Снятие RSA-защиты и ПАТЧИНГ V3i

**Diom** · 19.01.2007, 09:31

Благодаря самоотверженному труду ведущего "RAZRоведа" товарища Supshow, методика снятия RSA защиты на модификацию CG1 в прошивках телефонов на LTE2, теперь применима и для V3i.

Мало того, появились первые патчи прошивки.

Привожу здесь в неизменном виде, его мануал. Огромный респект Supshow, и всей команде людей приложивших руку к этому. Поём им дифирамбы.

Цитата:

ВНИМАНИЕ!!! Данная тема предназначается только для опытных пользователей. Использовать мануал на свой страх и риск. Ответственности за убитые телефоны никто нести не собирается.

Безграничный респект выражается следующим персонам: Archy, Random, Vilko, GandjaFuzz.

Harry_27, mcLexx, GALL и люмен - респект и уважуха за информацию, содействие, тестинг и просто за то, что с вами очень
приятно работаать в одной команде!

Метода по снятию защиты RSA для V3i (ссылка на оригинальный трэд: http://forum.motofan.ru/index.php?showtopic=94215)

А вот ссылка на программу для авто-снятия RSA от Random'а: http://forum.motofan.ru/index.php?ac...post&id=103199

1. Сливаем кодовые группы 1, 3, 7 и 18 с телефона. Лучше при помощи FB (в формате .smg).
2. В CG 1, офсет 0 прописываем 12 F8 11 41, офсет 10: B0 01 FF FB
3. В CG 7, офсет С80 прописываем 46 C0 48 01 68 00 47 00 10 04 00 00
4. В CG 18 в начале прописываем 12 F8 00 00
5. Генерим SHX, в котором содержится следующее:
RAM Downloader (03FC8000 - 03FE7FF7) (лоадер выбирается естесственно для V3i (0А.40))
CG 1 (100A0000 - 1135FFFF)
CG 3 (10040000 - 1009FFFF)
CG 7 (12F80000 - 12F9FFFF)
CG18 (12FE0000 - 12FE07FF)
6. Шьем полученный SHX.
Все.

ПАТЧИНГ.

Замена бутскрина (вдохновитель Harry_27 c supertrubka.ru, я многое слямзил из его мануала)

Необходимые программы:
- Flash & Backup 3
- Samsung Flash Imager (SFI);
- Motorola Bootscreen Replacer от 0vZ.

1. Открываем CG 1 (в формате .smg) программой Samsung Flash Imager (в поле "тип файлов" указываем "all"). Далее, в графе "Цвет(bpp)" выбираем "16bpp", в графе "Ширина" выставляем "176", "Высота" - "220". После этого нажимаем "Применить размер".
На экране мы видим обрывки разного цвета. Ищем, когда на экране появится бутскрин "Hellomoto" или "Welcome" (в зависимости
от того, что именно мы хотим заменить), щелкая "Кадр+". Если цветность неправильная, поправляем, нажав "Байт+". Теперь нужно
выровнять бутскрин по левому верхнему краю. Используем для этого кнопки "Строка+/-" и "Точка+/-". Когда картинка выровнена,
смотрим адрес картинки (смещение картинки в файле) и записываем его. Повторяем процедуру со вторым бутскрином.

2. Открываем папку с Motorola Bootscreen Replacer и открываем offset.ini файл. Сюда нужно добавить ваш профиль. Вот пример:
у меня V3i, платформа R479, адрес Hellomoto = "534AD1", Welcome = "520A71". Значит прописываем так:

[V3i R479_89R]
Hellomoto=534AD1
Welcome=520A71

Теперь запускаем саму программу Motorola Bootscreen Replacer, открываем CG 1, выбираем свой профиль и указываем, какую
картинку будем менять (Hellomoto или Welcome). Жмем Load from File, выбираем свою картинку (разрешением 176х220, глубина
цвета 24 бит), жмем Save Flash.

3. Теперь снова генерим прошивку, состоящую из RAM Downloader'a, патченной CG1, а также CG 3, 7, 1.

4. Шьем при помощи RSD Lite.

