Vadiks

Кнопку надо не коротко нажать, а подержать, как при включении телефона.

Спасибо!!!

Заработало!

 

P.S. Блин. Написал бы кто нибудь в шапке про этот ньюанс.

Народ у кого получилось прошить E2121B?

После нажатия кнопки "Вкл" в телефон отправляется первый загрузчик и все... тишина...

 

Пробовал два разных кабеля. Кабеля 100% работают на "старых" свифтах.

Проверял на разных флэшерах.

 

Вариант с дохлой флэшкой отпадает. Телефон полностью рабочий, только что из коробки.

Возможно это понадобиться для разборки прошивки по винтикам.

Исходники RTOS Nucleus, которая используется в этой прошивке. Причем исходники более свежие, чем используемая в телефоне версия RTOS.

Хорошо бы теперь найти описание работы этой OS и сделать FLIRT сигнатуры для IDA....

nucleus.rar

Спасибо.

И я вот что нашел.

D980XEIB1_def.rar

Кто нибудь встречал Def на Duos? Модель не сильно важна.

Всем привет. У кого нибудь есть DEF файл на D980? Версия прошивки не сильно важна.

Вот форум человечка который разбирается с qualcomm на сименсах и HTC. Он как раз и написал QMAT. Поддержка самсунга вроде как планируется, но когда он мне не ответил.

http://forum.revskills.de/

В secdload.usb который занимается заливкой прошивки нашел вот такие строчки.

"RSA part of SSLeay 0.9.0b 29-Jun-1998"

"..\..\..\..\..\..\SHP3\Security\Crypto\SecCryptoSuite\SecCrSSLeaylib.c"

"..\..\..\..\..\OEM\Tfs4Driver\SysSecureBoot.c"

"Eric Young's PKCS#1 RSA"

"..\..\..\..\..\..\SHP3\Security\Crypto\SecCryptoSuite\SecCrRSA.c"

"..\..\..\..\..\..\SHP3\Security\Crypto\SecCryptoSuite\SecCrSSLeayRSA.c"

"..\..\..\..\..\..\SHP3\Security\Crypto\SecCryptoSuite\SecCrMem.c"

"..\..\..\..\..\..\SHP3\Security\Crypto\RND\CrRandSeed.c"

"..\..\..\..\..\..\SHP3\Security\Crypto\BN\CrBNLib.c"

"..\..\..\..\..\..\SHP3\Security\Crypto\RSA\CrRSALib.c"

"..\..\..\..\..\..\SHP3\Security\Crypto\BN\CrBNBlind.c"

"..\..\..\..\..\..\SHP3\Security\Crypto\SHA1\CrSHA1One.c"

"..\..\..\..\..\..\SHP3\Security\Crypto\RSA\CrRSAEay.c"

"..\..\..\..\..\..\SHP3\Security\Crypto\BN\CrBNMont.c"

"..\..\..\..\..\..\SHP3\Security\Crypto\BN\CrBNShift.c"

"..\..\..\..\..\..\SHP3\Security\Crypto\SMEM\CrSMemMgr.c"

 

Есть над чем задуматься... есть от чего оттолкнуться...

Запакованном или зашифрованном?

Пока не знаю. Но судя по названию файла amss_compressed.bin, то я думаю в запакованном.

Из лога:

 

Запрос:06.10.2008 1:38:47.90564

55 4D 54 53 20 44 4F 57 4E 4C 4F 41 44 45 52 7E   UMTS DOWNLOADER~
00 80 39 37 30 30 44 34 36 38 45 43 46 35 34 35   .€9700D468ECF545
34 00 52 75 73 73 69 61 00 00 00 00 00 00 00 00   4.Russia........
00 00 FD 00 05 03 03 00 00 00 00 00 00 00 00 00   ..э.............
00 00 A9 FE 05 20 00 00 00 00 E7 33 E9 48 8C 1A   ..©ю. ....з3йHŒ.
7E                                                ~               


Ответ:06.10.2008 1:38:47.93664 (+0.0000 seconds)

7E 00 02 6A D3 7E                                 ~..jУ~          

Запрос:06.10.2008 1:38:47.95264 (+0.0156 seconds)

7E 01 70 FF 83 7E                                 ~.pяƒ~          

Ответ:06.10.2008 1:38:47.95264 (+0.0000 seconds)

