходом РСА,тогда достаточно менять модифицированую Cg1.Удачи.Можно шит8 ФиБ3 всё.

[Alexey1960]

Alexey1960,
обход RSA предназначен для получения возможности модифицировать любую из прошивок, а не вливания версий, которые без этого не запускаются.
для того чтобы установить другую прошивку, которая просто так не запускается, нужно найти и устранить причину, не дающую ей запустится. вот тут может помочь возможность сделать патч, например той самой невливающейся прошивки.

В том-то и дело, что мне вряд ли "по зубам" обнаружить и устранить причину. Могу лишь предположить, что возможная причина в отличии версии PDS этих прошивок. В текущей прошивке это 7-я версия, а в прошивке, кот. я бы хотел прошить - 5-я версия.
Ну да ладно, в любом случае респект, что не оставили мое сообщение без внимания.


Добавлено позже (5.4.2007, 11:22):

Два слова в тему шей 4ре групы Cg 1 3 7 18 ты пропустил Cg3 без нее некорект,вот когда например уже вся прошивка сидит в телефоне с обходом РСА,тогда достаточно менять модифицированую Cg1.Удачи.Можно шит8 ФиБ3 всё.

Если это сообщение было адресовано мне, то я так и делал: т.е. прошил именно четыре кодовые группы. Вернее, CG3 прошил уже в догонку 1-й, 7-й и 18-ой.
Пользователю запрещено создавать сообщения
Сообщения пользователя проверяются модераторами

[Motohobiman]

Вам(тебе) сообщение.Хм.Попытка не пытка,но насколько мне извесно вариант CG 13718 менять любую групу из другой прошивки _ опасно,и будет 90 проц. труп.Пробуйте проги Smart_Moto ,p2k Eazy Tools 3.9.Так как вы хотите не выйдет наверное сделать.Имхо.

[crazy SaZoN]

Алекс75, ну как? Получилось вернуть родной бут? Или его уже никак не вернуть?

[qazaq]

Вы мне скажите пожалуйста: на счет бута 09.XX у L7, разработки идут??? или пока и не ждать?

[HDD-Killer]

На L7e, K1, Z3 снова иная адресация, по идее патчить надо так:
В CG18 в начале 13F80000
В CG1 пишем по смещениям:
0000000: 13F81141
0000010: B001FFFB
В CG7 правим как выше описано
НО! Почему-то не работает.

Так для Z3 и др. пока решения не нашли? Если нет, то ведутся ли работы какие-нибуть в этом направлении?

[Crond]

Наверняка ведутся. А против 09.хх бутов есть панацея - ТП, правда, слишком жестокая.

[HDD-Killer]

А для Z3 ТП не пойдет??? Я со своими эксперементами уже столько раз тест-поинт делал, что "жестоким" это действие ни как назвать не могу...по крайней мере не жесче, чем прошить.
И еще, объясните мне, в чем суть изменений в CG1 и CG7??? В CG7, как я понял добавляется какой то код... Если так, то что это за код и что он делает??
Про CG1 вообще ничего не понял... у меня изначально там так:

Код

00000000   10 09 9C 7D 00 00 00 B1  00 13 02 06 FF FF 08 01
00000010   FF FF FF FF 00 FF FF FF  08 03 00 02 10 09 20 00        
00000020   10 09 20 C3 10 09 20 C4  11 5D FF FF FF FF FF FF
00000030   FF FF FF FF 10 04 00 00  10 09 1F FF 11 86 00 00

Что за адрес 10 09 9C 7D (если это вообще адрес) и почему его надо менять на 13F81141, со смещением 0x10 вообще не понятно...изначально там FF FF FF FF, очивидно это дело меняется на некоторый код (B001FFFB) - не похоже, что это адрес. Вопрос на какой...

Сорри за офф-топ, но хочется с этим разобраться, и попытаться найти причину, почему на Z3 не катит...сомниваюсь, что дело в буте.

Глюки кстати какие-то странные при реализации данного метода на Z3... После заливки патченых кодовых зон (или патченой прошивы) призагрузке пишет "sig error 35:02", пытаюсь залить толко измененные кодовые зоны обратно - та же ошибка, а если полный бэкап (всмыле все кодовые зоны) залить в тело - все работает... Не понимаю в чем разница!!!

Сообщение отредактировал HDD-Killer - 19.4.2007, 4:22

[MOTORуль]

А новым F&B3.0.4 можно снять RSA на V3i ?
То есть т.о. просто выбираю прошу которая мне нужна или мой бекап, нажимаю галку убрать RSA для LTE2 и прошиваю?

Сообщение отредактировал MOTORуль - 20.4.2007, 19:11

[RekGRpth]

Есть идея, как обойти РСА на новых телах (L7e, K1, Z3)
Но для этого мне нужно наличие самого тела.
Пока сам не проверю, идею не скажу, т.к. может и не получиться.

