Lte2 Rsa - взломано., Готовое решение,проверено L6,L7,V360,V3i Поделиться Опции

[Archy]

ВНИМАНИЕ! Тема только для опытных пользователей!

СВЕРШИЛОСЬ! Итак, мы закончили работу над методикой залома LTE2.
Подходит для телефонов L2, L6, L7, V360, V3i и других.
Исключение составляют телефоны с бутом 09.xx, на них пока что не удалось снять RSA.

Немного теории:
Дыра, через которую мы обходим RSA - в CG7 (подписи бута) - там часть данных самой подписи можно использовать как код, в котором джампом выводится управление, т.е. за пределы подписанного блока.
Точку входа ставим на этот самый код...
Ну и, соответственно, получаем управление за пределами подписи - остальное уже дело техники...
Вот метод исправления CG7:

- сливаем свой CG7(или вытаскиваем из shx своей прошивки, дело вкуса)
перед патчем проверяем что байты по +1140 равны E5 9F C0 00, если нет - CG7 требует иной модификации. такие версии - "в студию".
- патчим:
по смещению 0xC80 в CG7 прописываем значения 46 C0 48 01 68 00 47 00 10 04 00 00 (изначально там будут FF)
- вливаем обратно.

CG18 (подпись прошивки) опять-же оказывается почти не нужна , нам от неё потребуются лишь первые 16 байт - заголовок, в котором раньше был адрес самой CG18 (11FE0010) - он меняется на адрес CG7 - т.е. 11F80000 (правим CG18 как написано тут)

Код

Offset      0  1  2  3  4  5  6  7   8  9  A  B  C  D  E  F
-----------------------------------------------------------
00000000   11 F8 00 00 ....дальше не важно.................   .ш.A..

- таким образом бут проверяет CG7, считая что проверяет CG18 - и в CG7 нет диапазона адресов CG1 - и, ясен пень, ошибка проверки CG1 таким образом не вылезает.
То есть вместо проверки прошивки идет повторная проверка CG7...
Далее - начало CG1, которое правится (правим так):

Код

Offset      0  1  2  3  4  5  6  7   8  9  A  B  C  D  E  F
-----------------------------------------------------------
00000000   11 F8 11 41 ....дальше не важно.................   .ш.A..
00000010   B0 01 FF FB ....дальше не важно.................   .яы...

Поняли, в чем прелесть?
Делаем эти изменения в указанных СG, собираем монстра - и шьём, даже ТЕСТ ПОИНТ НЕ ПОНАДОБИТСЯ!
Методика патчинга - правим CG18, CG7, правим заголовок CG1, добавляем в "монстра" CG3 (с той же прошивки, откуда остальные кодовые группы), вносим свои изменения/патчи в CG1, затем прошиваем всё это ЦЕЛИКОМ. Всё...

Единственное НО - пока не можем бэкапить - записывать ПДС, но уже пишется полностью открытый "дуал-бут" для ЛТЕ2, так что...

На V3i другая адресация, поэтому патчить надо будет так:
В CG18 в начале пишем 12F80000
В CG1 пишем по смещениям:
0000000: 12F81141
0000010: B001FFFB
В CG7 правим как выше описано

На L7e, K1, Z3 снова иная адресация, по идее патчить надо так:
В CG18 в начале 13F80000
В CG1 пишем по смещениям:
0000000: 13F81141
0000010: B001FFFB
В CG7 правим как выше описано
НО! Почему-то не работает. Возможно, виновата какая-то дополнительная проверка в новых 0А.* бутах, может, что-то еще... Кто имеет знакомых со смарт-клипами и один из этих телефонов, зайдите к ним, смените одну цифру в ИМЕИ и СНИМИТЕ ПОЛНЫЙ БЭКАП (без ПДСа), только не смаррт-клипом (он кодирует бэкапы). Ну и бэкап в студию!

P.s. Любые обсуждения авторства данной методики будут моментально наказаны БАНом.
Авторство команды смартклипа, метод был слит оттуда с лёгкой правкой. НИКАКОГО ФЛУДА и ОФФА!
Обсуждаем только по сути.

p.s. Тема до зачистки:

Lte2_Rsa____.rar   ( 18.35 килобайт ) Кол-во скачиваний: 5292

p.p.s. Вот простенькая программа для снятия RSA. Работает только на распакованных файлах!

