Lte2 Rsa - взломано., Готовое решение,проверено L6,L7,V360,V3i Поделиться Опции

[Archy]

ВНИМАНИЕ! Тема только для опытных пользователей!

СВЕРШИЛОСЬ! Итак, мы закончили работу над методикой залома LTE2.
Подходит для телефонов L2, L6, L7, V360, V3i и других.
Исключение составляют телефоны с бутом 09.xx, на них пока что не удалось снять RSA.

Немного теории:
Дыра, через которую мы обходим RSA - в CG7 (подписи бута) - там часть данных самой подписи можно использовать как код, в котором джампом выводится управление, т.е. за пределы подписанного блока.
Точку входа ставим на этот самый код...
Ну и, соответственно, получаем управление за пределами подписи - остальное уже дело техники...
Вот метод исправления CG7:

- сливаем свой CG7(или вытаскиваем из shx своей прошивки, дело вкуса)
перед патчем проверяем что байты по +1140 равны E5 9F C0 00, если нет - CG7 требует иной модификации. такие версии - "в студию".
- патчим:
по смещению 0xC80 в CG7 прописываем значения 46 C0 48 01 68 00 47 00 10 04 00 00 (изначально там будут FF)
- вливаем обратно.

CG18 (подпись прошивки) опять-же оказывается почти не нужна , нам от неё потребуются лишь первые 16 байт - заголовок, в котором раньше был адрес самой CG18 (11FE0010) - он меняется на адрес CG7 - т.е. 11F80000 (правим CG18 как написано тут)

Код

Offset      0  1  2  3  4  5  6  7   8  9  A  B  C  D  E  F
-----------------------------------------------------------
00000000   11 F8 00 00 ....дальше не важно.................   .ш.A..

- таким образом бут проверяет CG7, считая что проверяет CG18 - и в CG7 нет диапазона адресов CG1 - и, ясен пень, ошибка проверки CG1 таким образом не вылезает.
То есть вместо проверки прошивки идет повторная проверка CG7...
Далее - начало CG1, которое правится (правим так):

Код

Offset      0  1  2  3  4  5  6  7   8  9  A  B  C  D  E  F
-----------------------------------------------------------
00000000   11 F8 11 41 ....дальше не важно.................   .ш.A..
00000010   B0 01 FF FB ....дальше не важно.................   .яы...

Поняли, в чем прелесть?
Делаем эти изменения в указанных СG, собираем монстра - и шьём, даже ТЕСТ ПОИНТ НЕ ПОНАДОБИТСЯ!
Методика патчинга - правим CG18, CG7, правим заголовок CG1, добавляем в "монстра" CG3 (с той же прошивки, откуда остальные кодовые группы), вносим свои изменения/патчи в CG1, затем прошиваем всё это ЦЕЛИКОМ. Всё...

Единственное НО - пока не можем бэкапить - записывать ПДС, но уже пишется полностью открытый "дуал-бут" для ЛТЕ2, так что...

На V3i другая адресация, поэтому патчить надо будет так:
В CG18 в начале пишем 12F80000
В CG1 пишем по смещениям:
0000000: 12F81141
0000010: B001FFFB
В CG7 правим как выше описано

На L7e, K1, Z3 снова иная адресация, по идее патчить надо так:
В CG18 в начале 13F80000
В CG1 пишем по смещениям:
0000000: 13F81141
0000010: B001FFFB
В CG7 правим как выше описано
НО! Почему-то не работает. Возможно, виновата какая-то дополнительная проверка в новых 0А.* бутах, может, что-то еще... Кто имеет знакомых со смарт-клипами и один из этих телефонов, зайдите к ним, смените одну цифру в ИМЕИ и СНИМИТЕ ПОЛНЫЙ БЭКАП (без ПДСа), только не смаррт-клипом (он кодирует бэкапы). Ну и бэкап в студию!

P.s. Любые обсуждения авторства данной методики будут моментально наказаны БАНом.
Авторство команды смартклипа, метод был слит оттуда с лёгкой правкой. НИКАКОГО ФЛУДА и ОФФА!
Обсуждаем только по сути.

p.s. Тема до зачистки:

Lte2_Rsa____.rar   ( 18.35 килобайт ) Кол-во скачиваний: 5291

p.p.s. Вот простенькая программа для снятия RSA. Работает только на распакованных файлах!