Возможность запускать подписанные и неподписанные корлеты (автор: GandjaFuzz c motofan.ru)

Открываем CG1 в хекс-редакторе.
1. Ищем стринг:
B5 FF B0 91 20 00 90 05 90 04 27 0F 1C 1C 22 0C
меняем на:
B5 FF B0 91 20 00 E0 10 90 04 27 0F 1C 1C 22 0C

2. Ищем стринг:
B5 F0 1C 0F 1C 06 1C 14 1C 10 49 4C B0 85 F0 01 FC 66 1C 05 D1 04 48 37 30 4C F7 BB F9 C4 E0 DD
меняем на:
B5 F0 1C 0F 1C 06 1C 14 1C 10 49 4C B0 85 F0 01 FC 66 1C 05 D1 04 48 37 30 4C F7 BB F9 C4 E0 DE

3. Ищем стринг:
B5 70 25 00 00 6B 18 1A 78 52 2A 01 D0 09 2A 02
меняем на:
20 01 47 70 00 6B 18 1A 78 52 2A 01 D0 09 2A 02

4. Ищем стринг:
20 00 22 02 00 41 5C 6B 2B 05 D1 00 54 6A
меняем на:
35 01 22 03 00 41 5C 6B 2B 04 DA 00 54 6A

5. Собираем прошивку и прошиваемся (как в предыдущих пунктах).

В результате можно назначать доступ джава приложениям в меню телефона. Работают корлеты. Правда родной iTunes от R47A
телефонов на R479 так и будет ругаться на платформу.

Примечание: Все вышеперечисленное проверенно мной лично (V3i D&G, R479...B4.89R). Информация о новых патчах будет выкладываться по мере появления и завершения процесса тестирования.

Материал размещён с личного разрешения автора! Права копирования принадлежат ему!

Добавлю для новичков, не совсем понимающим о чём речь.
Патчинг - это изменение свойств той или иной прошивки, которые раньше принимались нами как неизменная действительность. Теперь, возможно,
многие наши ответы в форуме, типа "ничего не поделаешь - это фича моторолы" станут недействительны.

А СЮДА заходим за патчами для V3i...

Cot · 19.01.2007, 09:43

А что насчёт v3x?

**Diom** · 19.01.2007, 09:56

Cot11,
К сожалению методика действительна только для телефонов на LTE2 V3i,V3r, L7, KRZR и.т.д. и LTE но имеющих CG7 например L6, L2.
V3x - 3G модель...

**Argo** · 19.01.2007, 10:19

Diom, Supshow
спасибо! Будем работать

с 3G чтото тоже надо придумывать.

**Diom** · 21.01.2007, 16:36

Ну вот первые результаты.

Вытащил из монстра R4441D_G_08.01.03R первую группу с обвеской (CG3,CG7,CG18) снял RSA, успешно заменил бутсплеш ХЕЛОМОТО, отменил проверку подписей в Яве при доступе к ФС и сети, и БТ наверно(не пробовал). (Спасибо lumen за инфу..)
Теперь ни диктофон ни Опера не спрашивают - "Разрешить приложению бла,бла, бла.." Наверное и корелеты заработают нормально (ITUNES), я не пробовал.
Новичкам, пугающимся процесса снятия RSA и желающим всё-же иметь прошивку с такими (пока) изменениями, и готовую к применению патчей,
выложил готовый рефлеш (не трогает ДРМ, ленг, флекс, т.е. всё ваше останется при вас).

Скачать с Рапиды 8,6 Мб
Шить RSD Lite.
Ставьте и ждите патчей!

Удачи!

Argo

И ещё свежие новости - теперь из R479 можно сделать R47A, с поддержкой ITunes!

zhecka · 21.01.2007, 20:38

Самое обидное, что в следующей прошивке скорее всего эту дыру залатают :( Похожая ситуация с PSP уже какой год :(

**Argo** · 22.01.2007, 12:20

zhecka, вряд ли

**Diom** · 22.01.2007, 14:57

zhecka, В какой прошивке? Метод действителен для телефонов на процессоре LTE2 ...
Argo,

**Argo** · 22.01.2007, 16:16

Diom он наверное имеет ввиду что патчи не будут ставится на более новые прошивки, пока еще не выпущенные, потому что там могут применить другой RSA ключ =)

zhecka · 22.01.2007, 21:06

Цитата:

Сообщение от Argo

Diom он наверное имеет ввиду что патчи не будут ставится на более новые прошивки, пока еще не выпущенные, потому что там могут применить другой RSA ключ =)

Именно это и имеется ввиду. Давайте рассудим здраво с точки зрения производителя. Я просто в своё время плотно занимался схемотехникой.
Структура любой системы такова:

CPU(с точкой входа(адрес инициализации))
ROM/FLASH(в каком-то куске памяти)
RAM(перекрывающий или не перекрывающий ROM/FLASH)

процессор прыгает на начальную микропрограмму загрузки.
оттуда прыгает на скажем бут блок.
с бута проверяет железо и прыгает дальше.

