CX70 есть ли выход ???

[vim1]

Hi All !
Принесли сабж с диагн - НЕ ВКЛ.
Разбираю, поключаю к Папуасу ч-з ТП зачитываю: находит ╟X70 v43, коды зачитывает. Прошиваю туда фулл с рабочего - ситуация не меняется. Записываю новый буткор в22 - "Заливаем рабочий Фулл любым флэшером без области BCORE (ТП и пароли не требуются!)." а вот тут и грабли !!! НЕ ХОЧЕТ ОН ТЕПЕРЬ НИЧЕМ ПРОШИВАТЬСЯ, "никакие пароли теперь не пойдут для него!" вОТ ТЕПЕРЬ НИ ФУЛЛ В НЕГО ПРОШИТЬ, НИ ФРЕЗУ СДЕЛАТЬ ??????
userswup выдаёт Nothing received after BOT-Block1 (буткор новый)
P S сильно не кидайтесь..... может какой момент и упустил....

[PV`(Papuas)]

Автор оригинала vim1
Hi All !
Принесли сабж с диагн - НЕ ВКЛ.
Разбираю, поключаю к Папуасу ч-з ТП зачитываю: находит ╟X70 v43, коды зачитывает. Прошиваю туда фулл с рабочего - ситуация не меняется. Записываю новый буткор в22 - "Заливаем рабочий Фулл любым флэшером без области BCORE (ТП и пароли не требуются!)." а вот тут и грабли !!! НЕ ХОЧЕТ ОН ТЕПЕРЬ НИЧЕМ ПРОШИВАТЬСЯ, "никакие пароли теперь не пойдут для него!" вОТ ТЕПЕРЬ НИ ФУЛЛ В НЕГО ПРОШИТЬ, НИ ФРЕЗУ СДЕЛАТЬ ??????
userswup выдаёт Nothing received after BOT-Block1 (буткор новый)
P S сильно не кидайтесь..... может какой момент и упустил....

Видать "новый BCORE" так и не записал.
userswup выдаёт Nothing received after BOT-Block1
И ты свупом пользоваться неумем?
UserSwup даже чистую флеху (все FF) пишет!
Если сложно загнать кору в Папуасии - загоняй её туды в V_klay лоадером x65(Test Point + Pause 1.3s) полученным в PU по кнопе "PV VKD"...
А если нет файла правильно расчитанного для данного тела коры (особо HASH) - то пролей сначало вместо BCORE файло со всеми байтами FF. Потом UserSwup сгененри с ключами для данного тела и BCORE из чужого Full-а и лей...

[vim1]

добрался до истины !!!
понизил скорость до 56 и Папуания выдала
Внимание: ошибка CRC записи сегмента A0000000! D48E<>D48A
BCORE enable...
Новый BCORE записан.
__________________________
......................................................
Спасибо, Виктор, за помощь !

[PV`(Papuas)]

Автор оригинала vim1
добрался до истины !!!
понизил скорость до 56 и Папуания выдала
Внимание: ошибка CRC записи сегмента A0000000! D48E<>D48A
BCORE enable...
Новый BCORE записан.
__________________________
на высоких скоростях прошивания он этого не определил

А на 56 он вооще не пишет, одни ЕГГОГ - таймауты встроенного вачдога в PMB превышаются...

[vim1]

Автор оригинала PV`(Papuas)
А на 56 он вооще не пишет, одни ЕГГОГ - таймауты встроенного вачдога в PMB превышаются...

проверил. на 460 всё ОК

[vim1]

Автор оригинала PV`(Papuas)

Если сложно загнать кору в Папуасии - загоняй её туды в V_klay лоадером x65(Test Point + Pause 1.3s) полученным в PU по кнопе "PV VKD"...

??? нет HASHa - как расчитать ключи. Есть только
FlashID: 0089,880D
BCORE чистый!
OTP ESN: 5A0DE6B1
OTP IMEI: 353542002809261

А если нет файла правильно расчитанного для данного тела коры (особо HASH) - то пролей сначало вместо BCORE файло со всеми байтами FF.

Максимум что могу - это стереть кору. Все операции с ТП к успеху не привели.

Потом UserSwup сгененри с ключами для данного тела и BCORE из чужого Full-а и лей...

