Como sabéis, los firms de MoreSat para los [B][I]FTE MAX-S[/I][/B] no podemos Fixearlos ni adaptarlos a nuestros decos, debido a que desde hace algo mas de un año vienen con su [B][I]"Maincode" cifrados[/I][/B], con lo cual, hasta que no demos con el método de poder ponerlos en claro y desempaquetarlos correctamente, no se podría hacer nada con ellos, por eso os pongo este hilo con las conclusiones que he sacado, para ver si entre todos damos con el asunto xD
Primero os explicare el sistema de arranque del deco, que básicamente consiste en que el deco arranca con su "[B][I]Bootloader[/I][/B]" y este es el encargado de descifrar y desempaquetar el maincode, y después de dejarlo en la SDRAM lo inicializa desde allí, con lo cual, el es el encargado de todo el proceso que desconocemos, y es donde deberíamos mirar.
Pero antes de nada, si nos fijamos en el "[B][I]Maincode[/I][/B]", a simple vista deducimos esto:
[COLOR="Blue"]434F4445[/COLOR] -> "[COLOR="Blue"]CODE[/COLOR]" -> Cabecera que indica que el maincode esta cifrado [COLOR="Green"]0007FD07[/COLOR] -> [COLOR="Green"]0x7FD07[/COLOR] = 523.527 Bytes -> Tamaño del bloque cifrado del maincode, a partir del offset "0x010084"
[/CODE]
Lo curioso es que el tamaño de los bytes cifrados es muy parecido al de los maincode empaquetados en "[B][I]Lzma[/I][/B]", de lo cual se deduce que lo que esta cifrado tiene que estar antes comprimido, y seguramente el tamaño seria el mismo, osea que seria un algoritmo de [B][I]cifrado simétrico[/I][/B], en plan XOReo para enmascararlo xD
Pero examinando diferentes versiones de los firms, se ve claramente que los datos cifrados son siempre diferentes, con lo cual se deduce que no es un simple xoreo, (ya que si fuera así, suponiendo que tendrían que tener la cabecera del Lzma, los primeros bytes cifrados serian los mismos entre diferentes versiones), osea que la cosa se complica, y seguramente la diferencia de bytes cifrados sea provocado por que no son del mismo tamaño los maincodes, lo que nos indica que el numero de bytes a cifrar, influye en el resultado, con lo cual tiene que ser un algoritmo que cifra los datos [B][I]por bloques[/I][/B] (como el TEA, DES, AES etc) en modo "[B][I]CBC[/I][/B]", es decir, que dependiendo del tamaño, lo divide en bloques y lo cifra en varias rondas, pero yo me quedaría con el algoritmo "[B][I]TEA[/I][/B]" (que es bastante simple para implementar en microprocesadores y bastante rápido, e incluso fue utilizado en las Xbox y algunos móviles para cifrar sus Bios xD)
Osea que conociendo que utiliza un algoritmo de cifrado simétrico, y que dichos algoritmos necesitan de una "[B][I]Key[/I][/B]" para cifrar y descifrar (que seguramente sera de 32 bits que es a lo que trabaja por bloque la CPU), y dicho descifrado lo realiza el [B][I]bootloader[/I][/B], es de suponer que la clave se encuentre en el, y analizando las diferencias entre los boots "SMT01---0.9.5" (que fue el ultimo en el que no cifraban el maincode) y el "[B][I]SMT01---0.9.6[/I][/B]", simplemente se aprecia un aumento de código de apenas 1Kb
Y desensamblando un trozo de ese código nuevo del boot 0.9.6, nos encontramos con esto:
Y sorpresa, en los [I][B]Offsets "0xD988" y "0xD98C"[/B][/I] nos aparece un dato importante para identificar el algoritmo xD, y es la [B][I]"Magic Constant" 0x9E3779B9[/I][/B] que usa el TEA, XTEA y el RC5, osea que confirma mis deducciones jeje, con lo cual, esa constante "mágica" es la que se usa para la expansión de la supuesta "key", para generar las subclaves y que serian las encargadas de desencriptar el "Maincode" mediante rondas de sumas modulares y xoreos, y una vez desencrpiptado nos daria como resultado su Maincode empaquetado en LZMA, que es el que nos interesa xD
Osea que sabiendo el algoritmo que usa, solo necesitamos la clave para aplicárselo, y que tiene que estar en el boot por narices, jeje
[B]PD:[/B] Luego me pondré a hacer algunas pruebas, y en caso de que no sean satisfactorias, me pondré a intentar realizar volcados
de SDRAM para ver si doy con la clave necesaria, ya os contare xD
[B]PD2:[/B] Cualquier ayuda para hallar el método para descifrarlos es bien venido, aquí os dejo unos links interesantes de la Wikipedia xD
[URL="http://es.wikipedia.org/wiki/Cifrado_por_bloques"]http://es.wikipedia.org/wiki/Cifrado_por_bloques[/URL]
[URL="http://en.wikipedia.org/wiki/Tiny_Encryption_Algorithm"]http://en.wikipedia.org/wiki/Tiny_Encryption_Algorithm[/URL]
Última edición por SantiPHREACK; 03/02/2008 a las 03:24.
