Jump to content
Old Phone Forum
  • Login

    You are currently not logged in to the forum.

    To comment, upload files, subscribe to answers - you need to login.

Vadiks

Платформа Qualcomm. Будут ли разработки?

Recommended Posts

Привет всем.

Будет ли наше сообщество заниматься созданием патчей под эту платформу?

Насколько я начал разбираться в этом вопросе, основное затруднее - это взлом защиты AMSS и подпись новой прошивки.

Для сименсов энтузиасты написали QMAT. Самсунговские файлы она не берет (

Что будем предпринимать? Или забьем на эту платформу?

Share this post


Link to post
Share on other sites

Привет!Я думаю стоит заняться раскопками ,тк все больше и больше начали появляться Qualcomm!Сам уже 2 ой месяц ковыряюсь с прошивкой


Алё-алё Хопчик

Долблю Quallcomm)

Прошивка u900/u800

Установка Java на Qualcomm 1/2

Share this post


Link to post
Share on other sites

Кому нибудь удалось распаковать amss_compressed.bin? И где идет его распаковка при загрузке в телефон?

Я почему то убежден что в прошивальщике... Будем капать... Трудно без аппарата под рукой...

Самое просто что приходит в голову это посмотреть обмен по порту во время заливки прошивки. Кто может проверить?

Share this post


Link to post
Share on other sites

Кому нибудь удалось распаковать amss_compressed.bin? И где идет его распаковка при загрузке в телефон?

Я почему то убежден что в прошивальщике... Будем капать... Трудно без аппарата под рукой...

Самое просто что приходит в голову это посмотреть обмен по порту во время заливки прошивки. Кто может проверить?

Я могу!Только объясни как и ,что делать!


Алё-алё Хопчик

Долблю Quallcomm)

Прошивка u900/u800

Установка Java на Qualcomm 1/2

Share this post


Link to post
Share on other sites

И так... посмотрев лог, который любезно предоставил аЛё(76), выяснилось, что amss_compressed.bin уходит в телефон как есть.

Т.е. получается либо распаковка происходит в телефоне в процессе прошивки, либо распаковывается при включении телефона.

Share this post


Link to post
Share on other sites

И так... посмотрев лог, который любезно предоставил аЛё(76), выяснилось, что amss_compressed.bin уходит в телефон как есть.

Т.е. получается либо распаковка происходит в телефоне в процессе прошивки, либо распаковывается при включении телефона.

А как можно выяснить,в телефоне он распаковываеться или при включении?


Алё-алё Хопчик

Долблю Quallcomm)

Прошивка u900/u800

Установка Java на Qualcomm 1/2

Share this post


Link to post
Share on other sites

распаковывается при включении телефона

Куда распаковывается? В оперативку? Сколько же ее тогда в аппарате?


Мы рождены, чтоб сказку сделать пылью...

 

VishnyaSoft.com - мои программы и мидлеты для телефонов Samsung

 

Классификация телефонов Samsung

 

Угадай название телефона

Share this post


Link to post
Share on other sites

Куда распаковывается? В оперативку? Сколько же ее тогда в аппарате?

Да..., маловероятно...

А почему адрес для прошивки amss_compressed.bin равен 0x00380000 ??

Довольно странный адрес для постоянного хранения прошивки...

Share this post


Link to post
Share on other sites

Я решил залезть в Boot файлы, а именно загрузчик прошивок. Может там чего обнаружим... ;)

Формат блока данных который посылается в телефон:

 

7E xx yy ... zz zz 7E

 

7E - стартовый и стоповый байт блока данных

xx - внутренний номер блока. Меняется последовательно от 0 до 3 по кругу.

yy - команда

... - данные специфические для кажной команды

zz - два байта, видимо CRC

 

Команды:

0x23 CMD_DUMP (пустая команда)

0x24 CMD_VERIFY (пустая команда)

0x25 ???