[PV`(Papuas)]

Автор оригинала vim1
??? нет HASHa - как расчитать ключи. Есть только
FlashID: 0089,880D
BCORE чистый!
OTP ESN: 5A0DE6B1
OTP IMEI: 353542002809261

У "истинных" телефонов Сименс больше данных и нет.
Всякие там Skey, Bkey, Hash, локи-разлоки-мастера криптованы этими числами.
Придумай сам новый Skey и сгенери Bkey и Hash
(кнопка "Пересчитать HASH и BootKey из ESN и SKEY)!
По этим данным и сделай пересчет всех ключей в флэш или в файле фулфлэш (в PU от Ver 0.5.6) и заливай. Больше ничего и не надо!

Немного теории ключей Сименсов (или <что ещё не совсем осознали и украли платные писатели>):

В “истинных” телефонах Сименса, построенных на ARM типе процессора, все ключи криптуются базовыми значениями всего двух ключей ESN и IMEI записанными в OTP (одноразово программируемую область микросхемы Flash). Остальные ключи никак не привязаны к аппаратуре и их можно “пересчитать” и перезаписать.

ESN (Electronic Serial Number) – Обычно 32-битное число, составленное из серийного номера микросхемы Flash. Серийный номер микросхемы Flash прописывает производитель. Он находится в OTP области микросхемы и содержит от 8-ми байт. Каждая микросхема Flash имеет неповторимый серийный номер. Смена (перезапись) его невозможна. Часто ESN путают с FlashID старых Сименсов и представляют в виде последовательности из 4-рех байт, как они хранились в старых телефонах и назывались по сименовски до 2002 г. – FSN (Flash Serial Number).

IMEI (International Mobile Equipment Identifier) - прописан в OTP область Flash на заводе Сименса. После записи IMEI блок OTP “закрывают от записи” – прописав специальный бит в Flash микросхеме. После этого запись и смена в данных в области OTP невозможна. При замене на новую (чистую) Flash номер IMEI в области OTP микросхемы Flash отсутствует, но она открыта для записи. Для правильного прописывания номера IMEI в OTP область новой Flash используйте функцию Freeze, предварительно подготовив все “секретные” блоки EEPROM и записав специальный “Чистый” или “Новый” BCORE с остальными данными прошивки. Внимание: После Freeze доступ к OTP будет закрыт и сменить IMEI в OTP будет невозможно! Внимательнее проверяйте вводимый IMEI в новую Flash! Второго раза для новой Flash микросхемы не будет!

В телефоне есть дополнительные функции (по протоколу BFC) поэтапной записи OTP области.

Для их работы необходим ввод в телефон ключа Skey. Но использовать их не имеет особого смысла, т.к. область OTP на пользовательском телефоне уже закрыта от записи. При замене на новую Flash делать это без дополнительных проверок рискованно и лучше использовать функцию “Freeze” - она делает дополнительные проверки перед записью IMEI в OTP зону.

IMEI участвует в криптовании и присутствует в 52, 76, 5008, 5009, 5077, 5121, 5123 блоках EEPROM, а так же прописан и в область BCORE.

SKEY (сервисный ключ) - ключ из 8-ми десятичных цифр для ремонтных и отладочных работ с телефоном. Он открывает разные уровни доступа к данным телефона по разным протоколам работы с телефоном. На сегодня имеется три-четыре варианта модификаторов у данного ключа в зависимости от типа телефона. Модификаторы введены для ограничения доступа к некоторым “секретным” данным в телефоне.

Основные модификаторы доступа по приоритету:

“D” – для сторонних разработчиков (частичный доступ),

“S” – для сервисных центров (частичный доступ),

“X” – для завода (полный доступ).

В старых телефонах ввод ключа без модификатора воспринимается телефоном как ключ для сервисных центров с частичным доступом.

Программа x65PapuaUtils использует только максимальный модификатор с полным доступом. Для смены уровня доступа на максимальный, для АСЦ level 2.5e, существует кнопочка “Чтение EEP Skey”, которая на уровне доступа “S” считывает SKEY и по подтверждению вводит его с “X” модификатором.

Значение для проверки данного ключа закриптовано и храниться в 5121 блоке EEPROM.

После правильного ввода ключ хранится в 5122 блоке EEPROM.