RandomRSA2.rar   ( 165.14 килобайт ) Кол-во скачиваний: 18549

З.з.з.ы. Собираем и шьем прошивку с помощью FB 3.0.2 и выше, также можно шить через RSD_lite версии 3.3 и выше.

Сообщение отредактировал Random - 16.3.2007, 20:23

[Рёцке]

Вопрос ко всем: ктонибудь уже пытался менять системные звуки? Motosound выложенный на форуме в моей CG1 звуков не нашел вообще. обидно )

[ЬЗК]

Вынужден просить товарища ЬЗК выложить свой бут...

а кто вам всем сказал что у меня такой же бут?
у меня 08D0

[люмен]

Vilko, Патченная рошивка R4441D_G_08.01.03R на V3i встала без CG3.

[whoever]

кстати, задачка:
кто-нить может прошив только CG1(без CG3) - что как известно вызывает ошибку - после этого снять дамп Cg1 и CG3 - хотелось бы понять а что не так и почему это несрабатывает.

Не работает потому, что CG1 начинается не с начала флеш-блока, а с середины. А прежде идёт конец CG3. Стирается же флешь, как известно, по-блочно.

[Robinzon]

у меня все получилось! L6
Есть вопрос
я так и не понял, возможно ли данным способом разлочить тело или нет?

[Random]

Не работает потому, что CG1 начинается не с начала флеш-блока, а с середины. А прежде идёт конец CG3. Стирается же флешь, как известно, по-блочно.

Блин, точно. Проглядели

Причина по которой на L7 надо вместе с Cg3 лить, а на V3i - не надо заключается в блочной схеме стирания по 128 кб (0x20000).
Соответсвенно поделив память на блоки обнаружим
10040000
10060000
10080000
100A0000
Т.е. для стирания 10092000 (на L7) сотрется блок 10080000-100A0000, в котором содержится часть CG3.
А на V3i - все нормально, на них CG1 начинается ровно в 100A0000 и проблем с CG3 поэтому не возникало.

[sasha45]

только что снял RSA на своем V360. Прошивание прошло успешно, телефон включился. Щас попробую заменить картинку при включении телефона, а то эта HelloMoto достала уже

[Halk_DJ]

Извините за тупые вопросы но:
1. для е398 это как-то полезно или на нем сей номер не пройдет ?
2. Было много разговоров о том что если RSA будет взломан то много чего можно будет поправить,например поставить отчет о доставке по умолчанию всегда "Да".
Насколько это реально ?

[wert]

Halk_DJ, В 398 это все(обход РSА) и так есть.

[ЬЗК]

как узнать что он запускается???
я что многого прошу???
это ТАЙНА?

[БАВ]

Вы тут коллеги лихо заявляете. типа "собираю прошивку ФБ3. Как не пытался, не смог ее собрать т.к. без лоудера она не собирается (ошибку выдает) а при выборе лоудера из папки в ФБ3 просит адрес. Пи подстановке значения 03FС8000 кнопка ОК неактивна, может пишу я его не так?. В принципе у меня все получилось, т к . патченные КГ 1,3,7,18 залил как отдельные группы с лоудером профиля. V360 08DO 5cr заработала сразу. Придется монстра собирать забэкапив тело!

[ЬЗК]

Пи подстановке значения 03FС8000 кнопка ОК неактивна

попробуй ручками прописать а не копипастить, сюрприз будет

хех, у меня такое ток один раз  было, перезаливкой флекса все решилось

[OFF]настали ссудные дни для телефона -)[/OFF]

ну кстати мысль здравая

[accord80]

у меня v360 aer и boot 08.A0.На ней тоже можно сделать обход?И возможно ль на ней будет с шиться на ABR?

[ЬЗК]

у меня v360 aer и boot 08.A0.На ней тоже можно сделать обход?И возможно ль на ней будет с шиться на ABR?

а зачем ABR если AER патчится теперь?
пробуй

[Valeo]

имеется тело Е1. Вопрос - При сборке патченых групп во ФБ какие адреса вводить? Ибо адреса CG3 CG7 CG18 в профилях L7 и Е1 одинаковы. А вот адреса CG1 разные. Так у л7 10092000 а у е1 он 10080000. Какие все таки адреса вводить при сборке рефлеша для е1??

