~amras666:
2008-04-16, 08:42
Myślę że na sam początek warto określić co już wiemy na temat struktury oprogramowania (lista uaktualniana z postępem prac):

• Jest ono szyfrowane w nieznany nam do tej pory sposób,
• W plikach znajduje się zapis "elf2flash" co daje podstawy do sądzenia, że został on obrobiony tym programem - http://forum.niosforum.com/forum/
• Istnieje podział na PPM i MCU oraz image.

Sądzę, że na dobry początek należy rozszyfrować dowolny ppm - stosunkowo łatwo można przewidzieć czego szukamy, np. wiemy że w każdym będzie język angielski więc znalezienie stringów w tym języku to już krok naprzód.

Jak to robimy? Ściągamy dowolną paczkę oprogramowania (szyfrowanie nie zmienia sie z wersji na wersje raczej), otwieramy HexEditorem i kombinujemy. Na razie warto byłoby wyciągnąć ppm z kontenera elf2flash (zawiera bootloader i nieco śmieci) a potem zabrać się za samo oprogramowanie jako takie.

Do roboty Panowie, usuńmy wreszcie te cholerne napisy z odtwarzacza.



~darekj:
2008-04-16, 10:03
warto byłoby dojść i napisać które pliki za co odpowiadają:

PPM:
rm237__06.02.ppm_mr
rm237__06.02.ppm_p
rm237__06.02.ppm_q
rm237__06.02.ppm_r
rm237__06.02.ppm_rcm
rm237__06.02.ppm_s
rm237__06.02.ppm_t
rm237__06.02.ppm_u
rm237__06.02.ppm_v
rm237__06.02.ppm_x

MCU:
rm237__06.02.mcusw

Nie wiem co to mogą być reszta plików:
rm237__06.02.image_p
rm237__06.02.image_p_blue
rm237__06.02.image_p_graphite
rm237__06.02.image_p_pink
rm237__06.02.image_p_white
itd.
rm237__06.02.image_*

wnioskując po słowie mogą być to jakieś obrazki - albo obraz (nie chodzi tu zdjęcie) czegoś
mozna zauważyc ze występują pozniej też takie same literki co przy ppm.

Pytanie: Kolory na na końcu nazwy oznaczają kolory obudowy telefonu ??

Pozostałe pliki to sygnatury - pewnie to do certyfikatów i jakieś pliki ini (konfiguracyjne)

INI:
adcreadings.ini - tu jakieś wartości fizyczne: napięcie baterii, temperatura
audiocontrol.ini - jak sama nazwa wskazuje dotyczy dzwięku
bluetooth.ini - jak sama nazwa wskazuje dotyczy Bluetooth
camera_control.ini - jak sama nawa wskazuje dotyczy aparatu/kamery
rm_237displaytest.ini - wydaje mi się, że tutaj są ustawione parametry wyświetlacza LCD


Tu jeszcze coś nie wiem co to:
rm_237.ppu

Przejrzałem troche tak tylko z grubsza tego Nios'a i związane jest z tym kilka ciekawych projektów np.: http://nioswiki.jot.com/%C2%B5Clinux. Mysle warto byłoby dowiedzieć się co za płyte głowną i procesor posiada ten telefon. Napisane jest na stronie w linku który podałem coś takiego w dziale: Before start:
The application executable format on uClinux is not ELF, but (compressed) binary flat format, FLT. - być może te pliki własnie są w formacie FLT.(nie wiem póki co to jest i czym się różni od ELF)

Znalazłem na necie: http://rapidshare.com/files/75576550/Se ... _3110c.zip - troche to waży jestem ciekawy co w tym jest... niestety nie mam konta na rapidshare, a czekać muszę z godzinę

Poszperałem troche po googlach i wyczytałem pare ciekawych rzeczy, procesor w naszej nokii to prawdopodobnie ARM-strong czy cos w stym stylu 233 Mhz - czyli całkiem nie zle. Support dla tych procesorów ma linuks - jest pare dystrybucji które to obsługują wiec. nortuje mnie jedno pytanie czy jest sposób na odpalenie linuksa ? szukalem i szukalem i niestety nieznalazłem ani jednej wzmianki zeby komus się udało na jakims BB5 odpalic linuksa, ale nie rozumiem dlaczego np. na telefonach z symbianem już można w jakis sposób odpalić - gdzies widziałem - a moze był to jakis fake.



~amras666:
2008-05-04, 21:06
Doszukałem się więcej informacji - narzędzie elf2flash (które może być nam potrzebne do porównywania plików testowych przed i po parsowaniu tym narzędziem wchodzi w skład pakietu Altera Quartus II Design Suite, do pobrania między innymi stąd:

Code: Select all

Please Login or Register, to see this Content

i zajmującego na oko kilka ładnych giga. Jestem w trakcie pobierania.

Kolejność warstw przez które należałoby się przebić to:

Elf2Flash ( AlgorytmBB5_w_ELF (Nieszyfrowany_Elf) )

Na razie zaczynamy od pierwszej warstwy. Dowcipna będzie dopiero ta druga ^^ Proponuję robić to metodą quasi-bruteforce - wiemy że w PPM będą konkretne stringi w j. angielskim, wystarczy tak dobrać algorytm, żeby je wyciągnąć



~uggp:
2008-06-16, 19:46
Witam (mój pierwszy post)
Przypadkowo trafiłem na to forum i widzę ciekawy temat. A że mam 3110c i doświadczenie z NIOS'em (i produktami Altery) to kilka uwag:

1. procesor NIOS jest soft-procesorem dla kostek FPGA. FPGA to taki układ co ma w sobie całą kupę elementów logicznych, które możemy dowolnie łączyć. To tak jakby ktoś wam wysypał worek układów UCY i dał narzędzia co same będą je łączyć. Mając taki worek bramek i przerzutników można sobie zrobić dowolny układ cyfrowy. Skoro dowolny to i można procesor zbudować. Właśnie NIOS jest takim procesorem, opisanym przez program (taki opis połączeń)
Wniosek: zerowe szanse że nokia ma procek NIOS ale:

