Lte2 Rsa - взломано., Готовое решение,проверено L6,L7,V360,V3i Поделиться Опции

[Archy]

ВНИМАНИЕ! Тема только для опытных пользователей!

СВЕРШИЛОСЬ! Итак, мы закончили работу над методикой залома LTE2.
Подходит для телефонов L2, L6, L7, V360, V3i и других.
Исключение составляют телефоны с бутом 09.xx, на них пока что не удалось снять RSA.

Немного теории:
Дыра, через которую мы обходим RSA - в CG7 (подписи бута) - там часть данных самой подписи можно использовать как код, в котором джампом выводится управление, т.е. за пределы подписанного блока.
Точку входа ставим на этот самый код...
Ну и, соответственно, получаем управление за пределами подписи - остальное уже дело техники...
Вот метод исправления CG7:

- сливаем свой CG7(или вытаскиваем из shx своей прошивки, дело вкуса)
перед патчем проверяем что байты по +1140 равны E5 9F C0 00, если нет - CG7 требует иной модификации. такие версии - "в студию".
- патчим:
по смещению 0xC80 в CG7 прописываем значения 46 C0 48 01 68 00 47 00 10 04 00 00 (изначально там будут FF)
- вливаем обратно.

CG18 (подпись прошивки) опять-же оказывается почти не нужна , нам от неё потребуются лишь первые 16 байт - заголовок, в котором раньше был адрес самой CG18 (11FE0010) - он меняется на адрес CG7 - т.е. 11F80000 (правим CG18 как написано тут)

Код

Offset      0  1  2  3  4  5  6  7   8  9  A  B  C  D  E  F
-----------------------------------------------------------
00000000   11 F8 00 00 ....дальше не важно.................   .ш.A..

- таким образом бут проверяет CG7, считая что проверяет CG18 - и в CG7 нет диапазона адресов CG1 - и, ясен пень, ошибка проверки CG1 таким образом не вылезает.
То есть вместо проверки прошивки идет повторная проверка CG7...
Далее - начало CG1, которое правится (правим так):

Код

Offset      0  1  2  3  4  5  6  7   8  9  A  B  C  D  E  F
-----------------------------------------------------------
00000000   11 F8 11 41 ....дальше не важно.................   .ш.A..
00000010   B0 01 FF FB ....дальше не важно.................   .яы...

Поняли, в чем прелесть?
Делаем эти изменения в указанных СG, собираем монстра - и шьём, даже ТЕСТ ПОИНТ НЕ ПОНАДОБИТСЯ!
Методика патчинга - правим CG18, CG7, правим заголовок CG1, добавляем в "монстра" CG3 (с той же прошивки, откуда остальные кодовые группы), вносим свои изменения/патчи в CG1, затем прошиваем всё это ЦЕЛИКОМ. Всё...

Единственное НО - пока не можем бэкапить - записывать ПДС, но уже пишется полностью открытый "дуал-бут" для ЛТЕ2, так что...

На V3i другая адресация, поэтому патчить надо будет так:
В CG18 в начале пишем 12F80000
В CG1 пишем по смещениям:
0000000: 12F81141
0000010: B001FFFB
В CG7 правим как выше описано

На L7e, K1, Z3 снова иная адресация, по идее патчить надо так:
В CG18 в начале 13F80000
В CG1 пишем по смещениям:
0000000: 13F81141
0000010: B001FFFB
В CG7 правим как выше описано
НО! Почему-то не работает. Возможно, виновата какая-то дополнительная проверка в новых 0А.* бутах, может, что-то еще... Кто имеет знакомых со смарт-клипами и один из этих телефонов, зайдите к ним, смените одну цифру в ИМЕИ и СНИМИТЕ ПОЛНЫЙ БЭКАП (без ПДСа), только не смаррт-клипом (он кодирует бэкапы). Ну и бэкап в студию!

P.s. Любые обсуждения авторства данной методики будут моментально наказаны БАНом.
Авторство команды смартклипа, метод был слит оттуда с лёгкой правкой. НИКАКОГО ФЛУДА и ОФФА!
Обсуждаем только по сути.

p.s. Тема до зачистки:

Lte2_Rsa____.rar   ( 18.35 килобайт ) Кол-во скачиваний: 5292

p.p.s. Вот простенькая программа для снятия RSA. Работает только на распакованных файлах!

