Просмотр полной версии : Хакаю продиджи бут лоадер
andreyka3
06.02.2004, 22:47
как писал зулея нашел последовательность:
b1 73 e6 5a ab 47 8e 0d 1a 34 68 0b
это я так понял типа ключ к пакетам апдейта
ещё вижу:
8e dc 3b 39 bf 81
пока не понял что это за байты
ещё вижу что бут лоадер не ставит защиту
на проц после апдейта фирмвари
поможет инфа чтоб проапдейтить хекс, который
в инете валяется до новой версии ?
ещё вижу что бут лоадер не ставит защиту
на проц после апдейта фирмвари
на практике получается что ставит защиту в противном случае кто нибудь уже выложил новую прошивку НЕХ 0105 для пика.
andreyka3
07.02.2004, 00:43
скорее апдейтят защищенный проц, поэтому и не могут считать
а в дизассемблированом коде я не нашел записи в конфигурацию
andreyka3 , смотрю тебе получается дизасмить... если можешь помочь - скину тебе прогу, которая "привязана" к одному боксу. Надо вытащить номер (или номера) по которым прога определяет "свой" бокс... Если сможешь помочь - дай знать.
andreyka3
07.02.2004, 01:03
думаю что навряд-ли если у меня в руках нет бокса
SergeyGSM
07.02.2004, 01:12
andreyka3
Молоток !!! Уважаю!!!
Я с пиками в ASM не так как с AVR и CIGNAl, по-этому делаю как черепаха. Тем более 18 до этого не ASMил.
Очень интересно :
1 ДИЗ подсчета CS(я сделал но есть вопросы)
2 Если вскрыл Boot Loader, то его команды и их формат
Будем патчеры ломать
andreyka3
07.02.2004, 01:55
ой
пока лениво разбиратся :)
попозже
если тебе не лень скажи куда бут выслать
SergeyGSM
08.02.2004, 01:47
andreyka3
если тебе не лень скажи куда бут выслать
[email protected]
помогите разобратса :
я тут поиграл с "prodigy repair tool" и как видно он меняет bootloader ( и нетолько)...
самое интересное что V615 и после "repair" видет трубу , но работает тат какбы на IBM286sx ...
может кто покопает поглубже...
Вот в помощь дизасм pic18
Вот в помощь дизасм pic18
andreyka3
09.02.2004, 02:51
начиная с адреса 640h уже не бутлоадер
это у тебя уже в теле изменения
а вот если апдаитить 401.hex с "code pretection" off ,
то bootloder совсем стираетса...
andreyka3
10.02.2004, 01:25
короче, если у вас нет бокса или прошивки 1,5 то патч 1,615
ничем не поможет, поскольку патч 1,615 это всего 648 байт или 432 раскриптованных байта
а в прошивке около 4тыщ байтов :)
кстати, если у кого есть желание поподбирать ключи - то вперед :) после раскриптовки 12 байт последние три байта всегда равны нулю...
алгоритм есть в интернете
кстати, для апдейта используется один из двух ключей, или оба :)
вперед !
ну вот теперь понятно что ВПЕРЕД дергаться нет смысла так как прошивки оригинальной 0105 у нас нет. патчер 1.615 был последней надеждой но если в нем 648 байт значит он пишет пик частично а это физически возможно ?
на програматоре он сначало его стирает целиком и проверяет FF а потом только шьет .
andreyka3
10.02.2004, 16:23
бутлоадер может переписывать по 64 байта
в бутлоадере всего три команды:
1) закриптовать серийный номер и послать компьютеру
2) принять 64 байта, раскриптовать 1-м ключом и зашить по указанному адресу
3) принять 64 байта, раскриптовать 2-м ключом который состоит из серийного номера и 1-го ключа и зашить по указанному адресу
никаких команд проверить контрольную сумму нет
64 байта передаются 8 раз по 12 байт
раскриптованные 12 байт есть 8 байт данных, 1 байт неизвестно, и три байта 00
если три байта 00 не 00, то донгл сразу ошибку возвращает (т.е. ключ не тот)
но в принцыпе patcher меняет только серииник ?
так что без сервера - пользы никакои ?
а адреса по каторым меняются данные - известны ?
