Lte2 Rsa - взломано., Готовое решение,проверено L6,L7,V360,V3i Поделиться Опции

[Archy]

ВНИМАНИЕ! Тема только для опытных пользователей!

СВЕРШИЛОСЬ! Итак, мы закончили работу над методикой залома LTE2.
Подходит для телефонов L2, L6, L7, V360, V3i и других.
Исключение составляют телефоны с бутом 09.xx, на них пока что не удалось снять RSA.

Немного теории:
Дыра, через которую мы обходим RSA - в CG7 (подписи бута) - там часть данных самой подписи можно использовать как код, в котором джампом выводится управление, т.е. за пределы подписанного блока.
Точку входа ставим на этот самый код...
Ну и, соответственно, получаем управление за пределами подписи - остальное уже дело техники...
Вот метод исправления CG7:

- сливаем свой CG7(или вытаскиваем из shx своей прошивки, дело вкуса)
перед патчем проверяем что байты по +1140 равны E5 9F C0 00, если нет - CG7 требует иной модификации. такие версии - "в студию".
- патчим:
по смещению 0xC80 в CG7 прописываем значения 46 C0 48 01 68 00 47 00 10 04 00 00 (изначально там будут FF)
- вливаем обратно.

CG18 (подпись прошивки) опять-же оказывается почти не нужна , нам от неё потребуются лишь первые 16 байт - заголовок, в котором раньше был адрес самой CG18 (11FE0010) - он меняется на адрес CG7 - т.е. 11F80000 (правим CG18 как написано тут)

Код

Offset      0  1  2  3  4  5  6  7   8  9  A  B  C  D  E  F
-----------------------------------------------------------
00000000   11 F8 00 00 ....дальше не важно.................   .ш.A..

- таким образом бут проверяет CG7, считая что проверяет CG18 - и в CG7 нет диапазона адресов CG1 - и, ясен пень, ошибка проверки CG1 таким образом не вылезает.
То есть вместо проверки прошивки идет повторная проверка CG7...
Далее - начало CG1, которое правится (правим так):

Код

Offset      0  1  2  3  4  5  6  7   8  9  A  B  C  D  E  F
-----------------------------------------------------------
00000000   11 F8 11 41 ....дальше не важно.................   .ш.A..
00000010   B0 01 FF FB ....дальше не важно.................   .яы...

Поняли, в чем прелесть?
Делаем эти изменения в указанных СG, собираем монстра - и шьём, даже ТЕСТ ПОИНТ НЕ ПОНАДОБИТСЯ!
Методика патчинга - правим CG18, CG7, правим заголовок CG1, добавляем в "монстра" CG3 (с той же прошивки, откуда остальные кодовые группы), вносим свои изменения/патчи в CG1, затем прошиваем всё это ЦЕЛИКОМ. Всё...

Единственное НО - пока не можем бэкапить - записывать ПДС, но уже пишется полностью открытый "дуал-бут" для ЛТЕ2, так что...

На V3i другая адресация, поэтому патчить надо будет так:
В CG18 в начале пишем 12F80000
В CG1 пишем по смещениям:
0000000: 12F81141
0000010: B001FFFB
В CG7 правим как выше описано

На L7e, K1, Z3 снова иная адресация, по идее патчить надо так:
В CG18 в начале 13F80000
В CG1 пишем по смещениям:
0000000: 13F81141
0000010: B001FFFB
В CG7 правим как выше описано
НО! Почему-то не работает. Возможно, виновата какая-то дополнительная проверка в новых 0А.* бутах, может, что-то еще... Кто имеет знакомых со смарт-клипами и один из этих телефонов, зайдите к ним, смените одну цифру в ИМЕИ и СНИМИТЕ ПОЛНЫЙ БЭКАП (без ПДСа), только не смаррт-клипом (он кодирует бэкапы). Ну и бэкап в студию!

P.s. Любые обсуждения авторства данной методики будут моментально наказаны БАНом.
Авторство команды смартклипа, метод был слит оттуда с лёгкой правкой. НИКАКОГО ФЛУДА и ОФФА!
Обсуждаем только по сути.

p.s. Тема до зачистки:

Lte2_Rsa____.rar   ( 18.35 килобайт ) Кол-во скачиваний: 5291

p.p.s. Вот простенькая программа для снятия RSA. Работает только на распакованных файлах!

RandomRSA2.rar   ( 165.14 килобайт ) Кол-во скачиваний: 18549

З.з.з.ы. Собираем и шьем прошивку с помощью FB 3.0.2 и выше, также можно шить через RSD_lite версии 3.3 и выше.