RandomRSA2.rar   ( 165.14 килобайт ) Кол-во скачиваний: 18550

З.з.з.ы. Собираем и шьем прошивку с помощью FB 3.0.2 и выше, также можно шить через RSD_lite версии 3.3 и выше.

Сообщение отредактировал Random - 16.3.2007, 20:23

[Nur87]

при создании прошивки RAMDLD обязателен? и какой выбирать елс и у меня бут 09.02, пробовал и тот который с бэкапом сливается, и из папки loaders бут 08.0D. всё равно так же. что делать?

[GandjaFuzz]

Supshow,
патчи работают на 100%, надо просто правильно им пользолваться...
отписался тебе в аську...

[zoomm]

И так проблема следующая.


У меня L7 с прошивкой AER_RB. В общем, решил я снять проверку RSA.

Последовательность действий:
Слил с тела cg1, cg7, cg18 поправил их HEX edit’ом собрал в FB и решил залить обратно через RDS lite 2.5.
Но поправил я CG1 полностью как было на «картинке» а не 4 байта в начале и 4 по смещению 0х10.
В итоге имею тело с надписью
Boot loader
08.d0
SW Version: R4513_G_08.B7.DAB._RB

PHONE CODE SIG ERROR:


При попытке прошиться бэкапом имеем Critical error 01 1b
И так предпринятые действия.

1) Пытался шиться в RDS lite 2.5 там начинается процесс, но когда первый раз доходит до 100% Critical error 01 1b.
2) Пытался шиться в RDS lite 3.2 при закруске программы или при подключении тела Critical error 01 1b.
3) Пытался шиться в RDS lite 3.3 при закруске программы или при подключении тела Critical error 01 1b.
4) Тест поинт Easy Tool 3.9 full repair PDS with check sum проходит успешно тело выключается. Но после этого не шьется.
5) при попытке прошиться в Easy tool
Processing input file:
Processed 8 codegroups
Connecting to phone ...
Connected to: 'Motorola Flash'
Connected OK
Sending RAM loader ...
ERROR: FLASHCMD read error
Error during post-JUMP commands.
Error while flashing RAM loader, aborting.
ERROR: Flashing failed

[DARK_z]

Вчера решил протестить этот метод на Е1 оригинальном. Взял CG с заводской прошивки (CG1, CG7,CG18), пропатчил их, собрал прошивку с этими CG. Телефон монстра принял, но как включается пишет сразу:
Boot Loader
0A.02
SW Version:
R373_G_0E_.30.49R

OK to Program
Connect USB
Data Cable
То есть бут принял это, но прошивка незапускается... Что делать? (

[ЬЗК]

И  так  проблема  следующая.
У  меня  L7  с  прошивкой  AER_RB. В общем,  решил я  снять проверку  RSA.
В  итоге  имею  тело  с  надписью 
Boot loader
08.d0
SW Version: R4513_G_08.B7.DAB._RB

вы что туда льете коллега? AER или DAB_RB?
....править полностью НЕЛЬЗЯ

[Iceman2000]

Вчера решил протестить этот метод на Е1 оригинальном. Взял CG  с заводской прошивки (CG1, CG7,CG18), пропатчил их, собрал прошивку с этими CG. Телефон монстра принял, но как включается пишет сразу:
Boot Loader
0A.02
SW Version:
R373_G_0E_.30.49R

OK to Program
Connect USB
Data Cable
То есть бут принял это, но прошивка незапускается... Что делать? (

Ты забыл вместе с CG1,7,18 залить CG3 а потому тело не запускается (у самого такое было пока не пришли к выводу что прошивка CG3 тоже необходима)

[DARK_z]

Ты забыл вместе с CG1,7,18 залить CG3 а потому тело не запускается (у самого такое было пока не пришли к выводу что прошивка CG3 тоже необходима)

Я прошил вместе полного монстра, CG3 там было тоже

Кто имеет Е1 с бутом 0a.02 проверьте этот способ, может я реально что то не то сделал

[Leon1988]

После долгих и бесплодных сборок прошивки пришел к выводу, что указанный метод не работает на V360AER09.02. Действия и результаты абсолютно аналогичны Nur87 и Sinet. Добавлю, что для разборки и сборки применялись также, помимо ФБ3, SHXCodec и RandomSHX. Для прошивки-версии RSD 2.7 и 3.1.
Вынужден просить товарища ЬЗК выложить свой бут...