R.
andreyka3 - только неговори что серийник тот, что в еепроме пика сидит (и мы его менять можем...) :Q
или всетаки меняя тот серийник надо чето в бутлодере менять?
andreyka3
10.02.2004, 17:27
я вообще не знаю что в еепроме (бут в еепром не ползает)
во флеше все может апдейтиться начиная с адреса 600h
а там:
org 600h
tab_data
db 12h,0CDh,0abh,34h,76h,0fdh,33h,20h,66h,40h,0dfh,0a4h
get_key
bsf PCLATH,2
bsf PCLATH,1
addwf PCL
nop
retlw 0b1h
retlw 73h
retlw 0e6h
retlw 5ah
retlw 0abh
retlw 47h
retlw 08eh
retlw 0Dh
retlw 1Ah
retlw 34h
retlw 068h
retlw 0bh
org 62Ch
sn
db 8eh,0dch,3bh,39h,0bfh,81h
andreyka3
10.02.2004, 17:30
как видно серийный номер 6 байт т.е. 48 бит
2в48 степени = 281 триллион ключей :)
пик где-то 24 тыщи операций тратит на одно декодирование
при частоте 1 920 000 операций в секунду нетрудно посчитать что правильный серийник подбирать пиком 111 с половиной тыщ лет :)))))))))))
надо Зулеа иглесиса трясти на прошивку 0105.
а если бы мы поменяли серийник в етих 6 байтах на другой (не 5101), то официальный апдейт через сервер раньше прошол бы без проблем ?
R.
Очень большое подозрение что серийник в этих 6 байтах вовсе не 5101... если бутлодер не сует нос в еепром. Достаточно из этих 6 байтов пару младших битов сменить и бокс перестает быть клоном...
@Iksas
http://www.gsm-support.biz/showthread.php?t=315
насколько я понял - 5101 ...
R.
Тоесть нам всетаки прийдется раскодировать этот сериал ....
SergeyGSM
11.02.2004, 03:34
andreyka3
бутлоадер может переписывать по 64 байта
в бутлоадере всего три команды:
1) закриптовать серийный номер и послать компьютеру
2) принять 64 байта, раскриптовать 1-м ключом и зашить по указанному адресу
3) принять 64 байта, раскриптовать 2-м ключом который состоит из серийного номера и 1-го ключа и зашить по указанному адресу
никаких команд проверить контрольную сумму нет
64 байта передаются 8 раз по 12 байт
раскриптованные 12 байт есть 8 байт данных, 1 байт неизвестно, и три байта 00
если три байта 00 не 00, то донгл сразу ошибку возвращает (т.е. ключ не тот)
Пивет!
А можешь в качестве примера выложить одну посылку в 12 БАЙТ, есть мысль...
если подтвердиться - расскажу.........
в бутлоадере CS действительно нет, но есть над чем поиграться!
andreyka3
11.02.2004, 13:34
F1 4E 72 8D 6A 0E 62 FA 09 7C 01 2B
SergeyGSM
13.02.2004, 13:06
andreyka3
Если мне неизменяет память, то проц от компа получает по 4 бита, и отдает по 4, исходя из этого 12 бай передаются за 24 процедуры передачи?
andreyka3
13.02.2004, 15:34
точно - только какая от этого польза ? :)
я так понимаю чтоб что-то сделать, нужно извлечь закриптованые 6-ть байт из оригинального донгла, расшифровать, вставить в клон и попробовать
проапдейтить
если проапдейтиться, то считать прошиву
других идей у меня нет
пока думаю как связаны ключи в алгоритме шифрования и дешифровки
вот придет пик - напишу софтинку извлекать эти 6-ть байт
SergeyGSM
19.02.2004, 01:58
Всем привет!
Я , наконец-то , закончил срочный заказ и снова в нете!
Тяжело проги писать под незнакомые процы!
Да еще и периферии намутили в нем уйму- ух кайф….
Не чипок, а чудо!!!
Всем рекомендую CIGNAL
Просто сказка а не проц!!!
andreyka3
Врядли поможет пик!
У меня апдейт проходил по схеме:
1 коннект с серваком-- отказ в соединении...
2коннект с серваком-- отказ в соединении...
3 замена серийника
4 коннект с серваком-- отказ в соединении...
5 замена срока изготовления, продажи и версии на 1,02
6 коннект с серваком-- отказ в соединении...
7замена версии на 1,00
8 коннект с серваком--снеck hardware version,send beckup version, check box firmware..... зависалово......рестарт.....
после этого я законектился и прописался.