Сообщение отредактировал Random - 16.3.2007, 20:23

[Starov]

всем спасибо!!!! RSA на V3r R4515 с бутом 0A.30 отключён !!!!!!!!!!!!

всё было вделано по вышеописанной схеме!!!

Vilko, теперь ''только теория" перешла на практику..... всё работает...

CG1:0000 - 11 F8 11 41
CG1:0010 - B0 01 FF FB
CG7:0C80 - 46 C0 48 01 68 00 47 00 10 04 00 00
CG18:0000 - 11 F8 00 00
+ CG3

ещё раз всем спасибо!!!! у кого не получается... прошу в аську....

[ЬЗК]

Все ок, прошился
L7 R4513_G_08.B7.AER_RB 09D0
Flash Backup 3 шить отказался выдал ошибку CG1
RSD lite 3.3 прошил успешно

[Supshow]

NON-iTunes V3i: RSA успешно снят.

[Random]

Вообщем я понял, что на доработку F&B потребуется больше времени, поэтому выкладываю отдельно простенькую прогу для снятия RSA на LTE2(смотрите в прикрепленном сообщении).

ЬЗК,
Как мне сказали, через F&B нормально шьется на L7 только DCR, так что пока пользуйтесь для прошивки RSD.

Сообщение отредактировал Random - 16.1.2007, 8:52

[люмен]

Random, что-то глючит программка. Выбираю кодовые группы, жму снять RSA, а мне в ответ: Эти вайлы нельзя пропатчить.

Значит ты выбрал уже патченные. Проверь

Сообщение отредактировал Random - 16.1.2007, 9:24

[Iceman2000]

Извините если ОФФ но думаю всем интересно будет! Можно ли с помощью FB3 применять патчи?Думаю что все таки нельзя но на 100% не уверен! просто напрасно убивать тело лишний раз не очень хочется!

Я же написал уже, что в текущей версии нельзя. Там алгоритм основан на адресах LTE. Ждите следующей. Или руками Спасибо за ответ! Значит ничего не поделать, буду править руками!

Сообщение отредактировал Iceman2000 - 16.1.2007, 9:31

[Паук]

Возможно будет полезно тем, у кого на руках полутруп с разряженной батарейкой:
Универсальное зарядное устройство

Стоит от 4$, живет обычно среди всяких аксессуаров в точках, где торгуют мобилами.

[Рёцке]

Поменял себе bootscreen.

Всё просто отлично, но есть один ньюанс.

Патченный CG1 заливать только ВМЕСТЕ С РОДНЫМ CG3

если заливать только CG1 тело умирает.


DNovikoff

Вы конечно извините меня, но я вообще не врубаюсь о чём вы тут. По глупости поставил AER_RB 8( , и очень хочу обратно ACR...подскажите ( plzZZ ) мудрые люди, что мне для этого надо и где это можно взять.

мы тут снимаем RSA проверку для LTE2 телефонов. Цель - возможность применения патчей и dualboot(для заливки/выливки бэкапа)

[Vilko]

mr.Black,
большинство патчей для 398 должны быть "переносимы" на новые аппараты. поскольку сама архитектура поршивки не изменялась

[kobr]

Не хочется флудить,но кто-нить уже пробовал вышеописанный метод на rokr E1?

[Random]

Не хочется флудить,но кто-нить уже пробовал вышеописанный метод на rokr E1?

Видимо еще нет, но шансы на успех большие.

Vilko, Random, Подскажите как мне адаптировать патч от 398 на v3i. Немогу же я просто залить его!! Напишите плиз мануальчик. С меня +++++ И вечная ЛюБоВь . Прошивка R479*_B5.10R.

Попроси кодера какого-нибудь.
Берется общий алгоритм патча, скажем поиск некой последовательности.
Эта последовательность ищется в прошивке V3i, и меняется на соотетсвующую патченную последовательность.
Обычно авторы патчей писали как адаптировать патч на другие прошивки, так что читай.
Патчей на V3i, как и на другие LTE2 сейчас готовых нет, т.к. сломали защиту буквально вчера.

[Leon1988]

После заливки измененной прошивки в V360 AER 09.02 результат - вечный бут. RSD 3.1 выдает такое сообщение "Phone failed initial security verification checks. HAB error 0x8D"

Вопрос. Не зашита ли в последних версиях бутлоадеров какая-либо инфа о прошивке?

[Voit21]

Всё получилось с помошью прикреплёной утилитки. Теперь у меня Boot 08D0+EOR_RB+The Hot Mix L7 Final+Rsa Remove

[Flex4]

V360 , 08.A0 , ACR
все успешно залилось в тел и включилось, спасибо Random за мини прогу=))

[sasha45]

Flex4, а чем собирал прошивку? Я пробовал SHXCodec, собрал, вроде нормально, но FB3 отказался прошвать собранное дело. Может я как-то не так собрал прошивку?

