SiemensMania.cz

ok2ucx

Ahojky,

dal jsem se do hlubšího studia materiálů z ruských konferencí a troufám se domnívat, že jsem nedaleko rozluštění problému odblokování řady x55 *BEZ* použití Testpointu. Mám přímo od Rusů potvrzeno, že to jde (a že to mají, ale nepustí), resp. všechny informace pro toto potřebné, jsou k mání právě na serverech http://forum.siemens-club.ru a http://forum.allsiemens.com. Zvláště doporučuji k přečtení články od Papuase.

Ale k věci:

pro odblokování je třeba (podobně jako u řady x65) získat utilitkou GetCode (v novém V-KLayi, adresář utils\papuas_key) dvě hodnoty, resp. dva binární řetězce: hash.bin a key.bin. Na ty se pak přes .log fajl pustí Freia, která vygeneruje .map, což není nic jiného, než několik skrytých bloků EEPROM, jejichž přepsání zajistí odblokování telefonu. Až potud to není nic nového.

Problémem zůstává, jak odkrýt skryté bloky EEPROM a jak zajisit, aby utilitka GetCode fungovala (potřebuje OpenBFB).

OpenBFB i odkrytí bloků EEPROM lze sice zajistit patchem, ale pokud není do Flashe telefonu přístup (např. přes Password boot), není jak patche aplikovat.

OpenBFB lze aktivovat (i včetně odkrytí EEPROM) i pomocí volání jedné funkce na adrese, která je ve fóru rovněž uvedena (a skutečně to funguje, C55V24 - r12=0x58, calls 0x90,0x8EE8) - zkoušel jsem pomocí ATCGSN debuggeru. Leč bohužel tento debugger není v čisté verzi telefonu dostupný a je to stejný problém jak aplikovat patch, pokud není dostupná Flash.

Naštěstí lze openBFB aplikovat i pomocí BFB režimu, který je dostupný i v čistém telefonu. Kromě jiných funkcí BFB je tam jedna, která umí spustit kousek kódu. Tím může být volání výšezmíněné funkce ve Flash. Jenže tato BFB funkce (podfunkce 0x75) je opět dostupná až coby OpenBFB. Zase nic.

Jako jediná a poslední možnost má být funkce BFB 0x0B, která má toto umět. Jenže k ní není žádná dostupná informace ;-(

Postup by tedy mohl být takový:

1. za chodu telefonu se aktivuje BFB režim: AT^SBFB=1
2. pomocí BFB funkce 0x0B aktivovat OpenBFB (tím začne fungovat GetCode a odkryjí se skryté EEPROM bloky)
3. pomocí GetCode získat hash.bin a key.bin
4. z nich vytvořit LOG soubor
5. Freiou tento LOG soubor "odblokovat" na MAP soubor
6. MAP soubor přes SiemensEEPROMTool převést na EEP
7. EEP nahrát pomocí Siemens Debuggeru do EEPROM a je vymalováno!

Jediný problém zůstává bod č. 2 a jediná otázka, kdo zná formát uvedené funkce? Resp. popis BFB všeobecně. Kdo to má?

===

Část uvedeného postupu se dá využít i pro password boot, známý z řady x65. Body 1. až 3. jsou beze změny a pokračuje se (snad) takto:

pomocí ffkey se získá Bootkey, který je nutno předložit telefonu při startu V-Klaye (to by mělo jít modifikací .vkd loaderu stejně jako v případě x65).

Pak by se V-Klay měl chovat standardně. Ostatně je to popsáno v příspěvku od Papuase níže. Opět se hledá způsob, jak otevřít BFB bez patche, jen za pomocí ClosedBFB funkce 0x0B.

Pavel, ok2ucx

P.S. (24/2) Funkce 0B BFB protokolu má jako parametr SecurityString, který se patrně nedá nijak snadno (bez OpenBFB) zjistit Think

MLB · Zaslal: čt únor 24, 2005 4:53 pm Předmět:

Nefunguje na x55 bootcore bug, vdaka ktoremu je pristup k flash v cistom telefone? Teda na sestrinej m55 som V-Klay metodou bootcore bug normalne spojil s telefonom a precital flash (zapis som neskusal, nemam dovolene

).

ok2ucx · Zaslal: čt únor 24, 2005 4:58 pm Předmět:

Nevim jak M55, ale A55 od fw.11 a všechny A57 mají již tento bug odstraněn a bez řezání testpointu se žádný tool nespojí (kromě SiemensEEPROMtoolu). Ten je ale bezmocný.

Pavel, ok2ucx

MLB · Zaslal: čt únor 24, 2005 6:20 pm Předmět:

Nerve_Toxin · Zaslal: pá únor 25, 2005 9:45 pm Předmět:

Mobily s originálním fw11 (tj. od výroby) mají už ten bootcore bug odstraněný a musí se patchovat bootcore