2. Kostki altery używa się w systemach embeded (SoPC). Czyli w jednej kostce mamy cały system procesorowy (procek, pamięci, itp). I żeby było miło do budowy systemu (softu), używa się Eclipse (http://www.eclipse.org/) zawarte w NIOS IDE
Wniosek: nokia również kompilowana jest takimi kompilatorami, dalej:

3. Efektem kompilacji jest plik ELF. Zerknijcie w pliki dowolnego linuksa (też elfy )

4. Elf2Flash jest bardzo sprytny i cholernie elestyczny gdy jest częścią większego systemu. Np: w alterze można sobie wytworzyć pamięci rom, ram, podlutować inne pamięci zewnętrzne np flash i kompilator tak zrobi kod, że dowolnie można korzystać z tych pamięci. elf2flash zrobi nam taki obraz flasha, że doda nam bootloader który odpowiednio zainicjuje wszystkie pamięci dodając sprytny bootloader.

4. Bootloader może kopiować wprost lub ROZPAKOWYWAĆ (u altery to jest zip) obrazy. No i teraz, jeśli obraz jest spakowany to z hexa nic nie widać. Spotkałem się w innych systemach embeded, że producenci ucinali nagłówki żeby nie dojść jakim pakerem było pakowane. Po doklejeniu nagłówka zwykle jeszcze plik był szyfrowany. Ale wiadomo jak się zna pakera to "brutal" i hasło pada.

5. Każdy kod da się emulować. Najpierw trzeba zemulować boota żeby dowiedzieć się co się dzieje przy starcie.

To takie moje spostrzeżenia, może się komuś przydadzą.
Jeszcze taka mała uwaga, presja czasu oraz ogrom oprogramowania powoduje, że producenci idą na łatwiznę i często nie zabezpieczają softu tak jak trzeba (zresztą zawsze mogą podkompilować coś nowego i już się jest do tyłu), a to oznacza że wszystko da sie podejść.



~amras666:
2008-06-16, 19:55
uggp - podpowiedz w jaki sposób dokonać emulacji bootloadera. Jestem niemal na 100% przekonany że w samym nagłówku znajduje się dość prosty (relatywnie) algorytm odszyfrowujący, podobnie jak miało to miejsce w DCT4 (deblockify i decode w CrypterX'ie).

Idealną sytuacją byłoby zemulować procesor Nokii tak, aby na wyjściu otrzymać to co bootloader sieje do pamięci telefonu, wprawdzie do zaszyfrowania tego spowrotem daleka droga, ale to zawsze nieinwazyjne wyciągnięcie odszyfrowanego flasha.

Da się to zrobić?

Swojego czasu natknąłem się na pliki ERASE UNIRAP które powodowały zapis całej pamięci telefonu zerami, ale samo gapienie się na heksy niewiele mi pomogło a nie mam pojęcia w czym to uruchomić. Procesor z jakim mamy do czynienia to najprawdopodobniej ARM-11 ale nie wiem czy to ten sam układ przetwarza bootloader i odpowiada za pracę telefonu, czy to różne jednostki.



~uggp:
2008-06-16, 20:10
Od razu zaznaczam że o nokii mam zerowe pojęcie, ale że wszystkie embeded są takie same to:
1. Tak, bootloader ma zwykle banalny algorytm, jutro zerknę jaki ma NIOS
2. Ściągam teraz eclipsa tego oficjalnego i zobaczę jak to jest, ten alterowy ma debuger on-line (debugujesz na sprzęcie od razu)
3. Debuger IDA Pro ma chyba wszystkie procki, trzeba sprawdzić jaki ma Nokia (może mieć procek na bazie jakiegoś innego znanego wtedy lecimy tym znanym)
4. Jak będzie assembler to potem już kod w C który zrobi rozpakowywanie.

Zwykle bootloader jest bardzo prosty, potem mogą ruszać algorytmy mocniejsze. Ale ten pierwszy to zwykle działa tak, że mamy tablicę i tam są adresy skąd i dokąd skopiować (rozpakować)

edit:
nie potrzeba szyfrować ponownie, podmieniasz loadera a do flesha dane nieszyfrowane i zwykłe kopiowanie



~amras666:
2008-06-16, 20:40
Przy wyborze procesora ARMB (arm11) następujący wynik pierwsze XXX bajtów:

ROM:00000000 B2 00 00 00 A1 00 00 00 0E E6 04 47 CB D1 AE C2 -...í...ŠGTĐ«T
ROM:00000010 04 42 42 35 00 C3 0E 42 42 35 20 41 4C 47 4F 52 BB5.+BB5 ALGOR
ROM:00000020 49 54 48 4D 00 D4 11 08 01 03 19 21 01 00 11 01 ITHM.ď
!
.

ROM:00000030 01 0C 19 21 01 00 11 01 CD 08 00 31 97 50 00 00
!
.
=.1ŚP..
ROM:00000040 00 00 CE 08 00 63 2E A0 00 00 00 00 CF 08 00 63 ..+.c.á....¤.c
ROM:00000050 2E A0 00 00 00 00 D1 08 00 01 7E D0 00 00 00 00 .á....Đ.
~đ....
ROM:00000060 C9 02 09 00 F2 01 01 F0 01 02 C8 0E 01 12 0B 00 - .˛

­
L
.
ROM:00000070 00 00 01 08 00 00 01 51 FF FF F4 22 30 36 2E 30 ..
..
Q ˘"06.0
ROM:00000080 32 2E 30 30 32 0A 20 20 20 20 45 6C 66 32 66 6C 2.002 Elf2fl
ROM:00000090 61 73 68 20 30 32 2E 33 33 2E 30 30 30 00 F7 06 ash 02.33.000.¸
ROM:000000A0 00 00 01 10 00 FF 54 01 17 0E 00 00 00 08 D9 01 ..
. T
...-