[Supshow]

sasha45
Собирай там же, в FB. SHX Codec не умеет корректно собирать прошивки для новых моделей (L7, V3i, V3r, etc.).

[Voit21]

Шейте RSD. ФБ немного подругому шьёт из-за этого проблемы в прошивке CG1(Ошибка 84).

[KOLYAN]

Тело l7, aer_rb, 08.do; rsa убрал, сменик бутсплеш! Рандому респект!

[vlak]

Совершенно верно, собирать в ФБ, а шить РСД и все шьется нормально.

[Рёцке]

sasha45
Собирай там же, в FB. SHX Codec не умеет корректно собирать прошивки для новых моделей (L7, V3i, V3r, etc.).

В этом отношении FB достаточно удобен в том плане что если выбрать режим сохранения SMG то слитую прошивку не придется разбирать.

Кстати я шился FB3 и у меня всё работает.

модель телефона см. профиль

[Random]

Заметил несоответствие ручного редактирования и действий RandomRSA2:
CG1 offset 010 – B0 01 FF FB 00 FF FF FF 08 02 00 02: RandomRSA2
CG1 offset 010 – B0 01 FF FB 00 FF FF FF 08 03 00 01: Archy
т.е. прога RandomRSA2 это место не меняет.

Имеет ли это какое-либо значение, если да, что верно?

Не имеет. Важные только 4 байта первые в этой строчке.
Так же и в остальных. Я же написал.
Остальное - это уже варьирутеся от прошивки к прошивке, и влияния на метод не оказывает.

[ЬЗК]

Привет всем! Дайте ответ, плиз-з-з : при выделении кодовых групп CG1, CG7 и CG18 из бэкапа своей АЕР при помощи ФБ 3.О58 в формате smg у меня получается 6 (?) файлов (по 2 на каждую группу) ну и  CG3.SHX. При работе с RANDOMRSA2.EXE правятся только 3 файла (по 1 одному из каждой группы)? При сборке прошивки использовать все 6 smg-файлов или 2  для группы CG1 (CG1.smg и  CG1.ramdl.smg) и по одному для CG7 и CG18? Ну или  пошлите куда-нибудь на... толковый мануал по работе FB3 c  SMG-файлами (есть ещё вопрос по начальным адресам при загрузке SMG в FB3) З.Ы. у всех когда-то ЭТО  было в первый раз

выбрав галками сливаем СРАЗУ все нужные CG из тела в SHX, а не по одной
разбираем выбрав в разделе обработка прошивок - сохранить как - smg
получим 4 файла CG и лоадер.
Если не получается идем и читаем faq по сборке - разборке прошивы

[Voit21]

Можно вообще то.Товарищ ЬЗК, обошел же.

Привет всем! Дайте ответ, плиз-з-з : при выделении кодовых групп CG1, CG7 и CG18 из бэкапа своей АЕР при помощи ФБ 3.О58 в формате smg у меня получается 6 (?) файлов (по 2 на каждую группу) ну и  CG3.SHX. При работе с RANDOMRSA2.EXE правятся только 3 файла (по 1 одному из каждой группы)? При сборке прошивки использовать все 6 smg-файлов или 2  для группы CG1 (CG1.smg и  CG1.ramdl.smg) и по одному для CG7 и CG18? Ну или  пошлите куда-нибудь на... толковый мануал по работе FB3 c  SMG-файлами (есть ещё вопрос по начальным адресам при загрузке SMG в FB3) З.Ы. у всех когда-то ЭТО  было в первый раз

Всё правильно. При сборке использовать только кодовые группы, ну и бутлоадер не забудь впереди кодовой группы CG1 вставить.
Вставить RAMDLD выбираешь ппапку Loaders в папке ФБ3.
Адреса для код.групп:
Boot 03FC8000
CG1 10092000
CG3 10040000
CG7 11F80000
CG18 11FE0000

[vlak]

А я сразу сохранял выделенные CG в формате .smg потом правил в той же папке, затем обработка прошивок - загрузил файл backup.f3u - сохранить как - формат .shx и все, можно шить RSD

[Salavat_Red-blu]

