Zobrazit předchozí téma :: Zobrazit následující téma |
Autor |
Zpráva |
ok2ucx začátečník
Založen: 12. 08. 2004 Příspěvky: 49
61.00 SMM
|
Zaslal: st únor 23, 2005 11:20 pm Předmět: Odblokování řady x55 bez pomocí Testpointu. |
|
|
Ahojky,
dal jsem se do hlubšího studia materiálů z ruských konferencí a troufám se domnívat, že jsem nedaleko rozluštění problému odblokování řady x55 *BEZ* použití Testpointu. Mám přímo od Rusů potvrzeno, že to jde (a že to mají, ale nepustí), resp. všechny informace pro toto potřebné, jsou k mání právě na serverech http://forum.siemens-club.ru a http://forum.allsiemens.com. Zvláště doporučuji k přečtení články od Papuase.
Ale k věci:
pro odblokování je třeba (podobně jako u řady x65) získat utilitkou GetCode (v novém V-KLayi, adresář utils\papuas_key) dvě hodnoty, resp. dva binární řetězce: hash.bin a key.bin. Na ty se pak přes .log fajl pustí Freia, která vygeneruje .map, což není nic jiného, než několik skrytých bloků EEPROM, jejichž přepsání zajistí odblokování telefonu. Až potud to není nic nového.
Problémem zůstává, jak odkrýt skryté bloky EEPROM a jak zajisit, aby utilitka GetCode fungovala (potřebuje OpenBFB).
OpenBFB i odkrytí bloků EEPROM lze sice zajistit patchem, ale pokud není do Flashe telefonu přístup (např. přes Password boot), není jak patche aplikovat.
OpenBFB lze aktivovat (i včetně odkrytí EEPROM) i pomocí volání jedné funkce na adrese, která je ve fóru rovněž uvedena (a skutečně to funguje, C55V24 - r12=0x58, calls 0x90,0x8EE8) - zkoušel jsem pomocí ATCGSN debuggeru. Leč bohužel tento debugger není v čisté verzi telefonu dostupný a je to stejný problém jak aplikovat patch, pokud není dostupná Flash.
Naštěstí lze openBFB aplikovat i pomocí BFB režimu, který je dostupný i v čistém telefonu. Kromě jiných funkcí BFB je tam jedna, která umí spustit kousek kódu. Tím může být volání výšezmíněné funkce ve Flash. Jenže tato BFB funkce (podfunkce 0x75) je opět dostupná až coby OpenBFB. Zase nic.
Jako jediná a poslední možnost má být funkce BFB 0x0B, která má toto umět. Jenže k ní není žádná dostupná informace ;-(
Postup by tedy mohl být takový:
1. za chodu telefonu se aktivuje BFB režim: AT^SBFB=1
2. pomocí BFB funkce 0x0B aktivovat OpenBFB (tím začne fungovat GetCode a odkryjí se skryté EEPROM bloky)
3. pomocí GetCode získat hash.bin a key.bin
4. z nich vytvořit LOG soubor
5. Freiou tento LOG soubor "odblokovat" na MAP soubor
6. MAP soubor přes SiemensEEPROMTool převést na EEP
7. EEP nahrát pomocí Siemens Debuggeru do EEPROM a je vymalováno!
Jediný problém zůstává bod č. 2 a jediná otázka, kdo zná formát uvedené funkce? Resp. popis BFB všeobecně. Kdo to má?
===
Část uvedeného postupu se dá využít i pro password boot, známý z řady x65. Body 1. až 3. jsou beze změny a pokračuje se (snad) takto:
pomocí ffkey se získá Bootkey, který je nutno předložit telefonu při startu V-Klaye (to by mělo jít modifikací .vkd loaderu stejně jako v případě x65).
Pak by se V-Klay měl chovat standardně. Ostatně je to popsáno v příspěvku od Papuase níže. Opět se hledá způsob, jak otevřít BFB bez patche, jen za pomocí ClosedBFB funkce 0x0B.
Pavel, ok2ucx
P.S. (24/2) Funkce 0B BFB protokolu má jako parametr SecurityString, který se patrně nedá nijak snadno (bez OpenBFB) zjistit
citace: | Автор: Papuas
Сообщение: SC-форум : Hard'n'Soft : У меня погиб S55
Re: FAQ начинающего прошивкокопателя.
Про “произвольный Boot” на x55+.