ROM:000000B0 00 00 40 00 01 08 00 00 AE 00 4D 50 50 56 20 30 ..@.
..«.MPPV 0

ASM:

ROM:00000000 AREA ROM, CODE, READWRITE, ALIGN=0
ROM:00000000 CODE32
ROM:00000000 ANDLT R0, R0, #0
ROM:00000004 TSTGE R0, R0
ROM:00000008 CDPEQ p4, 0xE, c0,c6,c7, 2
ROM:0000000C BLGT 0xFF46BB1C
ROM:00000010 STREQB R4, [R2],#-0x235
ROM:00000014 SBCEQ R0, R3, R2,ASR#28
ROM:00000018 EORMIS R2, R5, #0x41
ROM:0000001C MCRRMI p15, 5, R4,R7,c2
ROM:00000020 LDMMIDB R4, {R0,R2,R3,R6,R11,LR}^
ROM:00000024 SBCEQS R1, R4, R8,LSL#2
ROM:00000028 TSTEQ R3, R1,LSR#18
ROM:0000002C TSTEQ R0, R1,LSL#2
ROM:00000030 TSTEQ R12, R1,LSR#18
ROM:00000034 TSTEQ R0, R1,LSL#2
ROM:00000038 STCGT p0, c0, [R8,#-0xC4]
ROM:0000003C LDRLSB R0, [R0,-R0]
ROM:00000040 ANDEQ R12, R0, R8,LSL#28
ROM:00000044 RSBEQ R2, R3, R0,LSR#29
ROM:00000048 ANDEQ R0, R0, R0
ROM:0000004C SVCGT unk_80063
ROM:00000050 CDPCS p0, 0xA, c0,c0,c0
ROM:00000054 ANDEQ SP, R0, R8,LSL#2
ROM:00000058 LDREQD R7, [R1],-R0
ROM:0000005C ANDEQ R0, R0, R0
ROM:00000060 STMGTDB R2, {R8,R11}
ROM:00000064 ANDNV R0, R1, #0x3C
ROM:00000068 TSTEQ R2, LR,LSL#16
ROM:0000006C TSTEQ R2, R0,LSL#22
ROM:00000070 ANDEQ R0, R0, R8,LSL#2
ROM:00000074 ANDEQ R0, R0, R1,ASR R1
ROM:00000078 SVCNV 0xFFF422
ROM:0000007C EORCCS R2, R6, R0,LSR LR
ROM:00000080 EORCC R3, LR, #0x30
ROM:00000084 ANDCC R2, R10, #0x20
ROM:00000088 EORCS R4, R0, R12,ROR#10
ROM:0000008C LDRVST R6, [R2],-R12,ROR#12
ROM:00000090 CMNVS R3, R0,LSR#16
ROM:00000094 EORCCS R2, R2, R3,LSR LR
ROM:00000098 TEQCC LR, #0x30
ROM:0000009C ANDCC PC, R0, R6,LSL#14
ROM:000000A0 ANDEQ R0, R0, R0,LSL R1
ROM:000000A4 RSCEQS R5, PC, R1,LSL#8
ROM:000000A8 STRNE R0, [LR,-R0]
ROM:000000AC ANDEQ SP, R8, R1,LSL#18
ROM:000000B0 ANDEQ R4, R0, R0
ROM:000000B4 TSTEQ R8, R0
ROM:000000B8 MCRGE p13, 0, R4,c0,c0, 2
ROM:000000BC SUBPLS R2, R6, R0,LSR R0

Schlebiałem sobie że znam podstawy ASMA, ale komendy ARM są dla mnie niezrozumiałe.

Pytania Dwa:

1. Czy to ten procesor?
2. Kto to rozgryzie, bo ja na to za słaby.



~uggp:
2008-06-17, 15:13
nokia ma arm11? myślałem że 9
zwykle flashe nie jadą od adresu 0x00000000
przeważnie gdzieś na końcu 0xffxxxxxx, boot zwykle ma kod nie relokowalny i jak się źle ustali adres w pamięci to skoki lecą na manowce. trzeba dorwać datasheet do arma i zobaczyć jak oni mają w przykładowych aplikacjach.



~Ziomal_Marcin:
2008-06-21, 15:01
Wiemy już dokładnie jaki procesor ma N3110c. Jest to RAPGSM 1.1, pochodna ARM11.

Zdjęcia procesora w paczce:

Code: Select all

Please Login or Register, to see this Content

~pawelooss:
2008-12-16, 20:42

~amras666:
2008-05-14, 18:51
No cóż... ani na chwilę obecną nie mam siły się zbytnio bawić - ani nie mam na to czasu. Tak czy inaczej, udało mi się podmienić informację o języku wyświetlaną przy sprawdzaniu wersji oprogramowania (*#0000#):



Parę pozostałych możliwości:

• Telefon ma zarówno aktywny tryb gotowości jak i Orange Menu :
• Przybył konwerter jednostek
• Można włączyć/ukryć Yahoo Go i Email

~Agntx:
2008-05-18, 01:04

amras666 wrote:Ktoś chętny przyłączyć się do zabawy?

Las rąk widzę :p



~amras666:
2008-05-18, 08:48
Poczekaj aż ktoś rozpracuje ppm od bb5 - będą się zabijać o "slang" w językach, czy brak napisów w odtwarzaczu... to będą wspaniałe czasy ^^ $



~Ziomal_Marcin:
2008-05-18, 08:54

amras666 wrote:Poczekaj aż ktoś rozpracuje ppm od bb5 - będą się zabijać o "slang" w językach, czy brak napisów w odtwarzaczu... to będą wspaniałe czasy ^^ $

Hmm, ja właśnie na to czekam

Amras jedno pytanie: Czy grafika do SW też siedzi w ppm'ie??



