Тема: Взлом RSA и активация EDGE на Е680i
Показать сообщение отдельно
Старый 17.03.2007, 19:22   #1
Мотоспец
 
Аватар для elvis live!
 
Адрес: Москва
Телефон: Z8
Сообщений: 351
Уровень респекта: 262
Отправить сообщение для elvis live! с помощью ICQ
Взлом RSA и активация EDGE на Е680i
Взлом RSA и активация EDGE на Е680i

Итак. Vilko таки удалось обойти RSA в BP E680i (скорее всего и A780). Началось все с того, что мне захотелось прошить BP от A780 в надежде на то что появится EDGE. В результате получился труп. Пришлось делать Testpoint. Короче говоря мануал:

1. Сделать бэкап текущего BP. Для этого качаем ramldr для E680. Включаем телефон зажав кнопки "Камера", "Громкость-" и "Вкл".

Кидаем AP-ный ldr: Вводим Base addr: a0200000 и Entry addr: a0200000. Жмем Send RamLdr
Кидаем BP-ный ldr: Base addr: 03fd0000 и Entry addr: 03fd0010. Жмем Send RamLdr
Собственно бэкап: Base addr: 10000000; Entry addr: 103FFFFF. Кнопка "Save Mem S"

Аналогично делаем на всякий случай отдельный бэкап PDS:
Base addr: 10370000; Entry addr: 1037FFFF. Кнопка "Save Mem S"

2. Разбираем тел:
Откручиваем отверткой T6 4 самореза. Два из них под крышкой акумулятора, два - спрятаны под резиночками с противоположной стороны.
Выковыриваем резиновую заглушку над камерой (прикрывает возможно гнездо для внешней антены).
Аккуратно снимаем половинку корпуса (по бокам посередине есть две защелки):



Плоской отверткой/ножем подковыриваем экран и снимаем вторую половину корпуса:



3. Отгибаем экран (он держится на гибком шлейфе). Отковыриваем ножем экранировку вокруг LTE.



Контакт тестпоинта находится между LTE и чипом памяти:





Укладываем плату в первую половинку телефона. Подключаем USB-кабель к телефону.
Нужно посадить эту ногу на землю и вставить батарею удерживая кнопки "Камера" и "Громкость-". Я использовал кусок провода с острым шилом на конце. Подсветка джойстика должна загореться. Не выключая телефон убираем ногу тестпоинта с земли. Достаточно сложно вставить батарею, удерживая нажатыми 2 кнопки и держа шило на ноге тестпоинта. Поэтому я обычной резинкой обмотал корпус так чтобы эти 2 кнопки были всегда нажатыми. Они же и придерживали батарею.



Качаем и запускаем ramldr_blank, кидаем AP-ный ldr.
Берем BP-ный ldr и заливаем его (как и в п. 1)
Жмем кнопку "Erase". Дожидаемся текста ACK ERASE. Все. Текущий бут снесен.

4. Собираем телефон в обратном порядке

5. Качаем BP. Распаковываем, открываем бинарь в HEX редакторе. Заменяем часть файла начиная с адресса 00370000 бэкапом своего PDS.

6. Включаем телефон с кнопками "Камера" и "Громкость-". Подсветка джойстика должна гореть. Запускаем ramldr_blank
Закидываем AP-ный ldr
Закидываем BP-ный ldr
Жмем ERASE, дожидаемся ответа ACK ERASE
Вводим Base addr: 10000000 и жмем "Send Binary" и выбираем отредактированный E680_BP_patched.
Ждем окончания операции, вытягиваем акумулятор

7. Включаем телефон. Все должно работатью. Теперь BP не проверяет подпись CG1. Благодаря этому можно залить данный CG1 и получить активированный EDGE!!!

PS. Автор методики - Vilko.

PPS. Все действия кроме бэкапа можно сделать из под linux программой ezxflash. (Как я и делал)
Вложения
Тип файла: exe ramldr_blank.exe (56.0 Кб, 63 просмотров)
Тип файла: rar ldr_nogui.rar (18.7 Кб, 28 просмотров)
Тип файла: rar ldr_nogui_bp.rar (18.7 Кб, 23 просмотров)
Тип файла: rar CG1_EDGE.rar (1.40 Мб, 123 просмотров)
Тип файла: rar ramldr_e680.rar (102.0 Кб, 88 просмотров)
Тип файла: rar E680_BP_patched.rar (1.33 Мб, 82 просмотров)



elvis live! вне форума
Последний раз редактировалось elvis live!; 07.04.2007 в 14:15.
   Ответить с цитированием   
Следующие 3 пользователя(ей) выразили Респект elvis live!: