ВНИМАНИЕ! Тема только для опытных пользователей!!!
Подходит для телефонов L2, L6, L7, V360, V3i и других на платформе LTE2.
Исключение составляют телефоны с бутом 09.xx, на них пока что не удалось снять RSA.
Немного теории:
Дыра, через которую мы обходим RSA - в CG7 (подписи бута) - там часть данных самой подписи можно использовать как код, в котором джампом выводится управление, т.е. за пределы подписанного блока. Точку входа ставим на этот самый код... Ну и, соответственно, получаем управление за пределами подписи - остальное уже дело техники...
Вот метод исправления CG7:
- сливаем свою CG7(или вытаскиваем из shx своей прошивки, дело вкуса)
перед патчем проверяем что байты по +1140 равны E5 9F C0 00, если нет - CG7 требует иной модификации.
- патчим:
по смещению 0xC80 в CG7 прописываем значения 46 C0 48 01 68 00 47 00 10 04 00 00 (изначально там будут FF)
- вливаем обратно.
CG18 (подпись прошивки) опять же оказывается почти не нужна, нам от неё потребуются лишь первые 16 байт - заголовок, в котором раньше был адрес самой CG18 (11FE0010) - он меняется на адрес CG7 - т.е. 11F80000 (правим CG18 как написано тут)

Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F

-----------------------------------------------------------

00000000 11 F8 00 00 ....дальше не важно




- таким образом, бут проверяет CG7, считая что проверяет CG18 - и в CG7 нет диапазона адресов CG1 - и, ясен пень, ошибка проверки CG1 таким образом не вылезает.
То есть вместо проверки прошивки идет повторная проверка CG7...
Далее - начало CG1, которое правится (правим так):

Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F

-----------------------------------------------------------



00000000 11 F8 11 41 ....дальше не важно
00000010 B0 01 FF FB ....дальше не важно
Поняли, в чем прелесть?
Делаем эти изменения в указанных СG, собираем монстра - и шьём, даже ТЕСТ ПОИНТ НЕ ПОНАДОБИТСЯ!
Методика патчинга - правим CG18, CG7, правим заголовок CG1, добавляем в "монстра" CG3 (с той же прошивки, откуда остальные кодовые группы), вносим свои изменения/патчи в CG1, затем прошиваем всё это ЦЕЛИКОМ. Всё...
Единственное НО - пока не можем бэкапить - записывать ПДС, но уже пишется полностью открытый "дуал-бут" для ЛТЕ2, так что...
На V3i другая адресация, поэтому патчить надо будет так:
В CG18 в начале пишем 12F80000
В CG1 пишем по смещениям:
0000000: 12F81141
0000010: B001FFFB
В CG7 правим как выше описано
На L7e, K1, Z3 снова иная адресация и этот метод там не работает
Вот простенькая программа для снятия RSA. Работает только на распакованных файлах! RandomRSA2.rar ( 165.14кб )
З.з.з.ы. Собираем прошивку ТОЛЬКО с помощью FB 3.0.58 и выше, шьём ТОЛЬКО через RSD_lite версии 3.3 и выше.