зы. Правка групп CG7 CG18 и CG1 для Е1 аналогична L7, я правильно понял???

[БАВ]

Ь3К: никогда бы не подумал, что копирование может дать такой эффект. Тем не менее все проканало и копипастом, только я подключил не по одной группе, а целиком все через текстовый файл из той же папки. Даже группы с адресами автоматом проставились. Добавил загрузчик без проблем. Сам не понял в чем была причина. Собрал два рефлэша 5цр и ацр. Одинаково ставятся через фб и rcd, проверял. Осталось побороть v360 у сына, там аер бут 09.02

[Leon1988]

Просьба ALL
Кто сломал RSA на V360 и L7, сравните, пожалуйста, со своей старой CG7...

Слит SHXCodec-ом

[Random]

Правка групп CG7 CG18 и CG1 для Е1 аналогична L7, я правильно понял???

Да, главное у них СG7 находиться по тому же адресу, остальные адреса влияния не оказывают

Какие все таки адреса вводить при сборке рефлеша для е1??

Адреса от E1

[jonathan]

Прошиву AER_RB пропачил все ок но трабла с ФС осталась . Подскажите что делать то ?

[Дмитрий 42]

Читал..читал, так и не понял до конца, поломаное РСА может ли помочь слезть с АЕР-РБ на Л7 или нет ??

А то напрягает меня эта прошивка своей недоделанностью и мелкими косяками.

[Nur87]

БАВ,
[OFF]ждём новостей, на счёт телефона сына, не забудь отписаться[/OFF]

Дмитрий 42,
[OFF]а почему слезать? после обхода рса будет самая лучшая проша, на мой взгляд. вот бы обойти ещё на 09.хх
[/OFF]

[Leon1988]

только я подключил не по одной группе, а целиком все через текстовый файл из той же папки. Даже группы с адресами автоматом проставились.

Nur87 RekGRpth
Вы пробовали так? Я все время добавлял по одной. Сейчас ухожу на работу, не успею оживить тел, если опять загнется. Опробуйте, пожалуйста, если время есть...

[Nur87]

Leon1988,
вроде нет. а как это? не совсем понял

[Leon1988]

Выбери формат smg и слей только нужные CG. Пропатчь и при сборке прошивки укажи на файл образа, который создался в папке со слитыми CG.

Надежды мало, но вдруг поможет...?

[Nur87]

RekGRpth,
т.е. надо делать ТП? или что?

[Salavat_Red-blu]

Привет! У меня где-то баг

V-360, R4513_G_08.B7.AER, Boot 09.02

а) слил свою прошивку через ФБ3 (активный профиль V360) : => запись в файл *.shx
б) В ФБ3 "Обработка прошивок" считал полученый файл , переписал начальные адреса для CG1, CG3, CG7, CG18, удалил из общего списка CG2, CG4, CG8 и CG15.
в) Сохранил CG1, CG3, CG7, CG18 в файл с расширением *.SMG. Получил группу из 4-х файлов CG1, CG3, CG7, CG18.smg и ramdld.smg.
г) Конвертнул CG1, CG7 и CG18 при помощи RANDOMRSA2.EXE
д) собрал прошивку из CG1, CG3, CG7, CG18.smg и ramdld.smg (получен при бэкапе, начальный адрес 03FE7800).
е) Лью crack.shx через RSD Lite 2.8, 3.3, image 100% и => Critical Error 8241

Шо за беда?

[Nur87]

Salavat_Red-blu,
на 09.02 вроде этот вариант не прокатит. надо ТП делать. пока без ТП никто не слез

[~~~HuNtER~~~]

Люди, а это лазейка с бутом 0А02 прокатит? А то в СЦ за отверткой идти не хочется(а и фиг знает есть-ли они у нас в районе вообще)... пожалуйста...

[Random]

д) собрал прошивку из CG1, CG3, CG7, CG18.smg и ramdld.smg (получен при бэкапе, начальный адрес 03FE7800).

Неправильный адрес, надо 03FC8000.

[Motohobiman]

Добавте в шапку ,если нужно,что и в L2 можно обмануть РСА,ибо адреса и CG одинаковы как и в L6.Всем ребятам давшим нам шанс творить - огромный респект!