~amras666:
2008-05-18, 10:05
Ciężko mi odpowiedzieć na 100% - w telefonach DCT-3 wszystko siedziało w PPM, teraz jest to NIEWYKLUCZONE



~Ziomal_Marcin:
2008-05-18, 23:12
Dzięki za odpowiedź



~enter:
2008-08-10, 21:58
Sorka za odświeżanie starych tematów ale chciałem się spytać jak to zrobić bo chce to zrobić.



~Ziomal_Marcin:
2008-08-10, 22:02
No mi się wydaje że Notatnik Rulezz



~amras666:
2008-08-10, 23:08
Dokładnie - nie tyle notatnik a hexedit.

Otwierasz plik PPM który zamierzasz wgrać do telefonu i podmieniasz napisy jak leci, możesz zastąpić 4 linijki 1 linijką tekstu, możesz też łamać ją w różnych miesjcach. Nie jestem pewien ale wydaje mi się że to było CR + LF (10 13) albo jakoś tak.

Tą operację możesz robić tylko na pliku PPM, jak podmienisz wersję w MCU to telefon nie wstanie po flashowaniu (oczywiście po wgraniu dobrego po deadzie wstaje od ręki).



~Error:
2008-08-12, 13:39
amras666 , mógłbyś nagrać filmik jak ''zmodowac soft'' dla tych mniej kumatych Pozdrawiam



~amras666:
2008-08-12, 19:16
Erę nagrywania filmów mam za sobą, a modyfikowanie oprogramowania to nie jest czynność pierwszej potrzeby.

O to chodzi w tej zabawie, żeby miała w sobie ten dreszczyk... ludzie tacy jak Dejan Kaljevic, g3gg0, Yak zdecydowanie znają to uczucie.

Jeśli do wszystkiego będzie poradnik, to grzebanie w telefonie straci urok



~logos2000:
2008-08-12, 13:39
na poczatku chcialbym wszystkich serdecznie powitac, byc moze kojarzycie mnie z innych forów. zainteresowal mnie temat modingu softu do 3110c wiec do rzeczy

amras666, jak to zmodyfikowales? sam PPM w hex edytorze? cos przeliczales?
mam dosc spore doswiadczenie z softami

DCT3 pestka

w DCT4 praktycznie rozgryzlem napisy i grafiki , przyklad (dosc nie cenzuralny ale dla jaj go robilem) - http://www.hevet.opalnet.pl/gry.jpg

od niedawna mam BB5 (3110c) wiec jesli sie zapoznam z technika tego telefonu to moze cos sie uda zrobic (glownie mysle o najbardziej denerwujacej sprawie - napisach pauza i wroc na filmach)



~enter:
2008-08-24, 13:38

logos2000 wrote:DCT5 (3110c)

logos2000,Niema czegoś takiego jak DCT5 .To co Ty nazwałeś DCT5 nazywa się BB5 to wszystko z mojej strony



~amras666:
2008-08-24, 13:43
To co zrobiłem to wręcz szkolna sztuczka - edytowałem pierwsze kilkadziesiąt bajtów pliku PPM. Te dane jako jedyne nie są zaszyfrowane, więc dopóki ktoś nie złamie szyfrowania BB5, na tym trzeba będzie poprzestać.



~logos2000:
2008-08-24, 14:40
enter, sorka, moj blad faktycznie nie ma dct5, nie doszedlem jeszcze do siebie po wczorajszym dniu ale dobrze ze wiadomo oco chodzi.

z tego co wiem to dejan dal jakas recenzje (i programy) na deszyfracje softu, ale to chyba bylo wtedy dct4 prawda? hmm kicha troche.

byc moze YAK znany z Nokixa cos wykombinuje, choc od dluzszego czasu cisza....

powiem tak w dct4 nazwy byly szyfrowane, ale to bylo latwo rozwalic (przyklad macie powyzej) zadnych dodatkowych CRC nie bylo. byc moze w bb5 zastosowano ta sama metode szyfrowania napisow, dajcie jakis link do softu do od 3110c to pomyslimy



~enter:
2008-08-24, 16:48
logos2000, Dział Firmware



~logos2000:
2008-08-24, 17:51
hmmm no prosze.

wersja softu, pozniej uklad znakow pewnie przy pisaniu esa i masa rzezni kodowanie inne niz w DCT4 mysle ze wgrywajac same PPM nie uszkodzi sie telefonu bo to przeciez tylko grafika teksty, dzwieki (choc kto wie jak to jest w BB5)

jest tablica znakow, widac to po "ABCDEFGHIJKLMNOPQRSTUVWXYZ" w hex jednak gdzie te odpowiedniki to uuu..... w kazdym razie "ą" jest zapisane az na 3 bajtach... i to bez kodowania
kto wie jak w kodowaniu, nie mogli przeciez az tak rozciagac tego, bo by miejsca zabrakło.

w DCT4 4 znaki potrafily byc zapisane w 1 bajcie!! , przyklad 3 znakowca na 1 bajcie "nie" - 8E

w sumie pomieszali troche chlopaki, ale mysle ze jak sie przylozyc to sie rozgryzie to



~amras666:
2008-08-24, 18:19
Próbuj ^^ Nie bawiłem się w DCT-4 więc i z BB5 mam marne szanse. Co do YAKa, to pisałem do niego na GG. Konwersacja wyglądała "Znam Cię?" i "Spadaj" więc najwyraźniej nie jest zainteresowany (naświetliłem mu problem).



~logos2000:
2008-08-24, 18:20
amras666, na nr Yak-a wbila sie jakas laska, wiec sie nie dziw ze tak wygladala rozmowa... ~zakrecony2



~amras666:
2008-08-24, 18:27
I wszystko jasne. Masz do niego jakiś aktualny kontakt poza mailem? Bo na mail chyba też pisałem



~logos2000:
2008-08-24, 18:38
amras666, niestety nie mam, wiem tylko ze mial sie zajac symbianowcami bo stwierdzil ze DCT3 to przezytek i nic wiecej sie tam nie nauczy. tak słuch o nim zaginał...

teraz mam mniej czasu niz na poczatku przygody z modyfikacjami (a mialem wtedy 16 lat )

ale zobaczy sie...