0x50 CMD_USB_FULLDOWNLOAD (пустая команда)

0x60 CMD_USB_DOWNLOAD_UNLOCK

0x70 CMD_USB_INFO

0x80 CMD_USB_SECURITY

0x90 CMD_RESET

0xA0 CMD_USB_UNLOCK (пустая команда)

0xC0 CMD_USB_LOCK

0xDD CMD_USB_WRITE

0xEE CMD_USB_ERASE

0xEF CMD_USB_ERASE

0xF0 CMD_FORMAT

Share this post


Link to post
Share on other sites

Из лога:

 

Запрос:06.10.2008 1:38:47.90564

55 4D 54 53 20 44 4F 57 4E 4C 4F 41 44 45 52 7E   UMTS DOWNLOADER~
00 80 39 37 30 30 44 34 36 38 45 43 46 35 34 35   .€9700D468ECF545
34 00 52 75 73 73 69 61 00 00 00 00 00 00 00 00   4.Russia........
00 00 FD 00 05 03 03 00 00 00 00 00 00 00 00 00   ..э.............
00 00 A9 FE 05 20 00 00 00 00 E7 33 E9 48 8C 1A   ..©ю. ....з3йHŒ.
7E                                                ~               


Ответ:06.10.2008 1:38:47.93664 (+0.0000 seconds)

7E 00 02 6A D3 7E                                 ~..jУ~          

Запрос:06.10.2008 1:38:47.95264 (+0.0156 seconds)

7E 01 70 FF 83 7E                                 ~.pяƒ~          

Ответ:06.10.2008 1:38:47.95264 (+0.0000 seconds)

7E 01 70 4E 4F 48 50 03 55 39 30 30 00 00 00 00   ~.pNOHP.U900....
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
00 00 00 00 00 00 00 00 61 64 64 72 65 73 73 00   ........address.
00 00 4E 75 6D 62 65 72 00 00 00 00 00 00 00 00   ..Number........
00 00 00 00 00 00 00 49 4D 45 49 4E 55 4D 00 00   .......IMEINUM..
00 00 00 FF FF FF FF 00 00 00 00 00 00 00 00 00   ...яяяя.........
00 04 00 00 00 06 00 00 00 14 00 00 00 1A 00 00   ................
00 2A 00 00 00 38 00 00 00 20 02 00 00 60 04 00   .*...8... ...`..
00 70 04 FF FF FF FF 4F 4F 48 50 44 6F 77 6E 6C   .p.яяяяOOHPDownl
6F 61 64 65 72 00 00 00 00 00 00 00 00 00 00 05   oader...........
1E 00 00 5A 4F 48 50 00 00 02 00 40 00 00 00 00   ...ZOHP....@....
08 00 00 02 00 00 00 00 00 00 00 00 00 00 00 00   ................
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00   ................
00 00 00 00 00 00 00 7A 23 7E                     .......z#~      

Запрос:06.10.2008 1:38:47.96864 (+0.0156 seconds)

7E 02 EE 00 00 38 00 CF A7 C0 01 E6 88 7E         ~.о..8.П§А.жˆ~  

Ответ:06.10.2008 1:38:47.96864 (+0.0000 seconds)

7E 02 02 6A D3 7E                                 ~..jУ~          

Запрос:06.10.2008 1:38:47.03064 (+0.0625 seconds)

7E 03 DD 00 00 38 00 00 40 77 35 00 EA 6C 90 43   ~.Э..8..@w5.кlђC
это пошла загрузка файла

 

видна последовательнасть команд при загрузке AMSS.

 

CMD_USB_SECURITY

CMD_USB_INFO

CMD_USB_ERASE - стереть 0x01C0A7CF(29403087) байт начиная с адреса 0x00380000

и затем идет загрузка файла в телефон блоками по 0x4000 байт.

 

Отсюда видно что прошивальщик очищает ровно столько места в телефоне, сколько занимает файл AMSS на диске минус 0x0400 байт служебной информации в конце файла.

Соответственно можно сделать вывод, что прошивка попадает в телефон в запакованном виде.

  • Like 1

Share this post


Link to post
Share on other sites

Запакованном или зашифрованном?


