Поздравляю всех у нас тоже можно делать и применять патчи к прошивке.
Чтобы патчить телефон нужно отключить проверку-ВНИМАНИЕ! Тема только для опытных пользователей!

СВЕРШИЛОСЬ! Итак, мы закончили работу над методикой залома LTE2.
Подходит для телефонов L2, L6, L7, V360, V3i и других.
Исключение составляют телефоны с бутом 09.xx, на них пока что не удалось снять RSA.

Немного теории:
Дыра, через которую мы обходим RSA — в CG7 (подписи бута) — там часть данных самой подписи можно использовать как код, в котором джампом выводится управление, т.е. за пределы подписанного блока.
Точку входа ставим на этот самый код...
Ну и, соответственно, получаем управление за пределами подписи — остальное уже дело техники...
Вот метод исправления CG7:

- сливаем свой CG7(или вытаскиваем из shx своей прошивки, дело вкуса)
перед патчем проверяем что байты по +1140 равны E5 9F C0 00, если нет — CG7 требует иной модификации. такие версии — "в студию".
- патчим:
по смещению 0xC80 в CG7 прописываем значения 46 C0 48 01 68 00 47 00 10 04 00 00 (изначально там будут FF)
- вливаем обратно.

Random: Как я понял из сообщений, не все точно поняли что нужно менять в CG1 и CG18. Нужно изменить только первые 4 байта CG18, а в CG1 — 4 байта в начале, и 4 байта по смещению 0x10, а не целиком менять все, как показано в примере.

CG18 (подпись прошивки) опять-же оказывается почти не нужна , нам от неё потребуются лишь первые 16 байт — заголовок, в котором раньше был адрес самой CG18 (11FE0010) — он меняется на адрес CG7 — т.е. 11F80000 (правим CG18 как написано тут)
Код
Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F
-----------------------------------------------------------
00000000 11 F8 00 00 00 00 00 B1 01 13 02 06 FF FF 08 B7 .ø.....±....ÿÿ.·
- таким образом бут проверяет CG7, считая что проверяет CG18 — и в CG7 нет диапазона адресов CG1 — и, ясен пень, ошибка проверки CG1 таким образом не вылезает.
То есть вместо проверки прошивки идет повторная проверка CG7...
Далее — начало CG1, которое правится (правим так):
Код
Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F
-----------------------------------------------------------
00000000 11 F8 11 41 00 00 00 B1 00 13 02 06 FF FF 08 B7 .ø.A...±....ÿÿ.·
00000010 B0 01 FF FB 00 FF FF FF 08 03 00 01 10 09 20 00 °.ÿû.ÿÿÿ...... .
00000020 10 09 20 C3 10 09 20 C4 10 E5 FF FF FF FF FF FF .. Ã.. Ä.åÿÿÿÿÿÿ
00000030 FF FF FF FF 10 04 00 00 10 09 1F FF 11 0A 00 00 ÿÿÿÿ.......ÿ....
00000040 11 23 FF FF 10 00 F0 00 10 00 FF FF 10 01 00 00 .#ÿÿ..ð...ÿÿ....
00000050 10 01 FF FF FF FF FF FF FF FF FF FF FF FF FF FF ..ÿÿÿÿÿÿÿÿÿÿÿÿÿÿ
00000060 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF ÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿ
00000070 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF ÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿ
00000080 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF ÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿ
00000090 FF FF FF FF 10 E6 00 00 11 09 FF FF FF FF FF FF ÿÿÿÿ.æ....ÿÿÿÿÿÿ
000000A0 FF FF FF FF FF FF FF FF FF FF FF FF 11 FE 00 00 ÿÿÿÿÿÿÿÿÿÿÿÿ.þ..
000000B0 11 FE 07 FF FF FF FF FF FF FF FF FF .þ.ÿÿÿÿÿÿÿÿÿ


Поняли, в чем прелесть?
Делаем эти изменения в указанных СG, собираем монстра — и шьём, даже ТЕСТ ПОИНТ НЕ ПОНАДОБИТСЯ!
Методика патчинга — правим CG18, CG7, правим заголовок CG1, добавляем в "монстра" CG3 (с той же прошивки, откуда остальные кодовые группы), вносим свои изменения/патчи в CG1, затем прошиваем всё это ЦЕЛИКОМ. Всё...

Единственное НО — пока не можем бэкапить — записывать ПДС, но уже пишется полностью открытый "дуал-бут" для ЛТЕ2, так что...

На V3i другая адресация, поэтому патчить надо будет так:
В CG18 в начале пишем 12F80000
В CG1 пишем по смещениям:
0000000: 12F81141
0000010: B001FFFB
В CG7 правим как выше описано


Авторство команды смартклипа, метод был слит оттуда с лёгкой правкой. НИКАКОГО ФЛУДА и ОФФА!

Обсуждаем только по сути.
взято с мотофана


А теперь всё на понятном всем языке и по-порядку:

1. Снимаем бэкап с телефон (Flash&Backup3). Нужны только кодовые группы CG1, CG3, CG7. CG18. Формат сохранения выбираем smg
Вставленная в сообщение картинка
2. Запускаем прогу от Рандома RandomRSA2, указываем пути к файлам бэкапа, жмем 'применить к файлам снятие RSA'
3. Запускаем Flash&Backup3 переходм на вкладку запись данных, выбираем backup.f3u (в папке с забэкапенными и изменёнными CG1, CG3, CG7. CG18) и 'жмём запись данных'
Для изменения прошивки понадобятся несколько программ:
1. Любой хексредактор (например WinHEX)
3. Flash and Buckup 3

Как патчить:
1. Открываем CG1.smg (с отключенно проверкой RSA) хексредактором.
2. Меняем как написано в инструкции к патчу.
3. Сохраняем.

Чтобы залить патченую прошивку в телефон делаем так:
НАЧАЛЬНЫЕ АДРЕСА ЗАВИСЯТ ОТ ПРОШИВКИ! Здесь написано для acr.
1. Открываем Flash&backup 3 и выбираем профиль 'L6(L2)(с бутом 08.D0)' -это если в вашем L6\L2 такой бут (посмотреть можно выключив телефон, зажав клавиши * # и кнопка вкл.)
2. Переходим во вкладку 'запись данных' Жмём добавить и выбираем код. группы, которые показаны на скриншоте (начальные адреса тоже такие пишем)
3. Нажимаем запись данных.



Замена bootsplash (картинка при включении)
Необходимый софт:
1. Samsung Flash Imager
2. Motorola Bootscreen Replacer
План действий:
1. Найти адресс этой картинки.
2. Заменить картинку на свою.

Ищем адресс картинки.
Цитата
Открываем программой Samsung Flash Imager (SFI) CG1.smg от разобранной прошивки (в поле "тип файлов" следует указать "all"). Далее, в графе "Цвет(bpp)" выбераете "16bpp", а в графе "Ширина" и "Высота" выставляете наши пропорции экрана(176х220).После всего этого нажимаете "Применить размер".После этого вы видите на экране обрывки разного цвета.Теперь вы должны найти саму "HelloMoto", обьясняю как:Щёлкаете "Кадр+", до тех пор пока не найдёте "HelloMoto", а когда надёте, то вы должны её выровнять по левому-верхнему краю.
Смотрим адрес картинки (Смещение картинки в файле) и записываем его для стандартного бутскрина и для красного экрана приветствия.
Патчей пока мало но главное их можно портировать.Будет времья отпишусь подробней.
Времени не больше но вот прога для автоматизации обхода РСА.

RandomRSA2hack

с её помощью легко можно отменить подпись!