~pawelooss:
2008-12-18, 22:15
Nie wiedziałem, gdzie to napisać, więc napiszę tutaj. :p

Ktoś wstawił wideo ukazujące spatchowany odtwarzacz i podmienioną grafikę startową.

Link wrote:http://pl.youtube.com/watch?v=21DxGShSX3s

Oczywiście w kwestii "filmowej" jest jeszcze wideo od amras666.

Link wrote:http://pl.youtube.com/watch?v=1byi-VtHyRs

~Ziomal_Marcin:
2008-12-18, 22:32

pawelooss wrote:Ktoś wstawił wideo ukazujące spatchowany odtwarzacz i podmienioną grafikę startową.

Udał mu się ten Player

Oczywiście w kwestii "filmowej" jest jeszcze wideo od amras666.

Ten film jest od zarania dziejów



~bastard3son:
2008-12-18, 22:38
odtwarzacz b. podobny do XpressMusic świetny efekt, ale wątpię żeby zrobił to wszystko bez czytania tego forum :p



~pawelooss:
2008-12-18, 22:50

Ziomal_Marcin wrote:Ten film jest od zarania dziejów

Wolałem przypomnieć. :p

bastard3son wrote:wątpię żeby zrobił to wszystko bez czytania tego forum

Nasze forum to legenda! ~cool


EDIT:
Zagadka chyba rozwiązana... :p

YouTube
Nick: misiek9494
Imię: Michał
Wiek: 14
Miejscowość: Wilamowice

Socjum
Nick: Missolini / Error
Imię: Michał
Wiek: 14
Miejscowość: Wilamowice



~error94:
2008-12-19, 13:52
nom to ja ale juz tego odtwarzacza nie mam , ale jak bedziecie chcieli to moge zrobic
tylko pozyczylem nieruchomy odtwarzacz amrasa i poczytalem jak podmieniac grafiki i zabralem sie do roboty

~@GUTEK@
2008-07-19, 11:55
Czy w tej nokii istnieje możliwość włączenia net monitora, lub jest coś podobnego?



~pawelooss:
2008-07-22, 20:47
Witam!
Zaczytałem się na ten temat... :p Ciekawe...

Podsyłam trochę nomenklatury:

http://www.bez-kabli.pl/viewtopic.php?t=8531

http://sklep.gsmphone.pl/gsm.php/pl,unlock,subpage_id,netmonitor.html

Z tego, co zrozumiałem, nasz telefon jest zarazem zbyt nowy (nowszy od DCT3 i DCT4) oraz za stary (nie ma Symbiana), aby można było uruchomić NetMonitora. Jeżeli byłoby to w ogóle możliwe, to trzeba by było chyba zmodyfikować firmware (hah, zhackowanie BB5 - marzenie ) albo kombinować coś przez kabel FBUS (więc potrzebny do tego jest box serwisowy, którym np. ściąga się sim-locki).

Czyli podsumowując, teoretycznie niewykluczone... ~zakrecony2


PS:
Przy okazji natknąłem się na stale uaktualniany spis wszystkich (!) stacji bazowych polskich operatorów.

http://www.bip.uke.gov.pl/bipurtip/index.jsp?place=Lead07&news_cat_id=56&news_id=724&layout=11&page=text

Pozdrawiam,
pawelooss


~logos2000:
2008-08-26, 07:19
przegladajac PPM natknalem sie na napis netmonitor, wiec napewno jest



~djtom:
2009-01-11, 14:48
ktos wie jak go uruchomic?



~amras666:
2009-01-11, 14:50
Za ten spis nadajników... nie wiem co Ci dam



~ndt:
2009-01-11, 17:21
w SW 3110c i pokrewnych znalazlem funckje jak _nmon_next_page(), _nmon_prev_page() i pozostałe więc mamy pewność że DCT4Plus jak i BB5 bez symbiana zawierają net monitor - kwestią jest jak go odblokować



~djtom:
2009-01-30, 22:04

nmon_next_page(), _nmon_prev_page() i pozostałe więc mamy pewność że DCT4Plus jak i BB5 bez symbiana zawierają net monitor - kwestią jest jak go odblokować

na zaden trop nie wpadliscie chłopaki?

[ Komentarz dodany przez: Ziomal_Marcin: 2009-01-30, 22:28 ]
To nie jest GG, Czat ani IRC. Proszę się wstrzymywać od pisania takich postów.



~ndt:
2009-01-30, 22:11

djtom wrote:na zaden trop nie wpadliscie chłopaki?

tego typu posty sa nie na miejscu... nic nie wnosi do tematu, zwykłe nabijanie

jesli by coś pojawiło sie w tej kwestii byłoby napisane napewno

jedynie co mogę dodać - w dct4 odblokowanie FTD polegało na wgraniu odpowiedniego firmware - po szybskiej analizie flashy bez i z FTD enabled zauwazyłem że jest ono identyczne - róznica jest jedynie w jednym tokensie (poczatek pliku zawiera pewne informacje dla programu flashujacego takie jak adresy jakie ma flashować etc, same tokensy do telefonu wgrywane nie są) ale nie miałem czasu na analize tego tokensu więc trudno mi powiedziec jak należałoby go zmodyfikowac w 3110c i pokrewnych



~djtom:
2009-01-31, 09:24

To nie jest GG, Czat ani IRC. Proszę się wstrzymywać od pisania takich postów.

sorry, nie chcialem namieszac, mam gdzieś licznik postów itp, po prostu widze ze umicie grzebac w tej słuchawce i bardzo mnie interesuje netmonitor bo kiedys w dct3 dużo się nim bawiłem Moze moge jakos pomoc?