[Рёцке]

tedi-ben
Я менял бутсплэш так:
1. слил FB3 cg1 cg3 cg7 cg18 (с уже снятой RSA проверкой)
2. Motorola Bootscreen Replacerом поменял картинку в CG1
3. с помощью FB3 собрал прошивку из 4х групп, подсоединив нужный RAMDLR
4. прошился. (Я прошивался FB3 и у меня всё включилось, но тут говорят что луше шиться RSD)

[Nur87]

попробовал залить не патченный прошивку, для проверки правилльности действии в создании прошивки и прошивки тела. всё нормально. но после патча опять сиг ерор 39:02. а вот есть же люди которые обошли рса на буте 09.0д. может и нам повысить бут и так уже обойти?

[Рёцке]

Вопрос ко всем: ктонибудь уже пытался менять системные звуки? Motosound выложенный на форуме в моей CG1 звуков не нашел вообще. обидно )

[ЬЗК]

Вынужден просить товарища ЬЗК выложить свой бут...

а кто вам всем сказал что у меня такой же бут?
у меня 08D0

[люмен]

Vilko, Патченная рошивка R4441D_G_08.01.03R на V3i встала без CG3.

[whoever]

кстати, задачка:
кто-нить может прошив только CG1(без CG3) - что как известно вызывает ошибку - после этого снять дамп Cg1 и CG3 - хотелось бы понять а что не так и почему это несрабатывает.

Не работает потому, что CG1 начинается не с начала флеш-блока, а с середины. А прежде идёт конец CG3. Стирается же флешь, как известно, по-блочно.

[Robinzon]

у меня все получилось! L6
Есть вопрос
я так и не понял, возможно ли данным способом разлочить тело или нет?

[Random]

Не работает потому, что CG1 начинается не с начала флеш-блока, а с середины. А прежде идёт конец CG3. Стирается же флешь, как известно, по-блочно.

Блин, точно. Проглядели

Причина по которой на L7 надо вместе с Cg3 лить, а на V3i - не надо заключается в блочной схеме стирания по 128 кб (0x20000).
Соответсвенно поделив память на блоки обнаружим
10040000
10060000
10080000
100A0000
Т.е. для стирания 10092000 (на L7) сотрется блок 10080000-100A0000, в котором содержится часть CG3.
А на V3i - все нормально, на них CG1 начинается ровно в 100A0000 и проблем с CG3 поэтому не возникало.

[sasha45]

только что снял RSA на своем V360. Прошивание прошло успешно, телефон включился. Щас попробую заменить картинку при включении телефона, а то эта HelloMoto достала уже

[Halk_DJ]

Извините за тупые вопросы но:
1. для е398 это как-то полезно или на нем сей номер не пройдет ?
2. Было много разговоров о том что если RSA будет взломан то много чего можно будет поправить,например поставить отчет о доставке по умолчанию всегда "Да".
Насколько это реально ?

[wert]

Halk_DJ, В 398 это все(обход РSА) и так есть.

[ЬЗК]

как узнать что он запускается???
я что многого прошу???
это ТАЙНА?

[БАВ]

Вы тут коллеги лихо заявляете. типа "собираю прошивку ФБ3. Как не пытался, не смог ее собрать т.к. без лоудера она не собирается (ошибку выдает) а при выборе лоудера из папки в ФБ3 просит адрес. Пи подстановке значения 03FС8000 кнопка ОК неактивна, может пишу я его не так?. В принципе у меня все получилось, т к . патченные КГ 1,3,7,18 залил как отдельные группы с лоудером профиля. V360 08DO 5cr заработала сразу. Придется монстра собирать забэкапив тело!

[ЬЗК]

Пи подстановке значения 03FС8000 кнопка ОК неактивна

попробуй ручками прописать а не копипастить, сюрприз будет

хех, у меня такое ток один раз  было, перезаливкой флекса все решилось

[OFF]настали ссудные дни для телефона -)[/OFF]

ну кстати мысль здравая

[accord80]

у меня v360 aer и boot 08.A0.На ней тоже можно сделать обход?И возможно ль на ней будет с шиться на ABR?

[ЬЗК]

у меня v360 aer и boot 08.A0.На ней тоже можно сделать обход?И возможно ль на ней будет с шиться на ABR?

а зачем ABR если AER патчится теперь?
пробуй

[Valeo]

имеется тело Е1. Вопрос - При сборке патченых групп во ФБ какие адреса вводить? Ибо адреса CG3 CG7 CG18 в профилях L7 и Е1 одинаковы. А вот адреса CG1 разные. Так у л7 10092000 а у е1 он 10080000. Какие все таки адреса вводить при сборке рефлеша для е1??