Звыняйте за назойливость,но...
Начну по порядку:
1) слил свою прошивку через ФБ3 (поставил активный профиль V360, а с профилем V360 и бутом 08.А0 выдавало ошибку и файл не создавался, мой бут 09.02)- при помощи "Чтение данных" => запись в файл *.shx
2) В ФБ3 "Обработка прошивок" считал полученый файл, переписал начальные адреса для CG1, CG3, CG7, CG18, удалил из общего списка CG2, CG4 и CG15.
3) Сохранил CG1, CG3, CG7, CG18 в файл с расширением *.SMG. Получил группу из 4-х файлов CG1, CG3, CG7, CG18.smg и ramdld.smg.
4) Конвертнул CG1, CG7 и CG18 при помощи RANDOMRSA2.EXE (Огромный респект Randomу)
5) Стал собирать прошивку все в том же ФБ3: "Обработка прошивок" => "Добавить" => добавил в список CG1.smg, CG3.smg, CG7.smg и CG18.smg с использованием начальных адресов, переписанных согласно п.2
6)Нажимаю "Выбрать RAMDLD", указываю файл ramdld.smg (полученный согласно п.3) и оп-п-па-а-а..."Введите начальный адрес"...

Ввести как говорит Voit21 : 03FC8000 ???
З.Ы. Последовательность добавления файлов в список играет роль?
Выбрать RAMDLD, потом CG1.smg, CG3.smg, CG7.smg и CG18.smg?
З.Ы.2. Вот еще что, при просмотре CG7.shx winhexом в строке х1140 нули..., а в CG7.smg значения х1140 => E5 9F C0 00... Как так?

[Рёцке]

Salavat_Red-blu,
-Ввести как говорит Voit21 : 03FC8000 ???
-да
-Последовательность добавления файлов в список играет роль?
-нет - ты же указываешь адреса - а они и определяют расположение кодовых групп в прошивке.

[Harry_27]

Если разбирал изначально прошивку SHXCodec'ом, то в имени файла с RAMDLD будет написан начальный адрес.

[Nur87]

Итак. Вот мои "успехи":
V360 AER бут 09.02
1.Сливаю кодоввые группы 1 3 7 18 в формате смг через ФБ3
2.Патчу через прогу RandomRSA2.rar
3.Проверяю первые четыре байта в сг1 и сг18. всё в норме, как на скринах. размеры патченной и не патченной одинаковы.
4.перед патчем проверил сг7 что байты по +1140 равны E5 9F C0 00. всё в порядке
5.создаю прошивку через ФБ3
6. шью через РСД 2.7
7. итог всё шьётся, в рсд когда показывается статус прошивания, появляется chek summ, что то дальше и появляется phone reboot. и на телефоне в буте PH SIG ER: 32:09
что делать? заливаю бэкап всё нормально, тел работает

[tedi-ben]

вот снял я РСА а вот никак заменить картинку хеломото не могу.менял прогой Motorola Bootscreen Replacer меняется без проблем начинаю собирать четыре файла в один пишет какуюто ошибку.ктонибудь поменял эту картинку и как.

[Sinet]

Итак. Вот мои "успехи":
V360 AER бут 09.02
1.Сливаю кодоввые группы 1 3 7 18 в формате смг через ФБ3
2.Патчу через прогу  RandomRSA2.rar
3.Проверяю первые четыре байта в сг1 и сг18. всё в норме, как на скринах. размеры патченной и не патченной  одинаковы.
4.перед патчем проверил сг7 что байты по +1140 равны E5 9F C0 00. всё в порядке
5.создаю прошивку через ФБ3
6. шью через РСД 2.7
7. итог всё шьётся, в рсд когда показывается статус прошивания,  появляется chek summ, что то дальше и появляется phone reboot. и на телефоне в буте PH SIG ER: 32:09
что делать? заливаю бэкап всё нормально, тел работает

У меня всё один в один.

....прошел слух что при сливании CG с помощью FB3 при СНЯТОЙ галке Убрать пустоту в конце кодовых групп размер CG1 получается аж на Мегабайт больше нормы что даже не укладывается в лимит кодовой группы по размеру! Если так то не удивительно что глюк после прошивки такой...слей для надежности еще раз CG1 при включенной галке Убрать пустоту в конце кодовых групп ( при этом размер должен быть не больше 13 мегабайт ( ну там 13хххххх байт))....пропатчи и если снова такое же появится то я не знаю в чем еще может быть проблема....на прогу RandomRSA2 пенять не стоит так как сам её уже юзал для пробы...работает как надо..

Сливал и делал всё и при снятой галке и без. При снятой галке размер CG1 получается точь в точь до байтика как написано в ФБ3. Так что сливается и так и так нормально. Но результат один и тот же - SIG ER: 32:09
Что не так делаем??

[Nur87]

при создании прошивки RAMDLD обязателен? и какой выбирать елс и у меня бут 09.02, пробовал и тот который с бэкапом сливается, и из папки loaders бут 08.0D. всё равно так же. что делать?