~maciekbronkz
2009-03-01, 16:28
Otóż, mam 64 pliki z mcu, w tym jeden av0001.mbox odpowiadający za np. (przykładowe zapiski):

TEXT_EDITOR_INVALIDATE
JAVA_FUNCTION_GROUP_CONNECTIVITY
NOKIA_DMAPP_AUTOGEN_RUN

Oraz wiele wiele więcej
P.S. są też zapiski o certyfikatach

E:
Inny plik

read_lock
OBEX_CONNECT
CAPTURE_CAMERA_VIDEO
getRawFrameCount
convertRoot
system_loader
access$500 ( często występuje).

Tak więc może, przy pomocy uczonych (przykładowo amrasa, ndt i innych) coś wydziubiemy



~maciekbronkz
2009-03-01, 17:23
[czym to rozpakowałem?]
to moja słodka tajemnica !!
nie no - hex edytorem DD

E:
jeden html ukazuje jakby hmmmmmm, no jakby spis modułów w fonie (tak mi się zdaje).

E2:
W tym samym jest to zapisane

MANU:Nokia
MOD:%s
HW-VERSION:%s
SW-VERSION:%s
SW-DATE:%s
SN:%s
IRMC-VERSION:1.1
PB-TYPE-TX:VCARD2.1
PB-TYPE-RX:VCARD2.1;VCARD3.0
CAL-TYPE-TX:VCALENDAR1.0
CAL-TYPE-RX:VCALENDAR1.0;ICALENDAR2.0
INBOX:SINGLE
MSG-TYPE-TX:NONE
MSG-TYPE-RX:NONE
MSG-SENT-BOX:NO
NOTE-TYPE-TX:NONE
NOTE-TYPE-RX:NONE
BKM-TYPE-TX:NONE
BKM-TYPE-RX:NONE
X-TEXT:NOKIA1.0
X-POC:NOKIA1.0
%s

~maciekbronkz
2009-03-01, 21:40
rozpakujcie winhexem plik RM78_0514902_06.10_002.dcp (ja mam taka nazwe w 6288)z softu, ciekawe rzeczy tam widnieją.
12 rarów które:

ProductConfiguration>
<ProductIdentification>
<TypeDesignator>RM-78</TypeDesignator>
</ProductIdentification>
<SwUpdate>
<UseCase>Refurbish</UseCase>
<FlashParameters>
<Init>BB5</Init>
</FlashParameters>
<FactorySetEnabledAfterFlashing>True</FactorySetEnabledAfterFlashing>
<FactorySetEnabledBeforeFlashing>False</FactorySetEnabledBeforeFlashing>
<FactorySetMode>Test</FactorySetMode>
<FactorySetLevel>1</FactorySetLevel>
<Timing>
<DelayAfterFlashAnyFile>10000</DelayAfterFlashAnyFile>
<BootupTimeoutAfterFlashing>40000</BootupTimeoutAfterFlashing>
<FactorySetTimeOut>40000</FactorySetTimeOut>
</Timing>
<FlashMediaConfiguration>
<FlashMedia>Usb</FlashMedia>
<ModeBeforeFlashing>Normal</ModeBeforeFlashing>
<ModeAfterFlashing>Normal</ModeAfterFlashing>
</FlashMediaConfiguration>
<FlashMediaConfiguration>
<FlashMedia>Fbus</FlashMedia>
<ModeBeforeFlashing>Test</ModeBeforeFlashing>
<ModeAfterFlashing>Test</ModeAfterFlashing>
</FlashMediaConfiguration>
<AllowSwDowngrade>True</AllowSwDowngrade>
</SwUpdate>

To tak dla przykładu

E:
i jeszcze jedno, z tego co zauważyłem, to mcu jest jakby "kilkunastoma rarami, które trzymają jakieś pliki"
jutro nad tym bardziej posiedzę.



~ndt
2009-03-01, 22:56
mcu, jako master control unit, znajduje się w pliku *.mcusw
pozostałe pliki (w tym dcp), oprócz *.ppm_* i *.image_* zawierają wszelakiego typu ustawienia, parametry - zapisywane w jakimś pm czy cuś



~maciekbronkz:
2009-03-02, 07:55
Później opiszę jak to wypakować, bo teraz lecę do szkoły, choć to jest proste.

E:
wiem że te pliki nie należą do MCU, ale też ciekawe rzeczy są.
Amras i NDT - musicie to poprzeglądać, może coś wtedy wyjdzie z modów MCU... D



~ndt:
2009-03-02, 11:42
edycja mcu, taa

generalnie mamy 3 rodzaje zabezpieczeń (począwszy od dct4):
- FAID
- mcu checksum
- FSIG (brr, sygnatura bazująca na hw)

błedne sumy powodują:
- błędny FSIG (jeśli uzywany, nie wszytskie telefony go wykorzystują): no network
- błędna MCU checksum (jeśli uzywany): "contact service"
- błędny extended FSIG : phone reboot and power down

ten extended FSIG używany jedynie w najnowszych dct4+, bb5. Ominięcie go choćby w3110c sprawia duże problemy ponieważ ominięcie tych zabezpieczeń (bypass, kill)
wymagało by ingerencji w obszar FSIG (tabela z adresami które mają być sprawdzone znajduje się właśnie wtym obszarze )

więcej w tym wątku

Code: Select all

Please Login or Register, to see this Content

[ Dodano: 2009-03-02, 11:47 ]

Code: Select all

Please Login or Register, to see this Content

~maciekbronkz:
2009-03-02, 14:43
wiadomo, na razie mamy tylko pliki z mcu, ale jeżeli będziemy wychodzić z założenia że mcu jest nie do rozpracowania, to nic nie zrobimy...