RandomRSA2.rar   ( 165.14 килобайт ) Кол-во скачиваний: 18551

З.з.з.ы. Собираем и шьем прошивку с помощью FB 3.0.2 и выше, также можно шить через RSD_lite версии 3.3 и выше.

Сообщение отредактировал Random - 16.3.2007, 20:23

[sasha45]

Random, как я понял то 4 байта - это 4 пары по два числа(символа

4 байта - это XX XX XX XX. Ох и замучаешься потом чистить эту тему =)

спасибо

Сообщение отредактировал sasha45 - 15.1.2007, 19:39

[Random]

И не нужно говорить что я не то название сменил хоть там их и два...я сменил название написанное заглавными буквами т.е то которое отображается телефоном

В буте название из PDS читается, а не из прошивки.
Если бы прошивка запустилась - она бы в PDS сохранила свое название, но она не запустилась у тебя.

[ЬЗК]

Думаю не выйдет....я же лил CG1,7,18 когда стояла родная CG3

думаю надо попробовать, да и еще, я обратил внимание что RSD не так извлекает CG1
если взять патченую прошиву и разбить на кодогруппы то указанная выше КГ отличается у РСД и ФБ3, а остальные один в один, щас буду искать причину, проверьте у себя плиз кто нибудь

[люмен]

Есть! Мне удалось прошить V3i патченными кодовыми группами. Как мне теперь проверить, действительно ли отключена проверка RSA?

Если тело загрузилось и работает, то все Ок

Сообщение отредактировал Archy - 15.1.2007, 22:00

[Vint]

Прошил правленные кодгруппы вместе с родной CG3. Ошибки не выскочили и телефон включился без проблем.

[Mr.stEin]

Все я тоже снял RSA.

НЕ ЗАБЫВАЙТЕ ДОБАВЛЯТЬ CG3 без нее телефон не хочет запускаться. Проверено на собственном опыте.

СРАВНИТЕ КТО НИБУДЬ CG1 слитые из SHX FlashBackup'ом и RSD

RSD создает файл CG0 размером 200 байт, которые берутся из начала CG1.


Random, добавь информацию про CG3 в закрепленное сообщение =)

Добавил =)

Сообщение отредактировал Random - 15.1.2007, 20:48

[Mr.stEin]

Random, вот я нашел у себя прогу MotoPatchMaker. Если я сейчас через нее сделаю патч на смену клавиш блокировки, я могу залить с помощью FB3 его?

Думаю нет. Движок патчинга в текущей версии расчитан на LTE, соответсвенно адреса там другие. А абсолютной адресации пока не поддерживает. Вообщем ждите новой версии =)

Сообщение отредактировал Random - 15.1.2007, 20:58

[люмен]

Random, первые байты 12F80000. Я просто изначально одну ошибку сделал, потом уловил ее.
Объясни теперь, как мне слезть с бута 0А.30?
Если я обычный дуалбут прошью, он запустится?

Нет. Подождите немного. Пока проверяется сам метод. Патчи и новый дуалбут будет позже. И с бута слезть тоже получиться, но чуть позже. И еще - ты делал по моей инструкции? Или что-то поменял?


По инструкции. Спасибо тебе.

Сообщение отредактировал Random - 15.1.2007, 21:06

[Iceman2000]

Тоже снял RSA на V360....
ЗЫ: И все таки интересно почему телефон при заливки патченных CG1,7,18 так себя ведет без повторной прошивки оригинальной CG3? Видимо там что то меняется при первом включении....то что повторно уже не меняется...как считаете? Просто интересно....
Извините если офф...


ЗЫЫ: Только что проверил оригинальный DSP и тот что слил с телефона после заливки патченных CG....они идентичны....
Тогда совсем непонятно почему у некоторых без прошивки CG3 все нормально запустилось а у нас нет...

Сообщение отредактировал Iceman2000 - 15.1.2007, 21:23

[люмен]

Iceman2000, странно, но у меня без CG3 нормально все.

[Starov]

всем спасибо!!!! RSA на V3r R4515 с бутом 0A.30 отключён !!!!!!!!!!!!

всё было вделано по вышеописанной схеме!!!

Vilko, теперь ''только теория" перешла на практику..... всё работает...

CG1:0000 - 11 F8 11 41
CG1:0010 - B0 01 FF FB
CG7:0C80 - 46 C0 48 01 68 00 47 00 10 04 00 00
CG18:0000 - 11 F8 00 00
+ CG3

ещё раз всем спасибо!!!! у кого не получается... прошу в аську....