BKEY (Boot Key) – это ключ для загрузки произвольного бутлоадера в телефон.

Данный ключ состоит из 16 байтной хеш полученной по алгоритму MD5 из строки с расширением до 16 байт в которую входят ESN и SKEY.

При посылке данного ключа в бутлоадере, телефон производит над ним функцию MD5 расчета хеш и далее сверяет этот хеш с HASH записанной в области BCORE.

При вводе правильного SKEY в “Service mode” ключ BKEY прописывается в блок 52 EEPROM и телефон уже не сверяет ключи для загрузки произвольного бутлоадера.

При “Чистом” или “Новом” BCORE запись HASH пуста и BKEY так же не проверяется.

HASH (MD5 Хеш от Bkey) – контрольная подпись для проверки ключей BKEY, ESN+SKEY, и других блоков и ключей, зависящих от ESN и SKEY.

Данный ключ состоит из 16 байтной хеш полученной по алгоритму MD5 из строки BKEY и прописан в области BCORE по адресу 0xA0000238. В “Чистом” или “Новом” BCORE данная запись пуста. Она рассчитывается по данным из EEPROM и прописывается телефоном по функции “Freeze”.

MKEY (Master keys) – 6-ть разных ключей из 8-ми десятичных цифр для отключения различных блокировок:

*#0000*xxxxxxxx# - Блокировка Сети

*#0001*xxxxxxxx# - Блокировка Поставщика услуг

*#0002*xxxxxxxx# - Персонализация Поставщика услуг

*#0003*xxxxxxxx# - Телефонный Код

*#0004*xxxxxxxx# - Блокировка Абонентского аппарата Сети

*#0005*xxxxxxxx# - Только эта Сим

Где “xxxxxxxx” – соответствующий мастер ключ.

Закриптованы и хранятся в 5121 блоке EEPROM.

HWID (HardWare IDentifycial number) – десятичный номер модели телефона. В криптографии не участвует.

…

Freeze – это фиксация всех ключей в BCORE телефона и ОТП из заранее подготовленных ЕЕПРОМ блоков, с другими дополнительными разметками. Если BCORE чистый – телефону не нужны никакие пароли, но не работают свупы, а телефон пашет на 100%.

Для работы функции Фрезы необходим правильный расчет и запись блоков 52, 76, 5008, 5009, 5077, 5121, 5122, 5123 и “Чистый коре”. Данные для расчета блоков берутся из страницы “Коды”, а номер “отката” из страницы “Флэш”. Это заводской метод, а не патч. После ввода ИМЕЙ в данной функции, телефон всё делает сам и прописывает все коды и разметки в БКОРЕ и если Флэш новая и чистая, то и ИМЕЙ в ОТП область тоже. Данный метод работает с A50 моделей телефонов, но на моделях ниже С65 немного другой интерфейс, т.к. там другой процессор, но он более изучен всеми и я не вижу смысла это делать в своей программе-тесте.

[n_lan]

Автор оригинала PV`(Papuas)
Немного теории ключей Сименсов (или <что ещё не совсем осознали и украли платные писатели>)

наконец-то МАНУАЛ !!!
блин, всю жизнь хотел быть программистом.

Виктор!!! Но ведь- ТАЛАНТ!!!!!!!!!!!!!!!!!!!!!!

[n_lan]

deleted

[PV`(Papuas)]

Автор оригинала n_lan
наконец-то МАНУАЛ !!!
блин, всю жизнь хотел быть программистом.

А я не программист. И не Хакер!
Просто пробегал мимо

[phase]

познавательно, кое чего для себя уяснил, спасибо.
Вот интерессно можно каким либо образом переформатить файловую систему в бзыкающих Х60 сименсах, а то сливать епром, писать фул и родной епром обратно долговато получаеться...
PS Это так, к слову...
WBR

[PV`(Papuas)]

Автор оригинала phase
познавательно, кое чего для себя уяснил, спасибо.
Вот интерессно можно каким либо образом переформатить файловую систему в бзыкающих Х60 сименсах, а то сливать епром, писать фул и родной епром обратно долговато получаеться...
PS Это так, к слову...
WBR

Всё можно, но с дешовыми телефончиками пусть занимаются "платные" программеры