saludos santi he esta mirando todo lo que has expuesto y sobre el tamoño del bloque segun en la wikipedia habla de esto:
Cita:
aplicándoles una transformación invariante. Cuando realiza cifrado, una unidad de cifrado por bloques toma un bloque de texto en claro como entrada y produce un bloque de igual tamaño de texto cifrado
como observas si ha utilizado esta forma es entonces el motivo de que el bloque tenga el mismo tamaño no???
si tienes el bootloader desensamblado y se puede pillar pues miraremos haber en que podemos ayudar de todas forma menuda currada te pegas santi saludos
Como siempre Santi nos dejas tiesos de panico lo que controlas tio, ojalà te vaya bien y confirmes tu teorìa, serìa un paso de gigante, la verdad es que a veces ni con sacacorchos, puesto que los fabricantes procuran no se filtre nada, si no fuese por los estudios esto serìa un caos, ¡¡gracias y gracias y gracias!.
Muchísimas gracias por tu desensamblado, ya que si te fijas en el mio, esta echo a mano y tiene muchísimos errores, por eso no me aclaraba xD
Y efectivamente es mas parecido al [B][I]XTEA[/I][/B], exceptuando ese desplazamiento a la derecha de 9 bytes en vez de 11 y el AND de 0xC que le hace en vez de 3, y he tu has marcado en azul.
Y que según su juego de instrucciones quedaría así, aunque no estoy seguro
[CODE] for(i=0; i<num_rounds; i++) {
v1 -= ((v0 << 4 ^ v0 >> 5) + v0) ^ (sum + k[(sum >>[COLOR="Blue"] 9[/COLOR] & [COLOR="Blue"]12[/COLOR]) + a2]);
sum -= delta;
v0 -= ((v1 << 4 ^ v1 >> 5) + v1) ^ (sum + k[(sum [COLOR="Blue"]<< 2[/COLOR] & 3) + a2]);
}[/CODE]
Osea que seguramente sera una pequeña variación que le han realizado a ese algoritmo para salirse del estándar, lo que no tengo claro es si necesitaría algún vector de inicio determinado para realizar el primer xoreo y si el numero de rondas viene definido.
[B]PD:[/B] Otra cosa, hace ya barios meses, el señor "[B][I]Lemrid[/I][/B]" subió al Upload-5 un bonito Dump completo de la SDRAM de uno de estos firms de moresat, con el nombre de "[B][I]RamDump.zip[/I][/B]" xD
Le estoy echando un vistazo y por fecha y tamaño del maincode coincide con el "sw_V1.3.6_072407.bin" y aparte de tener el maincode desempaquetado, se ven varias cosas interesantes jeje, luego os cuento xD
[QUOTE] Otra cosa, hace ya barios meses, el señor "Lemrid" subió al Upload-5 un bonito Dump completo de la SDRAM de uno de estos firms de moresat, con el nombre de "RamDump.zip" xD
Le estoy echando un vistazo y por fecha y tamaño del maincode coincide con el "sw_V1.3.6_072407.bin" y aparte de tener el maincode desempaquetado, se ven varias cosas interesantes jeje, luego os cuento [/QUOTE]
lo he mirado con ida fre que tengo y he observado la zona de los mandos compatibles como el universal 2005 set por ejejmplo y un detalle que me ha resultado chocante hay una lista de receptores en la que esta incluido el sl65s y el sl35s esto que significa que esta excluido o que es compatible con este fichero????
ademas me he bajado uno de de los ultimos y he mirado el boot y pone algo de que esta comprimido en gzip con este ida no obsevo eso detalle que mencionais por que motivo que realizo mal???