[ЬЗК]

Все ок, прошился
L7 R4513_G_08.B7.AER_RB 09D0
Flash Backup 3 шить отказался выдал ошибку CG1
RSD lite 3.3 прошил успешно

[Supshow]

NON-iTunes V3i: RSA успешно снят.

[Random]

Вообщем я понял, что на доработку F&B потребуется больше времени, поэтому выкладываю отдельно простенькую прогу для снятия RSA на LTE2(смотрите в прикрепленном сообщении).

ЬЗК,
Как мне сказали, через F&B нормально шьется на L7 только DCR, так что пока пользуйтесь для прошивки RSD.

Сообщение отредактировал Random - 16.1.2007, 8:52

[люмен]

Random, что-то глючит программка. Выбираю кодовые группы, жму снять RSA, а мне в ответ: Эти вайлы нельзя пропатчить.

Значит ты выбрал уже патченные. Проверь

Сообщение отредактировал Random - 16.1.2007, 9:24

[Iceman2000]

Извините если ОФФ но думаю всем интересно будет! Можно ли с помощью FB3 применять патчи?Думаю что все таки нельзя но на 100% не уверен! просто напрасно убивать тело лишний раз не очень хочется!

Я же написал уже, что в текущей версии нельзя. Там алгоритм основан на адресах LTE. Ждите следующей. Или руками Спасибо за ответ! Значит ничего не поделать, буду править руками!

Сообщение отредактировал Iceman2000 - 16.1.2007, 9:31

[Паук]

Возможно будет полезно тем, у кого на руках полутруп с разряженной батарейкой:
Универсальное зарядное устройство

Стоит от 4$, живет обычно среди всяких аксессуаров в точках, где торгуют мобилами.

[Рёцке]

Поменял себе bootscreen.

Всё просто отлично, но есть один ньюанс.

Патченный CG1 заливать только ВМЕСТЕ С РОДНЫМ CG3

если заливать только CG1 тело умирает.


DNovikoff

Вы конечно извините меня, но я вообще не врубаюсь о чём вы тут. По глупости поставил AER_RB 8( , и очень хочу обратно ACR...подскажите ( plzZZ ) мудрые люди, что мне для этого надо и где это можно взять.

мы тут снимаем RSA проверку для LTE2 телефонов. Цель - возможность применения патчей и dualboot(для заливки/выливки бэкапа)

[Vilko]

mr.Black,
большинство патчей для 398 должны быть "переносимы" на новые аппараты. поскольку сама архитектура поршивки не изменялась

[kobr]

Не хочется флудить,но кто-нить уже пробовал вышеописанный метод на rokr E1?

[Random]

Не хочется флудить,но кто-нить уже пробовал вышеописанный метод на rokr E1?

Видимо еще нет, но шансы на успех большие.

Vilko, Random, Подскажите как мне адаптировать патч от 398 на v3i. Немогу же я просто залить его!! Напишите плиз мануальчик. С меня +++++ И вечная ЛюБоВь . Прошивка R479*_B5.10R.

Попроси кодера какого-нибудь.
Берется общий алгоритм патча, скажем поиск некой последовательности.
Эта последовательность ищется в прошивке V3i, и меняется на соотетсвующую патченную последовательность.
Обычно авторы патчей писали как адаптировать патч на другие прошивки, так что читай.
Патчей на V3i, как и на другие LTE2 сейчас готовых нет, т.к. сломали защиту буквально вчера.

[Leon1988]

После заливки измененной прошивки в V360 AER 09.02 результат - вечный бут. RSD 3.1 выдает такое сообщение "Phone failed initial security verification checks. HAB error 0x8D"

Вопрос. Не зашита ли в последних версиях бутлоадеров какая-либо инфа о прошивке?

[Voit21]

Всё получилось с помошью прикреплёной утилитки. Теперь у меня Boot 08D0+EOR_RB+The Hot Mix L7 Final+Rsa Remove

[Flex4]

V360 , 08.A0 , ACR
все успешно залилось в тел и включилось, спасибо Random за мини прогу=))

[sasha45]

Flex4, а чем собирал прошивку? Я пробовал SHXCodec, собрал, вроде нормально, но FB3 отказался прошвать собранное дело. Может я как-то не так собрал прошивку?

[Supshow]

sasha45
Собирай там же, в FB. SHX Codec не умеет корректно собирать прошивки для новых моделей (L7, V3i, V3r, etc.).