Все бы нечего да вот пик неполностью перешивается при обновлении.Вот так и получился полуклон.Но разлок работает, что странно-это основное отличие от простого изменения байтов в прошивке.....
я попробую продолжить начатое.Хотя этот заказ меня чуть-чуть сбил с мысли
Серега, иди домой спать, а то с этим продижи скоро вообще башней поедешь... :-)
HI, ALL!!!!
Сергей GSM!
Ты что-то мало пишешь ,можно подумать остановилась разработка . Знакомый купил в Польше фирменный бокс Prodigy , я его брал разбирал и ззарисовал,
хотел прошивку посмотреть ,но побоялся отпаивать
в примаянном положении не смог считать наверное
не так подключал ,но это ладно, но мне не понравилась его работа , лампочки две горят постоянно ,одна питание бокса ,другая телефона , питание на телефон, оно имеется 5,8 вольт .UEM работает через 10 раз пишет
лоадер еррор ,а потом нормально, но может и телефон
был виноват ,и последнее разблокировка на 90 % останавливалась ,потом повторяешь проходит нормально тело было 8310 .Купил его на русские это будет 18 тысяч рублей. И последнее не знаю как так
на плате ,после перевода была надпись ,что-то связано c компанией Виликобретании ,они почему-то прoграмное обеспечение делали.
Ну Вот ПОКА!!!
SergeyGSM
01.03.2004, 19:36
casio
так и есть
Prodigy Team и есть аглицкая команда, а сами железяки паяют кому не лень...
Судя по описанию внешнего вида у твоего знакомого коробка производства славного города Николаев
Если есть картинка выложи, определимся с производителем...
Ну что все затихли? Все упдейтились ? У кого 1.615 софт работает? У меня да. :Q А может кто-нить и новейший запустил?
У меня 1.615 работает ,попробывал 1.700 яшик не видет.
@Iksas что у тебя работает ? у меня работает только флешь так как бокс самодельно клонированный и прошивка 0099.
анлок не работает и УЕМ Тол тем более.
С дцт3 работает все что в нем есть , с дцт4 флэширование . Остального пока непробовал - подходящего для экспериментов тела небыло... (эта фигня- меню эдитор - работает, уем тулза запускается, тел. читает, но дальше пробовать побоялся (бэкап...) :o )
Вобщем нужен человек, умеющий переделывать проги... :soska:
Дцт3 работает только 3210 не пишет,дцт4 только флаш нормально работает ,отлочка работает на 90% я думаю у меня это связано то что стоит 24LC128 вместо 24LC256 зато калькулятор работает,уем тулс не работает уем не прописывает хотя инфу читает ,я уем толс запускас с 1.500 токже работал как и 1.615 не до конца ,ведь нормального хекса 105 нету ,а есть просно 099 периписана дата и версия.
И всетаки грустно: есть прога, содержащая 1.10 прошивку, есть репайрер (с 1.09 прошивкой), но нехватает мозгов - как все это добро заставить работать без 1.05 прошивки ... :(
п.с. а может Сергей расскажет, как он контрольные суммы под патчер переделывал - авось поможет... :rolleyes: :buxlo:
VasiliuS
11.03.2004, 15:38
привет!
у кого есть хекс, который реально флешит под 615, а не убивает тело? разлочна не интересует...
WBR VasiliuS
Ребята, кто-нить может скомпилить читалку (см. вложение). Она использует туже продиджи.длл что идет вместе с 7-дьмой прогой - интересно будет ли эта читалка видеть клон?
@VasiliuS
http://www.hot.ee/witalik/test615.zip
только флешит проверял на 3510 8310 6100 и 3100
за остальные не знаю.
StRanger_home
13.03.2004, 20:19
@Iksas - не будет :) с чего бы ей видеть? продай ты клон, и останется у тебя один бокс :D
VasiliuS
15.03.2004, 19:47
@witalik
спасибо! просто у меня прошивка работала на 615, но убивало тело полностью (стирала флеш). твоя получаеться более правильная.
А что происходит при попытке анлочить? тело остаеться живое?
Спасибо!
Заведи асю.
анлок работать не будет
Ася мне не нужна и так от вирусов не успеваешь освобождаться.
VasiliuS
http://www.hot.ee/witalik/test615.zip
На 615 убивает 7650.
Автор оригинала Zloy
VasiliuS
На 615 убивает 7650.