7E 01 70 4E 4F 48 50 03 55 39 30 30 00 00 00 00   ~.pNOHP.U900....
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
00 00 00 00 00 00 00 00 61 64 64 72 65 73 73 00   ........address.
00 00 4E 75 6D 62 65 72 00 00 00 00 00 00 00 00   ..Number........
00 00 00 00 00 00 00 49 4D 45 49 4E 55 4D 00 00   .......IMEINUM..
00 00 00 FF FF FF FF 00 00 00 00 00 00 00 00 00   ...яяяя.........
00 04 00 00 00 06 00 00 00 14 00 00 00 1A 00 00   ................
00 2A 00 00 00 38 00 00 00 20 02 00 00 60 04 00   .*...8... ...`..
00 70 04 FF FF FF FF 4F 4F 48 50 44 6F 77 6E 6C   .p.яяяяOOHPDownl
6F 61 64 65 72 00 00 00 00 00 00 00 00 00 00 05   oader...........
1E 00 00 5A 4F 48 50 00 00 02 00 40 00 00 00 00   ...ZOHP....@....
08 00 00 02 00 00 00 00 00 00 00 00 00 00 00 00   ................
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
00 00 00 00 00 00 00 7A 23 7E                     .......z#~      

Запрос:06.10.2008 1:38:47.96864 (+0.0156 seconds)

7E 02 EE 00 00 38 00 CF A7 C0 01 E6 88 7E         ~.о..8.П§А.жˆ~  

Ответ:06.10.2008 1:38:47.96864 (+0.0000 seconds)

7E 02 02 6A D3 7E                                 ~..jУ~          

Запрос:06.10.2008 1:38:47.03064 (+0.0625 seconds)

7E 03 DD 00 00 38 00 00 40 77 35 00 EA 6C 90 43   ~.Э..8..@w5.кlђC
это пошла загрузка файла

 

видна последовательнасть команд при загрузке AMSS.

 

CMD_USB_SECURITY

CMD_USB_INFO

CMD_USB_ERASE - стереть 0x01C0A7CF(29403087) байт начиная с адреса 0x00380000

и затем идет загрузка файла в телефон блоками по 0x4000 байт.

 

Отсюда видно что прошивальщик очищает ровно столько места в телефоне, сколько занимает файл AMSS на диске минус 0x0400 байт служебной информации в конце файла.

Соответственно можно сделать вывод, что прошивка попадает в телефон в запакованном виде.

Я решил залезть в Boot файлы, а именно загрузчик прошивок. Может там чего обнаружим...

Формат блока данных который посылается в телефон:

 

7E xx yy ... zz zz 7E

 

7E - стартовый и стоповый байт блока данных

xx - внутренний номер блока. Меняется последовательно от 0 до 3 по кругу.

yy - команда

... - данные специфические для кажной команды

zz - два байта, видимо CRC

 

Команды:

0x23 CMD_DUMP (пустая команда)

0x24 CMD_VERIFY (пустая команда)

0x25 ???

0x50 CMD_USB_FULLDOWNLOAD (пустая команда)

0x60 CMD_USB_DOWNLOAD_UNLOCK

0x70 CMD_USB_INFO

0x80 CMD_USB_SECURITY

0x90 CMD_RESET

0xA0 CMD_USB_UNLOCK (пустая команда)

0xC0 CMD_USB_LOCK

0xDD CMD_USB_WRITE

0xEE CMD_USB_ERASE

0xEF CMD_USB_ERASE

0xF0 CMD_FORMAT

Куда распаковывается? В оперативку? Сколько же ее тогда в аппарате?

Да..., маловероятно...

А почему адрес для прошивки amss_compressed.bin равен 0x00380000 ??

Довольно странный адрес для постоянного хранения прошивки...

И так... посмотрев лог, который любезно предоставил аЛё(76), выяснилось, что amss_compressed.bin уходит в телефон как есть.

Т.е. получается либо распаковка происходит в телефоне в процессе прошивки, либо распаковывается при включении телефона.

Кому нибудь удалось распаковать amss_compressed.bin? И где идет его распаковка при загрузке в телефон?

Я почему то убежден что в прошивальщике... Будем капать... Трудно без аппарата под рукой...

Самое просто что приходит в голову это посмотреть обмен по порту во время заливки прошивки. Кто может проверить?

Привет всем.

Будет ли наше сообщество заниматься созданием патчей под эту платформу?

Насколько я начал разбираться в этом вопросе, основное затруднее - это взлом защиты AMSS и подпись новой прошивки.

Для сименсов энтузиасты написали QMAT. Самсунговские файлы она не берет (

Что будем предпринимать? Или забьем на эту платформу?