Мы рождены, чтоб сказку сделать пылью...

 

VishnyaSoft.com - мои программы и мидлеты для телефонов Samsung

 

Классификация телефонов Samsung

 

Угадай название телефона

Share this post


Link to post
Share on other sites

Запакованном или зашифрованном?

Пока не знаю. Но судя по названию файла amss_compressed.bin, то я думаю в запакованном.

Share this post


Link to post
Share on other sites

В secdload.usb который занимается заливкой прошивки нашел вот такие строчки.

"RSA part of SSLeay 0.9.0b 29-Jun-1998"

"..\..\..\..\..\..\SHP3\Security\Crypto\SecCryptoSuite\SecCrSSLeaylib.c"

"..\..\..\..\..\OEM\Tfs4Driver\SysSecureBoot.c"

"Eric Young's PKCS#1 RSA"

"..\..\..\..\..\..\SHP3\Security\Crypto\SecCryptoSuite\SecCrRSA.c"

"..\..\..\..\..\..\SHP3\Security\Crypto\SecCryptoSuite\SecCrSSLeayRSA.c"

"..\..\..\..\..\..\SHP3\Security\Crypto\SecCryptoSuite\SecCrMem.c"

"..\..\..\..\..\..\SHP3\Security\Crypto\RND\CrRandSeed.c"

"..\..\..\..\..\..\SHP3\Security\Crypto\BN\CrBNLib.c"

"..\..\..\..\..\..\SHP3\Security\Crypto\RSA\CrRSALib.c"

"..\..\..\..\..\..\SHP3\Security\Crypto\BN\CrBNBlind.c"

"..\..\..\..\..\..\SHP3\Security\Crypto\SHA1\CrSHA1One.c"

"..\..\..\..\..\..\SHP3\Security\Crypto\RSA\CrRSAEay.c"

"..\..\..\..\..\..\SHP3\Security\Crypto\BN\CrBNMont.c"

"..\..\..\..\..\..\SHP3\Security\Crypto\BN\CrBNShift.c"

"..\..\..\..\..\..\SHP3\Security\Crypto\SMEM\CrSMemMgr.c"

 

Есть над чем задуматься... есть от чего оттолкнуться...

Share this post


Link to post
Share on other sites

Vadiks, это всё криптографические функции, а AMSS именно сжат! А криптография мало ли для чего? Может секретная информация шифруется, типа имей, мсл... :ak:

Share this post


Link to post
Share on other sites

Не знаю в тему или нет:но формат происходит только при прошивке файла ffs ,а не amss_compressed.bin


Алё-алё Хопчик

Долблю Quallcomm)

Прошивка u900/u800

Установка Java на Qualcomm 1/2

Share this post


Link to post
Share on other sites

adiks, это всё криптографические функции, а AMSS именно сжат! А криптография мало ли для чего? Может секретная информация шифруется, типа имей, мсл...

Не думаю что хэш функции тут для криптоваия инфы, скорее всего там что то подписи...могу предположить что блоки проверяются по хешам :laugh3:

 

 

P.S. кстати в нокиях контент(это часть прошивки) заливается пакованным а потом по команде распаковываются внутри телефона


Жизнь - пьяный поэт, я - слово.

Я жесток и грустен, когда ему херово.

Жизнь - старый поэт, жизнь - усталый поэт,

А я... Что я? Его инструмент!...

 

Разработка Broadcom: http://www.rk-team.net/

Новости проекта QuB на Twitter

Share this post


Link to post
Share on other sites

Не думаю что хэш функции тут для криптоваия инфы

 

зря ты так не думаешь :laugh3:

 

кстати в нокиях контент(это часть прошивки) заливается пакованным а потом по команде распаковываются внутри телефона

 

и тут также

Share this post


Link to post
Share on other sites

спорить не буду..близко не рассматривал..просто привел пример с сименса..там засылается таблица хешей и потом блоки а тело по хешам сверяет блоки


Жизнь - пьяный поэт, я - слово.