- błędna MCU checksum (jeśli uzywany): "contact service"

to jest najgorsze, pobawmy się w drugiego the_lasera i den_po, i zróbmy bypass nie db2020 tylko bb5 D



~ndt:
2009-03-02, 16:59

maciekbronkz wrote:na razie mamy tylko pliki z mcu

dalej się upieram że to nie są pliki z MCU

maciekbronkz wrote:ale jeżeli będziemy wychodzić z założenia że mcu jest nie do rozpracowania, to nic nie zrobimy...

nie twierdzę że jest to nie do zrobienia - jednak osoby które byłyby w stanie ugryźć to już dawno się tym nie zajmują (przynajmniej od tej strony)



~maciekbronkz:
2009-03-02, 18:59

ndt wrote:

maciekbronkz wrote:na razie mamy tylko pliki z mcu

dalej się upieram że to nie są pliki z MCU

Wypakowane z MCUSW, czyli choć w jakimś stopniu muszą dotyczyć MCU...
Niewykluczone że te pliki są jakby "przykrywką" do właściwego... D

E:
miałem napisać poradnik jak wypakować, ale że taki już jest (do ppm) to podaję liniacza
KLIK!.
Postępujemy tak samo, tylko że wklepujemy plik *mcusw.
Poradnik by Kamilloi.

[ Dodano: 2009-03-02, 22:31 ]
Moje mcu, może się przyda (wypakowane):
KLIK!
Winhex którym to robiłem:
KLIK!



~ndt:
2009-03-06, 03:33

ndt wrote:nie twierdzę że jest to nie do zrobienia - jednak osoby które byłyby w stanie ugryźć to już dawno się tym nie zajmują (przynajmniej od tej strony)

może się z tym pośpieszyłem - właśnie pobrałem z repo jeszcze ciepły skrypt krishy - fsig_ext.trx - czyli edycja mcu powoli staje sie faktem

z 3110c co prawda niewiele narazie zrobimy na tym polu (trix nie potrafi jeszcze zserializować tego typu mcu) ale to już nie będzie tak trudna praca jaką właśnie wykonał krisha

[ Dodano: 2009-03-06, 03:43 ]

maciekbronkz wrote:Wypakowane z MCUSW, czyli choć w jakimś stopniu muszą dotyczyć MCU...

po raz kolejny - w mcu nie ma żadnych plików! mcu to jest jeden plik

a co do wszelkiej maści prób "wypakowywania" czegokolwiek programami typu winhex nie ma najmniejszego sensu (nawet w przypadku ppm/cnt nie ma to zbytnio sensu...)

to co winhex podał ci jako odzyskane pliki to po prostu kawałki mcu które akurat zawierały pewne sygnatury (nagłówek, magic bytes) plików które 3110c obsługuje. To wszystko



~Ziomal_Marcin:
2009-03-06, 16:22

ndt wrote:czyli edycja mcu powoli staje sie faktem

Dorwałeś się do części kodu?



~Kamilloi:
2009-03-06, 16:34

ndt wrote:z 3110c co prawda niewiele narazie zrobimy na tym polu (trix nie potrafi jeszcze zserializować tego typu mcu) ale to już nie będzie tak trudna praca jaką właśnie wykonał krisha

więc czekamy dalej
Chyba że dostanę jakieś współrzędne

Ach szkoda że zaczynam od bb5
Trzeba jakiś dct3 zdobyć



~ndt:
2009-03-06, 17:09

Ziomal_Marcin wrote:Dorwałeś się do części kodu?

masz na myśli wykonywalny kod z MCU? to jest dostępne od samego początku

gorzej z tym że jest to dostępne w postaci "scramble eggs" - trix jako jedyny mógłby poskładać nam kawałki w jedną całość (czyli przesunąć je na odpowiednie adresy) niestety tego jeszcze nie potrafi - ale jakąś datę w mcu prawdopodobnie można podmienić



~Ziomal_Marcin:
2009-03-06, 17:46

ndt wrote:masz na myśli wykonywalny kod z MCU? to jest dostępne od samego początku

A noo Coś tam kiedyś było gadane, ale chyba nikt tych czystych kodów nie widział



~ndt:
2009-03-06, 18:00
być może używany był zły disassembler bądź źle skonfigurowany



~pawelooss:
2009-03-14, 23:23
Spieszę z ciepłą informacją - maciekbronkz znalazł coś nowego w sprawie MCU.

Link wrote:http://www.se-developers.net/open-firmware-with-ida-t-147.html

Dzięki temu poradnikowi i programowi można podejrzeć część nieszyfrowanych stringów!

ROM:00000000 ; Input MD5 : 45FB0B4861124F5F75FA09D6F603B38E
ROM:00000000
ROM:00000000 ; File Name : C:Program FilesNokiaPhoenixProductsRM-237rm237__07.21.mcusw
ROM:00000000 ; Format : Binary file
ROM:00000000 ; Base Address: 0000h Range: 0000h - E7BBEEh Loaded length: E7BBEEh
ROM:00000000
ROM:00000000 ; Processor : ARM710a
ROM:00000000 ; Target assembler: Generic assembler for ARM
ROM:00000000 ; Byte sex : Little endian
ROM:00000000
ROM:00000000 ; ===========================================================================
ROM:00000000
ROM:00000000 ; Segment type: Pure code
ROM:00000000 AREA ROM, CODE, READWRITE, ALIGN=0

~Ziomal_Marcin:
2009-03-14, 23:29
Z programem IDA bawiłem się już z Amrasem Wyciągnie się tylko sam assembler

Znalazłem coś interesującego. Co prawda odnosi się to do symbianowców, ale i to i to to BB5 :

To all CP technician,

How to know Nokia BB5 Engine Structure

Single Engine Structure
ENOS = EPOC(Symbian OS) + NOS(Nokia OS)
ENOS based products -> 3650, 6600, 9210 …
EPOC and NOS operate mostly independent
Both operating systems are executed on the same core – they use the same common memory devices and resources
CMT-APE (NOS-EPOC) communication based on Phone protocol
On execution NOS tasks have always higher priority
NOS is mainly focused on cellular modem activities (RF, powers, …)
EPOC is mainly focused on user interface activities

Dual Engine Structure
Dual engine products –> 6630, 9500, 6680 & 6681
Both operating systems are physically separated on different cores – they have own memory devices and resources
CMT-APE (NOS-EPOC) communication based on Phone via physically bus (X-BUS)
NOS is totally focused on cellular modem activities
EPOC is totally focused on user interface activities