[Voit21]

Шейте RSD. ФБ немного подругому шьёт из-за этого проблемы в прошивке CG1(Ошибка 84).

[KOLYAN]

Тело l7, aer_rb, 08.do; rsa убрал, сменик бутсплеш! Рандому респект!

[vlak]

Совершенно верно, собирать в ФБ, а шить РСД и все шьется нормально.

[Рёцке]

sasha45
Собирай там же, в FB. SHX Codec не умеет корректно собирать прошивки для новых моделей (L7, V3i, V3r, etc.).

В этом отношении FB достаточно удобен в том плане что если выбрать режим сохранения SMG то слитую прошивку не придется разбирать.

Кстати я шился FB3 и у меня всё работает.

модель телефона см. профиль

[Random]

Заметил несоответствие ручного редактирования и действий RandomRSA2:
CG1 offset 010 – B0 01 FF FB 00 FF FF FF 08 02 00 02: RandomRSA2
CG1 offset 010 – B0 01 FF FB 00 FF FF FF 08 03 00 01: Archy
т.е. прога RandomRSA2 это место не меняет.

Имеет ли это какое-либо значение, если да, что верно?

Не имеет. Важные только 4 байта первые в этой строчке.
Так же и в остальных. Я же написал.
Остальное - это уже варьирутеся от прошивки к прошивке, и влияния на метод не оказывает.

[ЬЗК]

Привет всем! Дайте ответ, плиз-з-з : при выделении кодовых групп CG1, CG7 и CG18 из бэкапа своей АЕР при помощи ФБ 3.О58 в формате smg у меня получается 6 (?) файлов (по 2 на каждую группу) ну и  CG3.SHX. При работе с RANDOMRSA2.EXE правятся только 3 файла (по 1 одному из каждой группы)? При сборке прошивки использовать все 6 smg-файлов или 2  для группы CG1 (CG1.smg и  CG1.ramdl.smg) и по одному для CG7 и CG18? Ну или  пошлите куда-нибудь на... толковый мануал по работе FB3 c  SMG-файлами (есть ещё вопрос по начальным адресам при загрузке SMG в FB3) З.Ы. у всех когда-то ЭТО  было в первый раз

выбрав галками сливаем СРАЗУ все нужные CG из тела в SHX, а не по одной
разбираем выбрав в разделе обработка прошивок - сохранить как - smg
получим 4 файла CG и лоадер.
Если не получается идем и читаем faq по сборке - разборке прошивы

[Voit21]

Можно вообще то.Товарищ ЬЗК, обошел же.

Привет всем! Дайте ответ, плиз-з-з : при выделении кодовых групп CG1, CG7 и CG18 из бэкапа своей АЕР при помощи ФБ 3.О58 в формате smg у меня получается 6 (?) файлов (по 2 на каждую группу) ну и  CG3.SHX. При работе с RANDOMRSA2.EXE правятся только 3 файла (по 1 одному из каждой группы)? При сборке прошивки использовать все 6 smg-файлов или 2  для группы CG1 (CG1.smg и  CG1.ramdl.smg) и по одному для CG7 и CG18? Ну или  пошлите куда-нибудь на... толковый мануал по работе FB3 c  SMG-файлами (есть ещё вопрос по начальным адресам при загрузке SMG в FB3) З.Ы. у всех когда-то ЭТО  было в первый раз

Всё правильно. При сборке использовать только кодовые группы, ну и бутлоадер не забудь впереди кодовой группы CG1 вставить.
Вставить RAMDLD выбираешь ппапку Loaders в папке ФБ3.
Адреса для код.групп:
Boot 03FC8000
CG1 10092000
CG3 10040000
CG7 11F80000
CG18 11FE0000

[vlak]

А я сразу сохранял выделенные CG в формате .smg потом правил в той же папке, затем обработка прошивок - загрузил файл backup.f3u - сохранить как - формат .shx и все, можно шить RSD

[Salavat_Red-blu]