Última edición por barrigaverde; 04/02/2008 a las 14:13.
lo he mirado con ida fre que tengo y he observado la zona de los mandos compatibles como el universal 2005 set por ejejmplo y un detalle que me ha resultado chocante hay una lista de receptores en la que esta incluido el sl65s y el sl35s esto que significa que esta excluido o que es compatible con este fichero????
ademas me he bajado uno de de los ultimos y he mirado el boot y pone algo de que esta comprimido en gzip con este ida no obsevo eso detalle que mencionais por que motivo que realizo mal???
Wenas Barigaverde
Te intentare responder por partes.
Respecto a lo que comentas de lo de la lista de receptores y lo del mando, que has visto en ese RamDump, no te compliques, ya que lo que se pretende en este hilo es intentar hallar la forma de descifrar esos maincodes, y una vez que se halle la forma, ya se miraría con calma lo de adaptarlos a nuestros decos, la cuestión es intentar entender el algoritmo que utilizan esos boots y sacar sus claves, el resto no seria mucho problema xD
Y respecto a que en el boot pone lo de gzip es porque esos boot soportan la descompresión de los dos formatos, pero los de moresat cifrados realmente son [B]lzma[/B], ya que si te fijas en ese "RamDump" en el [B]Offset 0x00400000[/B] se ve claramente la cabecera y parte de su maincode descifrado pero sin desempaquetar aun, lo que pasa que al estar machacado, solo se le puede extraer en claro apenas unos 300 bytes, pero algo es algo, y eso seria otro tema a parte, por si no se da con la clave secreta, intentar utilizarlo de forma inversa
Pero a lo que me refería de que se ven cosas interesantes en ese [B]RamDump[/B], me refería a cosas como estas xD
Y por ultimo, el código en "[B]C[/B]" del supuesto algoritmo que pusimos, es simplemente una interpretación del desensamblado de lo que interesa del boot, utilizando el [B]juego de instrucciones[/B] de los MIPS, y que en la Wikipedia los tienes
[URL="http://es.wikipedia.org/wiki/MIPS_%28procesador%29"]http://es.wikipedia.org/wiki/MIPS_%28procesador%29[/URL]
[B]PD:[/B] Del [B]IDA Pro[/B], no te puedo ayudar mucho, ya que la versión que yo utilizo, con los MIPS no me termina de funcionar, y por eso estoy realizando los desensamblados a mano poco a poco y con bastantes errores jeje
Luego os pongo otro trocito que hice anoche, y que seria la continuación por arriba del trozo que puso Jubamo, y que seguramente es donde estaría supuesta mente las rondas que debe realizar y la generación de las subclaves.
Última edición por SantiPHREACK; 04/02/2008 a las 17:17.
pues nada te comento sin nisiquiera saber como va el ida que bueno me ha parecido que no lo hace del todo bien pero algo se entiende eso de a mano ya me diras con que haber si es que lo tengo y no lo he utilizado de todas formas grs por tu atencion saludos
pues nada te comento sin nisiquiera saber como va el ida que bueno me ha parecido que no lo hace del todo bien pero algo se entiende eso de a mano ya me diras con que haber si es que lo tengo y no lo he utilizado de todas formas grs por tu atencion saludos
Wenas Barrigaverde, te cuento respecto al IDA Pro, al final ya lo he hecho funcionar mas o menos correctamente, siguiendo las instrucciones de configuración que puso "[B]prc600[/B]" en su manual de "TUTORIAL Analyse Firmware FTE-1_EN.zip", y desensambla perfectamente, el único inconveniente es que no lo hace del tirón y hay que ir indicándole por donde debe seguir, osea que es cuestión de dedicarle horas para conseguir un desensamblado del boot completo xD
Con lo de realizarlo a mano, me refiero a utilizar cualquier Disassembler sencillo para MIPS e ir interpretando su "juego de instrucciones" y registros manualmente.