Power Up Steps
After Switch On
RETU activates Sleep Clock, VANA, VIO, VR1 and VDRAM
Voltage @ Retu RSTX pin will then enable TAHVO ASIC
TAHVO enable VCORE (RAP3G) and its internal oscillator to drive VCOREA (OMAP)
VCTCXO regulator is set on and RFClk (38.4 MHz) is started by RETU regulator
RETU release PURX after 16 ms after RFClk is stable
2.4 MHz SMPS clock for TAHVO is produced
After PURX is released and 2 rising edge of 2.4 synchronization clock is detected, TAHVO will use it to drive VCOREA
System is up and running
Software is used to switch on other regulators

RAP3G
RAP3G is a 3G Radio Application Processor
Successor for TIKU (used in NOKIA 7600) with some technical improvements and additional features
In general RAP3G consists of three separate parts:
Processor subsystem (PSS) that includes ARM926 MCU as a main processor, Lead3 PH3 DSP and related functions
MCU peripherals
DSP peripherals
RAP3G is running with NOS and takes care of all cellular modem activities
RAP3G core voltage (1.40V) is generated from TAHVO VCORE and I/O voltage (1.8V) is from RETU VIO. Core voltage in sleep mode is lowered to 1.05V

RETU
RETU is the primary EM ASIC including following functional blocks:
Start up logic and reset control
Charger detection
Battery voltage monitoring
32.768kHz clock with external crystal
Real time clock with external backup battery
SIM card interface
Stereo audio codecs and amplifiers
A/D converter
Regulators
Vibra interface
Digital interface (CBUS)
RETU ASIC does not include security functions such as UEM(E,K)

TAHVO
TAHVO is the secondary EM ASIC including following functional blocks:
Core supply generation (VCORE & VCOREA)
Charge control circuitry
Level shifter and regulator for USB/FBUS
Current gauge for battery current measuring
External LED driver control interface
Digital interface (CBUS)
TAHVO ASIC does not include security functions such as UEM(E,K)

OMAP 1710
OMAP is the application processor running with Symbian operating system (EPOC)
Platform for executing all user related application. Main interfaces:
Camera interface
Display interface
Bluetooth interface
MMC interface
USB interface
Keyboard interface
X-Bus for communication with RAP3G
OMAP is a standard ASIC designed by Texas Instruments and used also by other manufacturers of mobile phones and handheld PCs
Core voltage VCORE=1.4V is generated by discrete SMPS, and is lowered to 1.09V in sleep mode
I/O voltage VIO=1.8V is generated by RETU

CMT Flash
CMT Flash memory is used to store:
MCU program code
DSP program code
Tuning values
Certificates
Capacity: 64Mbit
Logic and supply voltage for NOR Flash is supplied from VIO (1.8V)
Flash clock is 48MHz (192MHz/4)

CMT SDRAM
CMT SDRAM is mainly used as a dynamic data storage for MCU data
Capacity: 64MBit
SDRAM core voltage (1.8V) is generated by RETU’s VDRAM regulator
I/O voltage (1.8V) is generated by RETU’s VIO regulator
SDRAM clock is 96MHz (192MHz/2)

APE Combo Memory
APE Flash is used to store application code and user data
It is not possible to execute code directly from Flash -> executables need first to be loaded to DDR and run from there
Capacity: 256Mbit (Flash), 256Mbit (DDR)
Core voltage for DDR is VDRAM 1.8V
VIO 1.8V is for DDR I/O voltage
Both NAND core and I/O voltages are generated by RETU
DDR clock is 110MHz (220MHz/2)
Flash interface speed is 22MHz

Front Camera
The front camera is controlled and its data is collected by OMAP
The I/O voltage of OMAP is 1.8V, and the one of the camera is 2.8V; therefore a level shifter is needed
The camera is powered with two different voltages from LDO (Low-dropout voltage) regulators:
VCAM 1.5V for camera digital circuits, and sensor A/D-converter
VCAM2 2.8V for camera I/O, and sensor photo diode

Back Camera
Connected to OMAP via data and control interfaces
Data transfer: through differential serial interface using clock and data
Camera control: bidirectional control interface compatible with I2C standard using SCL&SDA signals (1.8V)
Camera digital voltage is VCAM (1.5V) from discrete LDO
Camera ****og voltage is VAUX (2.5V) from RETU
Additional control signals
Vctrl: high (1.8V)=camera active low (0V)=camera inactive
ExtCLK: clock from OMAP1710 (9.6MHz)

Camera Flash Light
Designed to give more light when taking pictures in dark environment
The same LED is also used as an indicator light for indicating when:
a video clip is being recorded
a picture is taken
TK1189 is the SMPS for FLED. The enable of TK1189 is controlled by two hosts:
flash mode is controlled by the camera
indicator mode is controlled by OMAP

Bluetooth
Single chip BT BC3 (includes RF, BB & ROM memory)
UART interface for control/data with OMAP
PCM interface for audio data with RAP3G
IO voltage 1.8V from VIO
Reg voltage 2.8V from VFLASH1
Clock 38.4MHz from RF part

Ambient Light Sensor
Ambient Light Sensor is located in the upper part of the phone and consists of:
Light guide (part of front cover)
phototransistor + resistor
NTC + resistors
RETU
Information of ambient lighting is used to control backlights of the phone:
Keypad lighting is only switched on when environment is dark/dim
Display backlights are dimmed, when environment is dark/dim

Memory Card Interface
Reduced size MMC can be used to store photos, videos, etc…
MMC is connected to OMAP
Interface voltage level is 1.8V and power supply from RETU VSIM2
EMC protection by using ASIPs (Application Specific Integrated Passive)
MMC is powered down when MMC cover is opened
Cover lid open = signal connected to GND
Cover lid closed = signal connected to 1.8V

Nie bardzo ogarniam o co chodzi. Może przybliży ktoś ten temat?