[hattab]

Народ ответе у мя туго с этими науками что то самому менять ну не разу не выходило у мя ща AER RB стоит мне поможет это дело что здесь обсуждается?и если кто может обьясните дедушке как что к чему?надоела проша без доступа к фс

[nsk_modder]

Люди скажите пожалуйста а U6 на лте2 или лте1??? а то больно уж охота поковырять его прошивочку, но запарывать как то неохота

[Vilko]

люмен,
так, господа. давайте уже будем писать патчи в соответствующий раздел форума?


Crazy Modder,
LTE1

[БАВ]

Я к аер с бутом 0902 вообще боюсь подходить. Ребята, подскажите, имея от нее бэкап могу я поднять тел после неудачных экспериментов? И вообще бэк сливается с нее и заливается или нет? Без этого не могу начать опыты.

[Leon1988]

БАВ
Могу сказать за себя. Бэкап прекрасно сливается и заливается. За последние несколько дней убивал тел не меньше 15 раз. Из них один раз сделал это конкретно - ни одна прога его не видела. Помогла, почему-то, переустановка Винды с теми же р2к-драйверами. Что это было, так и не понял.

RekGRpth
Дай побольше инфы!!!
Ты патчил только бут, не трогая CG? Не знаком с прогой P2K_Easy_Tool, но по-моему, где-то говорили, что ее главное назначение - репайр ПДС. И если ты сделал полноценный ТП, то ведь можно было прошить еще более низкую версию бута?
Сделай, плиз, подробный мануал!

[Iceman2000]

Братцы, а можно создать монстр со сломанной rsa чтобы залил его и нет проблем.

Почему же нельзя....конечно можно!

[RekGRpth]

Leon1988
Вот вкратце:
Ну, в общем, я снял RSA на своём v360 c бутом 09.02!
Особая благодарность за помощь APosm и Voit21
Оказалось всё банально - проблема в буте!
Вкратце, это я сделал через ТП с помощью P2K_Easy_Tool_v39, но есть МАЛЕНЬКАЯ
хитрость: в бут слитый FB3 нужно в начало добавить
00 00 00 10 00 00 01 00
прикрепляю ИЗМЕНЁННЫЙ бут

сломать RSA я с ТП только смог - 4 дня боролся!
самое сложное - сверлить дыру
я это делал вручную патроном от дрели
рисунки:
в P2K_Easy_Tool_v53 в папке tpimages есть картинка, а ещё есть на YuetBlog'e картинка по разборке - ими двумя и пользовался
на картинке ТП обведён красным - его нужно замыкать на землю - например, тот же защитный экран
а вообще, я просверлил дыру и в корпусе и последний раз сделал ТП не разбирая тел - скрепкой!
я скрепку так изогнул, что батарею под углом приставил, потом скрепку вынул, а батарею до конца задвинул!
причём ТП с экраном нужно соединить только на время - вставил батарею - и отсоединяй!
т.о.
вставляешь батарею, тел должен определиться в RSD как S Blank Neptune LTE2
размыкаешь ТП
Шьёшь бут через P2K_Easy_Tool_v39
там на вкладке репаир есть бут
профиль только свой сначала внизу выбери!

[wert]

RekGRpth, ТП можно кстати вообще без акб делать: замыкаем втыкаем кабель и вуаля Бланк питание от компа. Пробовал так на L7 и V3r.

Сообщение отредактировал wert - 20.1.2007, 10:25

[Salavat_Red-blu]

А так вроде гладко прошло: собралась кракнутая прошивка, залилась без проблем,
но тело в флэш-моде с PH SIG ERR : 39 : 02

Хорошо хоть бэкап без проблем встал...

Ясненько, без ТП бут 09.02 не перебороть...

З.Ы. Но экран сверлить в теле, которому и месяца еще нет рука не поднимается...

[Iceman2000]

Ясненько, без ТП бут 09.02     не перебороть...

З.Ы. Но экран сверлить в теле, которому и месяца еще нет рука не поднимается...

Может попробуешь софтовым методом в ТП загнать...
Правда те кто давал халяву пока шло тестирование уже не дают её! Там типа снятие лока софтовым методом без ТП...
Так что можешь заплатить если что...все же проблем меньше в итоге если ТП делать не хотишь! Более мягкое решение так сказать
Тема была на форуме...поищи
Сорри если Офф...