Alex/AT, дык вроде для последних Swift-моделек я уже добавил поддержку в прошивальщик. Выложить исходники с исправлениями на Sourceforge руки не доходят, да и разбираться как это делать времени нет.

Читал эту темку http://OldPh.one/index.php?showtopic=37694 ?

f2065,

Чтобы достать "правильные" секунды - найди функцию hcl_06GetCurrentTimeAndDate.

У кого нибудь есть def файл на D780?

На Х700 нормально работает, проверял сразу как была прикручена нормальная работа с ним.

Не работает как раз начиная с D900 и т.д. У этих аппаратов другой протокол обмена в отличии от X700.

По поводу ошибок снятия дампа TFS.

У меня они тоже есть.

Часть программы который отвечает за снятие дампа, а так же работу ком порта я не изменял.

Только что провел экперемент.

Взял оригинальные файлы от версии 0.70 dev beta 0721i. Заменил загрузчик для D900, чтоб не ругался на тип памяти и попытался снять дамп.

Фиг вам... как говорится. Вываливается по тайм-ауту.

Так что успешное снятие дампа на версии 0725 я считаю случайностью... )

 

Так же, в режиме файл-менеджера на включеном телефоне, я у себя не могу скачать файлы с телефона более 50Кб. Вылетает ошибка CRC. Попробуйте у себя так сделать.

В логе порта видно, что до телефона доходит блок данных у которого в середине вырезаны байты.

 

И вообще у меня есть серьезные опасения, что все эти глюки из-за некорректной работы программы с ком портом.

Вопрос такго плана а можна добавить галочку и функцию автовключения, чтоб зря не нажимать кнопку по 100 раз на день)) А то бывает чето не выходит и по 100 раз шьеш дифы.. и каждый раз включать выключать...

По моему в Шлешере Х700 такое было))

Дай мне флэшер который сам включает Х700 и я посмотрю, что можно сделать. На данный момент я таких флэшеров не знаю.

Предлагаю закрыть тему про автовключение.

Выложил обновление.

1. Исправил имя файла swift_v2_l2.bin в архиве.

2. Отключил контроль размера файла при копировании в файл-менеджере. На моделях класса X100, E820 не проверял.

Так-с, с Х700 включённым файл-менеджер работает , но замечены пару косяков.

 

1. В папке Music некоторые файлы отображаются серым, как неактивные, и с ними недоступны опции копирования. Возможно ограничение по размеру (см. скрин)

 

2. Не двигается прогресс-бар и не идёт отсчёт времени при операциях копирования файлов

 

А можно как-то сделать, чтоб был доступ ко всем файлам при включённом телефоне?

Отвечаю по пунктам.

1. Да, есть ограничение на размер. Причину смотри ниже. Но это можно обойти.

2. Прогресс бар и время в окне копирования работают только когда ты копируешь несколько файлов. Там отсчет идет по кол-ву файлов.

 

После изучения кода файл-менеджера при включеном телефоне могу сообщить следующее. Прога сделана под аппараты класса X100 и для более поздних моделей (X700 например) с патчем "Доступ ко всем папкам" работать НЕ будет. Нужно добавлять новый файл-менеджер.

В связи с тем , что я не пользуюсь этим файл-менеджером, дальнейшую его доработку я проводить не планирую.

Выложил новую версию.

Что сделано...

1. Телефоны типов D900 и X700 разнесены в разные группы в связи с различиями в загрузчиках (в часности определение типа NAND).

2. Доработана работа с TFS, как в режиме файл менеджера, так и в "прошивочном" режиме.

3. Увеличина стабильность снятия дампа NOR и NAND.

 

Тестируйте.

Vadiks, Я у себя шью разницу прошивок, хотелось бы, чтоб была возможность заливки разницы без чтения, как это было реализовано в предыдущей версии, при выборе: Блоками по 64Kb

Чтобы было без чтения нужно добавлять опцию для сравнения Блоками по 128Kb. Но это пока не на первом плане...

 

' date='06.04.2008, 7:11' post='352950']

У всех стала дольше проца отключения телефона или только у меня?

Проверю.

 

Vadiks, не мог бы ты добавить в программу возможность запускаться с переходом на последнюю открытую вкладку?

Сделаю.

 

Vadiks, Флешер: OpenSFD_0726, телефон: Е760, при соединении программа пишет неизвестная память, хотя, ранняя версия (070dev0721i) определяла телефон без проблем.

Присылай лог порта при посылке загрузчиков. Посмотрю.

 

С TFS пока геморой... Придется пока подождать.