Начальная микропрограмма скорее всего прошита в чипе и смене не подлежит. ТП кмк инициирует копирование начального загрузчика из недоступной для редактирования области памяти во FLASH.
После ТП телефон всегда потом бутится, если скажем не шить ?
В следующей прошивке может получиться проверка RSA уже в начальном загрузчике

. Дело даже не в типе чипа. У меня есть подозрение, что процессора которые стоят в телефонах имеют ограниченную адресацию памяти, т.е. структура обращения к памяти аля Intel, когда процессор не может адресовать ВСЮ память и адресуется кусками.
Очень странно что в CG7 исполняется код в самом начале блока. Это наводит на мысли.

ЗЫ: а есть спецификация и список команд для процессоров стоящих в телефонах ?

**Argo** · 22.01.2007, 21:20

zhecka, закрытая разработка =)

zhecka · 22.01.2007, 22:52

Цитата:

Сообщение от Argo

zhecka, закрытая разработка =)

хыхы

маньяки

Supshow · 23.01.2007, 11:38

Кстати, zhecka отчасти прав. Например есть ПО для V3i, которое меняет версию PDS и пока с этих версий откатиться нельзя. Вот примеры: R4441D...02, R479...B5.75R, R47A...D9.75R.

И потом, К1 вроде тоже ЛТЕ2. Но снятие RSA на нем не получается. То ли бут не пускает, то ли еще что-то...

Вот линк на мануал по переходу с R479 на R47A: http://www.datacord.ru/modules.php?n...ewtopic&t=1828

Vilko · 26.01.2007, 13:58

Цитата:

Сообщение от zhecka

Именно это и имеется ввиду. Давайте рассудим здраво с точки зрения производителя. Я просто в своё время плотно занимался схемотехникой.
Структура любой системы такова:

CPU(с точкой входа(адрес инициализации))
ROM/FLASH(в каком-то куске памяти)
RAM(перекрывающий или не перекрывающий ROM/FLASH)

процессор прыгает на начальную микропрограмму загрузки.
оттуда прыгает на скажем бут блок.
с бута проверяет железо и прыгает дальше.

Начальная микропрограмма скорее всего прошита в чипе и смене не подлежит. ТП кмк инициирует копирование начального загрузчика из недоступной для редактирования области памяти во FLASH.
После ТП телефон всегда потом бутится, если скажем не шить ?
В следующей прошивке может получиться проверка RSA уже в начальном загрузчике

. Дело даже не в типе чипа. У меня есть подозрение, что процессора которые стоят в телефонах имеют ограниченную адресацию памяти, т.е. структура обращения к памяти аля Intel, когда процессор не может адресовать ВСЮ память и адресуется кусками.
Очень странно что в CG7 исполняется код в самом начале блока. Это наводит на мысли.

ЗЫ: а есть спецификация и список команд для процессоров стоящих в телефонах ?

немного проясним этот вопрос.
1 - память в телефоне LINEAR, видны все 32бита(4Гб), никакой "страничной" адресации нет.

2 - начальная загрузка идет с irom расположенным в начале адресного пр-ва и не-перешиваемого.
там-же проверка подписи бута идет.
далее по успешной проверке его подписи грузится бут, расположенный в начале флешки. он проверяет подпись прошивки и стартует ее.

следовательно никакая замена прошивок дыру не закроет. может "закрыть" новая версия бута. но кто мешает его сменить на старый?

**Diom** · 26.01.2007, 17:50

Цитата:

Сообщение от Vilko

следовательно никакая замена прошивок дыру не закроет. может "закрыть" новая версия бута. но кто мешает его сменить на старый?

Истинно так - подтверждается практикой. Не только новая версия, но и некоторые старые не позволяют снять защиту т.е. дело в буте.

mik35tt · 14.02.2007, 14:01

Цитата:

С

21.01.2007, 16:36	#5
Diom Начальнег Мира Адрес: Запорожье UA Телефон: RAZR2 V8 Сообщений: 928 Уровень респекта: 1,576	Ну вот первые результаты. Вытащил из монстра R4441D_G_08.01.03R первую группу с обвеской (CG3,CG7,CG18) снял RSA, успешно заменил бутсплеш ХЕЛОМОТО, отменил проверку подписей в Яве при доступе к ФС и сети, и БТ наверно(не пробовал). (Спасибо lumen за инфу..) Теперь ни диктофон ни Опера не спрашивают - "Разрешить приложению бла,бла, бла.." Наверное и корелеты заработают нормально (ITUNES), я не пробовал. Новичкам, пугающимся процесса снятия RSA и желающим всё-же иметь прошивку с такими (пока) изменениями, и готовую к применению патчей, выложил готовый рефлеш (не трогает ДРМ, ленг, флекс, т.е. всё ваше останется при вас). Скачать с Рапиды 8,6 Мб Шить RSD Lite. Ставьте и ждите патчей! Удачи! Argo Что за беда у меня с архивом - три раза загружал файл, оно честно грузит, потом выскакивает чистая форма для загрузки и файл в архиве не появляется. Замучался, куда выложить? И ещё свежие новости - теперь из R479 можно сделать R47A, с поддержкой ITunes!
	Последний раз редактировалось Diom; 24.01.2007 в 12:51.