Фляш стирает или имей в ????????.. превращает?
Я его ради интереса скачал, залил - у меня 615 с этим хексом запускается, открываю девайс инфо, а там строчки пробегают без инфы о донгле... :D
Iksas
Плохо прошил пик. А в 7650 после стирания MCU ошибка 77. На 500 прошился нормально.
Попробуйте этот... :D
Вообщето серийник какой-нить ближе к 5101 поставьте...
Поправка! Это ***** 615 работает только с серийниками 5100 и 5102... :mad:
кто скачали - исправьте у себя...
... работаем дальше... :D
но v700 с этим HEX так и неработает,а там функцию EEPROM добавили, интересно что она делает?
надо думать как сделать HEX 01.11 под новую версию v 1.0.720.
как можно думать на пустом месте ? надо иметь оригенал а самодельные гибриды все равно не полноценные только флешат.
Ну место несовсем пустое... Надо найти в хексе "оригинальный" номер бокса, или то, из чего он формируется... таблицы кодировки можно менять на что угодно - лишбы не 00 или FF - 615 прога бокс признает только если серийник поставить 5100 или 5102... значит серийник "сидит" гдето в 00000 - 00600 хекса (при апдейте с 90 на 99 там ничего не меняется) или формируется из каких-нить байтов в каком нить регистре пика...(это обьяснилобы факт со сменой таблиц кодировки) . А эти серийники прокатывают лиш из за бага в проге или длл, чего уже нет в 7 версии... :Q
andreyka3
20.03.2004, 23:03
org 600h
hash_data
db 12h,0CDh,0abh,34h,76h,0fdh,33h,20h,66h,40h,0dfh,0a4h
get_key
bsf PCLATH,2 ;use
CryptAuthID
bsf PCLATH,1
addwf PCL
nop
retlw 0b1h
retlw 73h
retlw 0e6h
retlw 5ah
retlw 0abh
retlw 47h
retlw 08eh
retlw 0Dh
retlw 1Ah
retlw 34h
retlw 068h
retlw 0bh
org 62Ch
sn
db 8eh,0dch,3bh,39h,0bfh,81h
andreyka3
Вместо всего этого я записывал : FF - бокс не найден, 00 - бокс не найден , 01 - 615 софт бокс найден если серийник в еепроме 13 EC или 13 EE - вывод - все это к определению бокса и определению его "истинного" серийника неимеет никакого отношения... Факт!
Пояснение - эта кодировочная таблица (в том числе и 6 байт 8E DC...) никак не влияют на общение бокса с компом.... - тоесть если там записать любые "valid" (не 00 и не FF )данные - прога запрашивает "ключь" и бокс его посылает - что за ключь - проге до лампочки... - другое дело общение бокса с телефоном... - проверенно!
Я пытался в этих кодах найти серийник, но его так и не нашел по той причине что его там нет и быть неможет!... почему? - судя по поведению 615 проги...
Тоесть мы не за то зацепились...:visit:
andreyka3
21.03.2004, 11:02
сделать-то что хошь я не понял
апдейт ? дак данные, которые я привел, нужны из оригинала правильные
Для апдейта бокс не должен видится как 5101 ( для начала...) а это от приведенного выше независит... :(
Я думаю, может стоит "сломать" патчер 615? Если он меняет оба серийника - после патча посмотреть на прошивку пика (что сменилось...)... Так как похоже 5101 уже прошлое...
Отзовитесь, кто ломал...
Iksas
Тогда лучше уже ProdDiag.
Она для 1.11
В том то и дело что надо оба... продиджи 7 небудет работать с боксом пока бокс определяется как 5101 - сначала надо избавится от этого номера , тоесть надо чтобы видимый номер и скрытый номер совпадали и чтобы это небыл 5101...
Еще одна странность 6.15 проги - выше писал, что этот софт невидит бокса если серийник не 5100 или 5102... Теперь (юзал свой клон только с 6.15 софтом) , после некоторого количества "успешной" работы, серийник ставить можно любой - бокс видится , данные читаются...
Это как понять - прога "смирилась" со своей участью? Или она кудато записывает все свои удачные или неудачные запуски? Пытался лазить по реестру винды, но "счетчика" неудалось обнаружить...
запутался совсем короче.
вот здесь давно нарисовано что серийник любой можно ставить.
http://www.mobile-files.ru/forum/attachment.php?postid=35733