Звыняйте за назойливость,но...
Начну по порядку:
1) слил свою прошивку через ФБ3 (поставил активный профиль V360, а с профилем V360 и бутом 08.А0 выдавало ошибку и файл не создавался, мой бут 09.02)- при помощи "Чтение данных" => запись в файл *.shx
2) В ФБ3 "Обработка прошивок" считал полученый файл, переписал начальные адреса для CG1, CG3, CG7, CG18, удалил из общего списка CG2, CG4 и CG15.
3) Сохранил CG1, CG3, CG7, CG18 в файл с расширением *.SMG. Получил группу из 4-х файлов CG1, CG3, CG7, CG18.smg и ramdld.smg.
4) Конвертнул CG1, CG7 и CG18 при помощи RANDOMRSA2.EXE (Огромный респект Randomу)
5) Стал собирать прошивку все в том же ФБ3: "Обработка прошивок" => "Добавить" => добавил в список CG1.smg, CG3.smg, CG7.smg и CG18.smg с использованием начальных адресов, переписанных согласно п.2
6)Нажимаю "Выбрать RAMDLD", указываю файл ramdld.smg (полученный согласно п.3) и оп-п-па-а-а..."Введите начальный адрес"...

Ввести как говорит Voit21 : 03FC8000 ???
З.Ы. Последовательность добавления файлов в список играет роль?
Выбрать RAMDLD, потом CG1.smg, CG3.smg, CG7.smg и CG18.smg?
З.Ы.2. Вот еще что, при просмотре CG7.shx winhexом в строке х1140 нули..., а в CG7.smg значения х1140 => E5 9F C0 00... Как так?

[Рёцке]

Salavat_Red-blu,
-Ввести как говорит Voit21 : 03FC8000 ???
-да
-Последовательность добавления файлов в список играет роль?
-нет - ты же указываешь адреса - а они и определяют расположение кодовых групп в прошивке.

[Harry_27]

Если разбирал изначально прошивку SHXCodec'ом, то в имени файла с RAMDLD будет написан начальный адрес.

[Nur87]

Итак. Вот мои "успехи":
V360 AER бут 09.02
1.Сливаю кодоввые группы 1 3 7 18 в формате смг через ФБ3
2.Патчу через прогу RandomRSA2.rar
3.Проверяю первые четыре байта в сг1 и сг18. всё в норме, как на скринах. размеры патченной и не патченной одинаковы.
4.перед патчем проверил сг7 что байты по +1140 равны E5 9F C0 00. всё в порядке
5.создаю прошивку через ФБ3
6. шью через РСД 2.7
7. итог всё шьётся, в рсд когда показывается статус прошивания, появляется chek summ, что то дальше и появляется phone reboot. и на телефоне в буте PH SIG ER: 32:09
что делать? заливаю бэкап всё нормально, тел работает

[tedi-ben]

вот снял я РСА а вот никак заменить картинку хеломото не могу.менял прогой Motorola Bootscreen Replacer меняется без проблем начинаю собирать четыре файла в один пишет какуюто ошибку.ктонибудь поменял эту картинку и как.

[Sinet]

Итак. Вот мои "успехи":
V360 AER бут 09.02
1.Сливаю кодоввые группы 1 3 7 18 в формате смг через ФБ3
2.Патчу через прогу  RandomRSA2.rar
3.Проверяю первые четыре байта в сг1 и сг18. всё в норме, как на скринах. размеры патченной и не патченной  одинаковы.
4.перед патчем проверил сг7 что байты по +1140 равны E5 9F C0 00. всё в порядке
5.создаю прошивку через ФБ3
6. шью через РСД 2.7
7. итог всё шьётся, в рсд когда показывается статус прошивания,  появляется chek summ, что то дальше и появляется phone reboot. и на телефоне в буте PH SIG ER: 32:09
что делать? заливаю бэкап всё нормально, тел работает

У меня всё один в один.

....прошел слух что при сливании CG с помощью FB3 при СНЯТОЙ галке Убрать пустоту в конце кодовых групп размер CG1 получается аж на Мегабайт больше нормы что даже не укладывается в лимит кодовой группы по размеру! Если так то не удивительно что глюк после прошивки такой...слей для надежности еще раз CG1 при включенной галке Убрать пустоту в конце кодовых групп ( при этом размер должен быть не больше 13 мегабайт ( ну там 13хххххх байт))....пропатчи и если снова такое же появится то я не знаю в чем еще может быть проблема....на прогу RandomRSA2 пенять не стоит так как сам её уже юзал для пробы...работает как надо..

Сливал и делал всё и при снятой галке и без. При снятой галке размер CG1 получается точь в точь до байтика как написано в ФБ3. Так что сливается и так и так нормально. Но результат один и тот же - SIG ER: 32:09
Что не так делаем??