Yo suelo utilizar el "[B]LemAsm.exe[/B]", que aunque se supone que era para las roms de N64, configurándolo correctamente con el "Byteswap" y "Wordswap" también nos vale a nosotros, y que creo que también hay una versión parcheada para los Humax, aunque prefiero el "[B]ps2dis.exe[/B]" que es automático y tiene muchas mas funciones xD
Y a lo de interpretar el "juego de instrucciones" de los MIPS para ver lo que hace cada instrucción, aquí os pongo un ejemplo del trocito que os comente el otro día, con mas o menos las instrucciones que realiza a cada registro para entenderlo mas fácilmente.
[CODE]BootLoader_SMT01---0.9.9_(2007-10-11).bin
-------------------------------------------------------------------------------------------------------------------------
...
0xBFC0DC84: 37008010 -> 10800037 beqz a0,0xBFC0DCA4 // Salto si es igual a 0 -> if (a0 = 0) go to 0xBFC0DCA4
0xBFC0DC88: 21100000 -> 00001021 move v0,0 // Mueve registro -> mov zero to v0
0xBFC0DC8C: 21800000 -> 00008021 move s0,0 // Mueve registro -> mov zero to s0
0xBFC0DC90: 3180023C -> 3C028031 lui v0,0x8031 // Carga del inmediato superior -> v0 = 0x8031 << 16
0xBFC0DC94: A0F24524 -> 2445F2A0 addiu a1,v0,62112 // Suma con inmediato, sin signo -> a1 += (v0 + 0xF2A0)
0xBFC0DC98: F0FF0624 -> 2406FFF0 li a2,65520 // Carga valor inmediato -> a2 = 0xFFF0
0xBFC0DC9C: 08000426 -> 26040008 addiu a0,s0,8 // Suma con inmediato, sin signo -> a0 += (s0 + 8)
0xBFC0DCA0: 21208500 -> 00852021 addu a0,a0,a1 // Suma, sin signo -> a0 += (a0 + a1)
0xBFC0DCA4: 21100502 -> 02051021 addu v0,s0,a1 // Suma, sin signo -> v0 += (s0 + a1)
0xBFC0DCA8: 00004390 -> 90430000 lbu v1,0(v0) // Carga un byte al registro, sin signo -> v1 += k[v0 + 0]
0xBFC0DCAC: 00190300 -> 00031900 sll v1,v1,0x4 // Desplazamiento lógico a la izquierda -> v1 = v1 << 4
0xBFC0DCB0: 24186600 -> 00661824 and v1,v1,a2 // AND -> v1 = (v1 & a2)
0xBFC0DCB4: 00004290 -> 90420000 lbu v0,0(v0) // Carga un byte al registro, sin signo -> v0 += k[v0 + 0]
0xBFC0DCB8: 02110200 -> 00021102 srl v0,v0,0x4 // Desplazamiento lógico a la derecha -> v0 = v0 >> 4
0xBFC0DCBC: 25186200 -> 00621825 or v1,v1,v0 // OR -> v1 = v1 | v0
0xBFC0DCC0: 00008290 -> 90820000 lbu v0,0(a0) // Carga un byte al registro, sin signo -> v0 += k[a0 + 0]
0xBFC0DCC4: 26104300 -> 00431026 xor v0,v0,v1 // XOR, Or exclusivo -> v0 = v0 ^ v1
0xBFC0DCC8: 000082A0 -> A0820000 sb v0,0(a0) // Almacenamiento de byte -> v0 = k[a0 + 0]
0xBFC0DCCC: 01001026 -> 26100001 addiu s0,s0,1 // Suma con inmediato, sin signo -> s0 += (s0 + 1)