22.01.2007, 12:20	#7
Argo Letsmoto.com team Адрес: Питер Телефон: RAZR V3x Прошивка: R252211LD_U_85.97.CDP Сообщений: 1,922 Уровень респекта: 2,908	Diom, ты туда какой объем пытаешься залить? =) можно до 6 мб zhecka, вряд ли

22.01.2007, 14:57	#8
Diom Начальнег Мира Адрес: Запорожье UA Телефон: RAZR2 V8 Сообщений: 928 Уровень респекта: 1,576	zhecka, В какой прошивке? Метод действителен для телефонов на процессоре LTE2 ... Argo, Стало быть монстры выкладывать не судьба?
	Последний раз редактировалось Diom; 22.01.2007 в 14:58. Причина: Добавлено сообщение

22.01.2007, 16:16	#9
Argo Letsmoto.com team Адрес: Питер Телефон: RAZR V3x Прошивка: R252211LD_U_85.97.CDP Сообщений: 1,922 Уровень респекта: 2,908	Diom, аа, ну все понятно, я тебе в личке объясню как файлы большего размера лить =) Diom он наверное имеет ввиду что патчи не будут ставится на более новые прошивки, пока еще не выпущенные, потому что там могут применить другой RSA ключ =)

23.01.2007, 11:38	#13
Supshow Младший моторист Адрес: Tashkent Телефон: Asus P535 Прошивка: WM6 (WWE_TH00) Сообщений: 47 Уровень респекта: 60	Кстати, zhecka отчасти прав. Например есть ПО для V3i, которое меняет версию PDS и пока с этих версий откатиться нельзя. Вот примеры: R4441D...02, R479...B5.75R, R47A...D9.75R. И потом, К1 вроде тоже ЛТЕ2. Но снятие RSA на нем не получается. То ли бут не пускает, то ли еще что-то... Вот линк на мануал по переходу с R479 на R47A: http://www.datacord.ru/modules.php?n...ewtopic&t=1828
	Последний раз редактировалось Supshow; 26.01.2007 в 17:47.


Следующие 5 пользователя(ей) выразили Респект Diom:	>(DeM)<, artyomm, empty, Onix, Wol@nd

19.01.2007, 09:43	#2
Cot Guest Сообщений: n/a	А что насчёт v3x?


Этот пользователь выразил Респект	-=Dj_Seemx=-

19.01.2007, 09:56	#3
Diom Начальнег Мира Адрес: Запорожье UA Телефон: RAZR2 V8 Сообщений: 928 Уровень респекта: 1,576	Cot11, К сожалению методика действительна только для телефонов на LTE2 V3i,V3r, L7, KRZR и.т.д. и LTE но имеющих CG7 например L6, L2. V3x - 3G модель...

19.01.2007, 10:19	#4
Argo Letsmoto.com team Адрес: Питер Телефон: RAZR V3x Прошивка: R252211LD_U_85.97.CDP Сообщений: 1,922 Уровень респекта: 2,908	Diom, Supshow спасибо! Будем работать с 3G чтото тоже надо придумывать.


Следующие 4 пользователя(ей) выразили Респект Diom:	Snoop Dog(Серега), Wol@nd

21.01.2007, 20:38	#6
zhecka Младший моторист Адрес: Moscow Телефон: V3R Сообщений: 34 Уровень респекта: 5	Самое обидное, что в следующей прошивке скорее всего эту дыру залатают :( Похожая ситуация с PSP уже какой год :(

22.01.2007, 21:20	#11
Argo Letsmoto.com team Адрес: Питер Телефон: RAZR V3x Прошивка: R252211LD_U_85.97.CDP Сообщений: 1,922 Уровень респекта: 2,908	zhecka, закрытая разработка =)


Следующие 2 пользователя(ей) выразили Респект Supshow:	empty, motomag


Этот пользователь выразил Респект Diom