При загрузке произвольного Boot-а, Тел проверяет код сигнатуры MD5 полученную из ключа-строки в 16 байт и записанного по 0-му смещению в сегменте EELITE (S55:FE0000, С55:FA0000). Проверка делается с тестовой сигнатурой в 800330h (16 байт). Если она не совпадает то тел не будет запускать Ваш произвольный boot. Так-же имеется возможность внешнего ввода строчки кода для запуска произвольного бута. Этот код передается с помощью загрузки стандартного boot-а (со строчкой “SIEMENS BOOT PARAMETER:” ) “A55AA5A5E658A5007EB60DFF5349454D454E5320424F4F5420504152414D455445523A”
+ байт кода функции (=0x01) + стринг-ключ. Далее уже грузим свой boot.
У данного boot-а (со строчкой “SIEMENS BOOT PARAMETER:”) имеется 3 функции:
1. Код = 0x01 – передача ключа для последующей загрузки и запуска произвольного бута.
2. Код = 0x02 – далее идет dword скорости соединения (эту команду пользует WinSwup для Update) и перезагруз в хитрый режим (до конца мной еще не изучен и наверно не будет, мне он пока не нужен)
3. Код = 0x88 – тест и активация ключика “произвольного бута” из сегмента EELITE.
Ну и в конце всегда передается байт xor-ной контрольки. Пример для 115200 Baud: “boot + 02 00 C2 01 00 30” …
Коды ключей я не знаю (есть только куски)! Ставить один из компов на дешифрацию 128-и bit-ного MD5 (RSA) мне пока что-то не хочется… |
|
|
Návrat nahoru |
|
|
MLB všeználek
Založen: 29. 01. 2005 Příspěvky: 678 Bydliště: Žilina
4261.00 SMM
|
Zaslal: čt únor 24, 2005 4:53 pm Předmět: |
|
|
Nefunguje na x55 bootcore bug, vdaka ktoremu je pristup k flash v cistom telefone? Teda na sestrinej m55 som V-Klay metodou bootcore bug normalne spojil s telefonom a precital flash (zapis som neskusal, nemam dovolene ). _________________ CX70 fw56 |
|
Návrat nahoru |
|
|
ok2ucx začátečník
Založen: 12. 08. 2004 Příspěvky: 49
61.00 SMM
|
Zaslal: čt únor 24, 2005 4:58 pm Předmět: |
|
|
Nevim jak M55, ale A55 od fw.11 a všechny A57 mají již tento bug odstraněn a bez řezání testpointu se žádný tool nespojí (kromě SiemensEEPROMtoolu). Ten je ale bezmocný.
Pavel, ok2ucx
MLB napsal: | Nefunguje na x55 bootcore bug, vdaka ktoremu je pristup k flash v cistom telefone? Teda na sestrinej m55 som V-Klay metodou bootcore bug normalne spojil s telefonom a precital flash (zapis som neskusal, nemam dovolene ). |
|
|
Návrat nahoru |
|
|
MLB všeználek
Založen: 29. 01. 2005 Příspěvky: 678 Bydliště: Žilina
4261.00 SMM
|
Zaslal: čt únor 24, 2005 6:20 pm Předmět: |
|
|
ok2ucx napsal: | Nevim jak M55, ale A55 od fw.11 a všechny A57 mají již tento bug odstraněn a bez řezání testpointu se žádný tool nespojí (kromě SiemensEEPROMtoolu). Ten je ale bezmocný.
Pavel, ok2ucx
MLB napsal: | Nefunguje na x55 bootcore bug, vdaka ktoremu je pristup k flash v cistom telefone? Teda na sestrinej m55 som V-Klay metodou bootcore bug normalne spojil s telefonom a precital flash (zapis som neskusal, nemam dovolene ). |
|
No sestra ma tusim v11... _________________ CX70 fw56 |
|
Návrat nahoru |
|
|
Nerve_Toxin táta fóra
Založen: 11. 07. 2004 Příspěvky: 1483 Bydliště: Kojetín
7861.00 SMM
|
Zaslal: pá únor 25, 2005 9:45 pm Předmět: |
|
|
Mobily s originálním fw11 (tj. od výroby) mají už ten bootcore bug odstraněný a musí se patchovat bootcore _________________ Siemens is the best
C35i fw18+patche+t9CZ->MT50 fw18@242KB flex+patche->M55 Palladium fw11@3,6MB flex+patche->CX70 fw43 |
|
Návrat nahoru |
|
|
|
|
Nemůžete odesílat nové téma do tohoto fóra Nemůžete odpovídat na témata v tomto fóru Nemůžete upravovat své příspěvky v tomto fóru Nemůžete mazat své příspěvky v tomto fóru Nemůžete hlasovat v tomto fóru Můžeš k příspěvkům připojovat soubory Můžeš stahovat a prohlížet přiložené soubory
|
Powered by phpBB © phpBB Group
|