[GandjaFuzz]

Supshow,
патчи работают на 100%, надо просто правильно им пользолваться...
отписался тебе в аську...

[zoomm]

И так проблема следующая.


У меня L7 с прошивкой AER_RB. В общем, решил я снять проверку RSA.

Последовательность действий:
Слил с тела cg1, cg7, cg18 поправил их HEX edit’ом собрал в FB и решил залить обратно через RDS lite 2.5.
Но поправил я CG1 полностью как было на «картинке» а не 4 байта в начале и 4 по смещению 0х10.
В итоге имею тело с надписью
Boot loader
08.d0
SW Version: R4513_G_08.B7.DAB._RB

PHONE CODE SIG ERROR:


При попытке прошиться бэкапом имеем Critical error 01 1b
И так предпринятые действия.

1) Пытался шиться в RDS lite 2.5 там начинается процесс, но когда первый раз доходит до 100% Critical error 01 1b.
2) Пытался шиться в RDS lite 3.2 при закруске программы или при подключении тела Critical error 01 1b.
3) Пытался шиться в RDS lite 3.3 при закруске программы или при подключении тела Critical error 01 1b.
4) Тест поинт Easy Tool 3.9 full repair PDS with check sum проходит успешно тело выключается. Но после этого не шьется.
5) при попытке прошиться в Easy tool
Processing input file:
Processed 8 codegroups
Connecting to phone ...
Connected to: 'Motorola Flash'
Connected OK
Sending RAM loader ...
ERROR: FLASHCMD read error
Error during post-JUMP commands.
Error while flashing RAM loader, aborting.
ERROR: Flashing failed

[DARK_z]

Вчера решил протестить этот метод на Е1 оригинальном. Взял CG с заводской прошивки (CG1, CG7,CG18), пропатчил их, собрал прошивку с этими CG. Телефон монстра принял, но как включается пишет сразу:
Boot Loader
0A.02
SW Version:
R373_G_0E_.30.49R

OK to Program
Connect USB
Data Cable
То есть бут принял это, но прошивка незапускается... Что делать? (

[ЬЗК]

И  так  проблема  следующая.
У  меня  L7  с  прошивкой  AER_RB. В общем,  решил я  снять проверку  RSA.
В  итоге  имею  тело  с  надписью 
Boot loader
08.d0
SW Version: R4513_G_08.B7.DAB._RB

вы что туда льете коллега? AER или DAB_RB?
....править полностью НЕЛЬЗЯ

[Iceman2000]

Вчера решил протестить этот метод на Е1 оригинальном. Взял CG  с заводской прошивки (CG1, CG7,CG18), пропатчил их, собрал прошивку с этими CG. Телефон монстра принял, но как включается пишет сразу:
Boot Loader
0A.02
SW Version:
R373_G_0E_.30.49R

OK to Program
Connect USB
Data Cable
То есть бут принял это, но прошивка незапускается... Что делать? (

Ты забыл вместе с CG1,7,18 залить CG3 а потому тело не запускается (у самого такое было пока не пришли к выводу что прошивка CG3 тоже необходима)

[DARK_z]

Ты забыл вместе с CG1,7,18 залить CG3 а потому тело не запускается (у самого такое было пока не пришли к выводу что прошивка CG3 тоже необходима)

Я прошил вместе полного монстра, CG3 там было тоже

Кто имеет Е1 с бутом 0a.02 проверьте этот способ, может я реально что то не то сделал

[Leon1988]

После долгих и бесплодных сборок прошивки пришел к выводу, что указанный метод не работает на V360AER09.02. Действия и результаты абсолютно аналогичны Nur87 и Sinet. Добавлю, что для разборки и сборки применялись также, помимо ФБ3, SHXCodec и RandomSHX. Для прошивки-версии RSD 2.7 и 3.1.
Вынужден просить товарища ЬЗК выложить свой бут...

[Рёцке]

tedi-ben
Я менял бутсплэш так:
1. слил FB3 cg1 cg3 cg7 cg18 (с уже снятой RSA проверкой)
2. Motorola Bootscreen Replacerом поменял картинку в CG1
3. с помощью FB3 собрал прошивку из 4х групп, подсоединив нужный RAMDLR
4. прошился. (Я прошивался FB3 и у меня всё включилось, но тут говорят что луше шиться RSD)

[Nur87]

попробовал залить не патченный прошивку, для проверки правилльности действии в создании прошивки и прошивки тела. всё нормально. но после патча опять сиг ерор 39:02. а вот есть же люди которые обошли рса на буте 09.0д. может и нам повысить бут и так уже обойти?