зы. Правка групп CG7 CG18 и CG1 для Е1 аналогична L7, я правильно понял???

[БАВ]

Ь3К: никогда бы не подумал, что копирование может дать такой эффект. Тем не менее все проканало и копипастом, только я подключил не по одной группе, а целиком все через текстовый файл из той же папки. Даже группы с адресами автоматом проставились. Добавил загрузчик без проблем. Сам не понял в чем была причина. Собрал два рефлэша 5цр и ацр. Одинаково ставятся через фб и rcd, проверял. Осталось побороть v360 у сына, там аер бут 09.02

[Leon1988]

Просьба ALL
Кто сломал RSA на V360 и L7, сравните, пожалуйста, со своей старой CG7...

Слит SHXCodec-ом

[Random]

Правка групп CG7 CG18 и CG1 для Е1 аналогична L7, я правильно понял???

Да, главное у них СG7 находиться по тому же адресу, остальные адреса влияния не оказывают

Какие все таки адреса вводить при сборке рефлеша для е1??

Адреса от E1

[jonathan]

Прошиву AER_RB пропачил все ок но трабла с ФС осталась . Подскажите что делать то ?

[Дмитрий 42]

Читал..читал, так и не понял до конца, поломаное РСА может ли помочь слезть с АЕР-РБ на Л7 или нет ??

А то напрягает меня эта прошивка своей недоделанностью и мелкими косяками.

[Nur87]

БАВ,
[OFF]ждём новостей, на счёт телефона сына, не забудь отписаться[/OFF]

Дмитрий 42,
[OFF]а почему слезать? после обхода рса будет самая лучшая проша, на мой взгляд. вот бы обойти ещё на 09.хх
[/OFF]

[Leon1988]

только я подключил не по одной группе, а целиком все через текстовый файл из той же папки. Даже группы с адресами автоматом проставились.

Nur87 RekGRpth
Вы пробовали так? Я все время добавлял по одной. Сейчас ухожу на работу, не успею оживить тел, если опять загнется. Опробуйте, пожалуйста, если время есть...

[Nur87]

Leon1988,
вроде нет. а как это? не совсем понял

[Leon1988]

Выбери формат smg и слей только нужные CG. Пропатчь и при сборке прошивки укажи на файл образа, который создался в папке со слитыми CG.

Надежды мало, но вдруг поможет...?

[Nur87]

RekGRpth,
т.е. надо делать ТП? или что?

[Salavat_Red-blu]

Привет! У меня где-то баг

V-360, R4513_G_08.B7.AER, Boot 09.02

а) слил свою прошивку через ФБ3 (активный профиль V360) : => запись в файл *.shx
б) В ФБ3 "Обработка прошивок" считал полученый файл , переписал начальные адреса для CG1, CG3, CG7, CG18, удалил из общего списка CG2, CG4, CG8 и CG15.
в) Сохранил CG1, CG3, CG7, CG18 в файл с расширением *.SMG. Получил группу из 4-х файлов CG1, CG3, CG7, CG18.smg и ramdld.smg.
г) Конвертнул CG1, CG7 и CG18 при помощи RANDOMRSA2.EXE
д) собрал прошивку из CG1, CG3, CG7, CG18.smg и ramdld.smg (получен при бэкапе, начальный адрес 03FE7800).
е) Лью crack.shx через RSD Lite 2.8, 3.3, image 100% и => Critical Error 8241

Шо за беда?

[Nur87]

Salavat_Red-blu,
на 09.02 вроде этот вариант не прокатит. надо ТП делать. пока без ТП никто не слез

[~~~HuNtER~~~]

Люди, а это лазейка с бутом 0А02 прокатит? А то в СЦ за отверткой идти не хочется(а и фиг знает есть-ли они у нас в районе вообще)... пожалуйста...

[Random]

д) собрал прошивку из CG1, CG3, CG7, CG18.smg и ramdld.smg (получен при бэкапе, начальный адрес 03FE7800).

Неправильный адрес, надо 03FC8000.

[Motohobiman]

Добавте в шапку ,если нужно,что и в L2 можно обмануть РСА,ибо адреса и CG одинаковы как и в L6.Всем ребятам давшим нам шанс творить - огромный респект!