Я жесток и грустен, когда ему херово.

Жизнь - старый поэт, жизнь - усталый поэт,

А я... Что я? Его инструмент!...

 

Разработка Broadcom: http://www.rk-team.net/

Новости проекта QuB на Twitter

Share this post


Link to post
Share on other sites

Vadiks же написал, что упоминания о функциях подписи он нашел в лодыре... так что какой ИМЕЙ???

Прошивка подписана. Возможно, что не просто весь файл подписан, а каждый блок подписан, например, sha-1, а весь файл RSA. Лодырь перед заливкой проверяет подписи и если нашел косяк, то должен не заливать такой файл...

Попробуйте поменять содержимое файла, а потом залить (если конечно тело можно будет восстановить после неудачной прошивки..).

Ну и если я прав, то надо искать дыру в лодыре...

Share this post


Link to post
Share on other sites

IM-J, ну тебе поди виднее :) спорить не буду...

Share this post


Link to post
Share on other sites

кстати, о каком конкретно телефоне идет речь? я вот просто сравнил amss от U700 и от U900 - они по-разному сжаты... да и rc1-файлы тоже

Share this post


Link to post
Share on other sites

кстати, о каком конкретно телефоне идет речь? я вот просто сравнил amss от U700 и от U900 - они по-разному сжаты... да и rc1-файлы тоже

U900


Алё-алё Хопчик

Долблю Quallcomm)

Прошивка u900/u800

Установка Java на Qualcomm 1/2

Share this post


Link to post
Share on other sites

Вот форум человечка который разбирается с qualcomm на сименсах и HTC. Он как раз и написал QMAT. Поддержка самсунга вроде как планируется, но когда он мне не ответил.

http://forum.revskills.de/

Share this post


Link to post
Share on other sites

Вот форум человечка который разбирается с qualcomm на сименсах и HTC. Он как раз и написал QMAT. Поддержка самсунга вроде как планируется, но когда он мне не ответил.

http://forum.revskills.de/

 

а что конкретно делает QMAT?

Share this post


Link to post
Share on other sites

Вот форум человечка который разбирается с qualcomm на сименсах и HTC. Он как раз и написал QMAT. Поддержка самсунга вроде как планируется, но когда он мне не ответил.

http://forum.revskills.de/

Он написал что вроде уже как бы начал здесь

 

Без перевода :), на примере U700

I am trying to find a solution for Samsung qualcomm phones.

 

I will describe here the presumed security sytem on this phones:

 

I will take for example an U700 phone.

AMSS modem code can be found on this archive:

 

http://OldPh.one/index.php?showtopic=50748&Old=rapidshare_com_/files/152170981/U700XXHC1.zip.html

 

Browsing the phone FS with QPST, there is a folder named "SECURITY"

In that folder, there is a file "Sysinfo"

 

http://OldPh.one/index.php?showtopic=50748&Old=rapidshare_com_/files/152176008/sysinfo.zip.html

 

That file is encrypted somehow... i think is RSA but i am not sure.

The ideea is that after every restart, the file content is completly changed, crypted with a different key (i think).

The decrypted sysinfo file should be in plain text and contain parameters like metwork code that the phone is locked on: ex: "24015"

 

One more thing: if i lock/unlock the phone without restarting, i get the fallowing sittuation:

 

1.Read the sysinfo file from phone

2.lock the phone to any network (entering the lock code by keypad)

3.Read the sysinfo file

 

After comparing the readed files before and after locking the phone, i found that first 16 bytes from sysinfo file remain the same, wile the rest of the file content is totaly changed.

Anyway, after restarting the phone, the entire file content is changed, including the first 16 bytes.

 

One more thing: there is anumber on phone memory like: "UniqueNumber: 70520000269878"

that have something to do with that encryption.

 

I try to figure out how the file may be encrypted: what algo and parameters are used to encrypt/decrypt that file.

Share this post


Link to post
Share on other sites
Guest
This topic is now closed to further replies.



×
×
  • Create New...