[At0miC134]

RekGRpth
Ну ты даёшь! Если у тебя идея говори! тут уже столько времени ждут снятия рса на этих телах! Тут уже любой вариант рассматривается!
ЗЫ Я из-за рса ломаюсь что брать л7е или в3ай - конечно хотелось бы л7е но ведь на ней рса не сломан, а на в3ай ок! (извеняюсь за офтопик)

Сообщение отредактировал At0miC134 - 24.4.2007, 4:42

[olegap]

Господа!
Есть V3i (V3t) R344... C бутом 0А.52.

Если я правильно понял, понизив бут с помощью ТП до 0А.30, я смогу пропатчить RCA и сменить платформу на R479 или К47А...

Или я не прав?

[bigserg555]

RekGRpth, я к твоим услугам!Ну вобщем знаешь меня.

[Алекс75]

RekGRpth,

Есть идея, как обойти РСА на новых телах (L7e, K1, Z3)
Но для этого мне нужно наличие самого тела.
Пока сам не проверю, идею не скажу, т.к. может и не получиться.

А тогда смысл подобного поста?Идея есть,а тела нет,но без тела не скажу.Тебе что L7e купить?!!!
Насчет L7e разработки ведутся но пока безрезультатно.Как альтернативный вариант можно попробовать через ТП понизить версию бута на L7e,но вопрос....
1.С каким бутом данный девайс будет работать
2.И как адаптировать бут более низкой версии для L7e
Ну а затем применить обход RSA на LTE2

[MerlKory]

А для Z3 ТП не пойдет??? Я со своими эксперементами уже столько раз тест-поинт делал, что "жестоким" это действие ни как назвать не могу...по крайней мере не жесче, чем прошить.
[...]
Глюки кстати какие-то странные при реализации данного метода на Z3... После заливки патченых кодовых зон (или патченой прошивы) призагрузке пишет "sig error 35:02", пытаюсь залить толко измененные кодовые зоны обратно - та же ошибка, а если полный бэкап (всмыле все кодовые зоны) залить в тело - все работает... Не понимаю в чем разница!!!

а ты не можешь вызвонить контакты ТП на клавиатурном разъёме ? не хочется делать лишние дырки в телефоне ))
а телефон пишет sig error именно потому что бут проверяет целосность прошивки (потому так долго и включается, зараза...) и если обнаруживает в ней изменения (точнее - при пересчете с помощью подписи по прошивке не получает открытый ключ) то вот именно так и ругается ....
RekGRpth, а ты идею говори, попробуем.

Сообщение отредактировал MerlKory - 5.5.2007, 21:27

[HDD-Killer]

MerlKory, что-то я тебя не совсем понял... Что за клавиатурный разьем? А дырки ни какие в теле делать не надо (на моей мобиле по крайней мере).

а телефон пишет sig error именно потому что бут проверяет целосность прошивки (потому так долго и включается, зараза...) и если обнаруживает в ней изменения (точнее - при пересчете с помощью подписи по прошивке не получает открытый ключ) то вот именно так и ругается ....

А это ты вообще к чему? Во-первых, и так понятно, что сиг еррор - ошибка проверки проши, а во-вторых ты не совсем прав. Дело в том, что проверок в буте много и на какой проверке бут решил, что с прошивой что-то не то зависит от кода ошибки. То, что ты описал - это sig err 35:02. Есть и другие. В частности при ипользовании методики, обсуждаемой в данной теме ошибка связана с тем, что адрес точки входа в CG1 был проверен при проверке RSA. А сома проверка проходит нормально... Просто бут "видит", что он не то проверял...

[!LuXa]

Archy,
У тебя в подписи напичанно "Взломана LTE2-RSA! Патчим L7, L7e, V360, V3i, K1 и т.д... (ВНИМАНИЕ! ВСЕМ - УМЕНЬШАЕМ СВОЮ ПОДПИСЬ ДО 4-х СТРОК)".
Дык я не понял, всётаки взламали л7е или нет???

Нет. Опечатка. Но изменились правила, и внести изменения в подпись я уже не смогу...
Пока нет.

Сообщение отредактировал Archy - 5.6.2007, 14:07

[rutahunter]

Та же трабла что и HDD-killer прошиваю V3i с бутом 0a.52 патченной прошивкой sig error.
Заливаю buckup норм. Что делать ? Как прошить етот V3i???

[Kerill]

!LuXa,
Нет! не взломали
Внимательней читай первый пост.

rutahunter,
С этим бутом ты не сможеш поставить патченую прошивку. Делай ТП и ставь бут 0A.30/

[rutahunter]

Kerill,
А как поставить бут 0a.30?
Я сделал ТП, телефон определился как "blank", а что чем и куда дальше шить????

[Kerill]

Сделай ТП и прошей Image для V3i (поищи в теме про V360/L7/V3i/V3r)

[rutahunter]

Чем прошить? Пробовал Fb3.0.0.4, Smart moto, Rsd lite 3.6 выдает ошибку, а p2k easy djj,ot не запускается?