0xBFC0DCD0: 0800022A -> 2A020008 slti v0,s0,8 // Inicializar si menor que con inmediato -> v0 = (s0 < 8)
0xBFC0DCD4: F2FF4054 -> 5440FFF2 bnezl v0,0xBFC0DCB0 // Salto si no es menor -> if (v0 !> v0) go to 0xBFC0DCB0
0xBFC0DCD8: 08000426 -> 26040008 addiu a0,s0,8 // Suma con inmediato, sin signo -> a0 += (s0 + 8)
0xBFC0DCDC: 09002012 -> 12200009 beqz s1,0xBFC0DCFC // Salto si es igual a 0 -> if (s1 = 0) go to 0xBFC0DCFC
0xBFC0DCE0: 21800000 -> 00008021 move s0,0 // Mueve registro -> mov zero to s0
0xBFC0DCE4: 21189002 -> 02901821 addu v1,s4,s0 // Suma, sin signo -> v1 += (s4 + s0)
0xBFC0DCE8: 21105002 -> 02501021 addu v0,s2,s0 // Suma, sin signo -> v0 += (s2 + s0)
0xBFC0DCEC: 08004290 -> 90420008 lbu v0,8(v0) // Carga un byte al registro, sin signo -> v0 += k[v0 + 8]
0xBFC0DCF0: 000062A0 -> A0620000 sb v0,0(v1) // Almacenamiento de byte -> v0 = k[v1 + 0]
0xBFC0DCF4: 01001026 -> 26100001 addiu s0,s0,1 // Suma con inmediato, sin signo -> s0 += (s0 + 1)
0xBFC0DCF8: 2B101102 -> 0211102B sltu v0,s0,s1 // Inicializar si menor que -> v0 += (s0 < s1)
0xBFC0DCFC: FAFF4014 -> 1440FFFA bnez v0,0xBFC0DD10 // Salto si no igual -> if (v0 != v0) go to 0xBFC0DD10
0xBFC0DD00: 21189002 -> 02901821 addu v1,s4,s0 // Suma, sin signo -> v1 += (s4 + s0)
0xBFC0DD04: 21208002 -> 02802021 move a0,s4 // Mueve registro -> mov s4 to a0
0xBFC0DD08: 21282002 -> 02202821 move a1,s1 // Mueve registro -> mov s1 to a1
0xBFC0DD0C: 3180063C -> 3C068031 lui a2,0x8031 // Carga del inmediato superior -> a2 = 0x8031 << 16
0xBFC0DD10: 73360C0C -> 0C0C3673 jal 0x00D9CC // Salto y enlace -> goto 0xD9CC
0xBFC0DD14: A0F2C624 -> 24C6F2A0 addiu a2,a2,60956 // Suma con inmediato, sin signo -> a2 += (a2 + 0xF2A0)
0xBFC0DD18: F0FF0624 -> 2406FFF0 li a2,62112 // Carga valor inmediato -> a2 = 0xFFF0
0xBFC0DD1C: 24302602 -> 02263024 sltu a2,a2,v0 // Inicializar si menor que -> a2 += (a2 < v0)
0xBFC0DD20: 21308602 -> 02863021 addu a2,s4,a2 // Suma, sin signo -> a2 += (s4 + a2)
0xBFC0DD24: 0001C624 -> 24C60100 addiu a2,a2,256 // Suma con inmediato, sin signo -> a2 += (a2 + 256)
0xBFC0DD28: 21208002 -> 02802021 move a0,s4 // Mueve registro -> mov s4 to a0
0xBFC0DD2C: 09F8E002 -> 02E0F809 jalr s7 // Salto y enlace a registro -> goto reg s7
0xBFC0DD30: 2128C002 -> 02C02821 move a1,s6 // Mueve registro -> mov s6 to a1
0xBFC0DD34: 0A004054 -> 5440000A bnezl v0,0xBFC0DD64 // Salto si no es menor -> if (v0 !> v0) go to 0xBFC0DD64
0xBFC0DD38: 21A80000 -> 0000A821 move s5,0 // Mueve registro -> mov zero to s5
0xBFC0DD3C: 59370C08 -> 080C3759 j 0xBFC0DD64 // Salto a direccion -> goto address 0xBFC0DD64
0xBFC0DD40: 2110A002 -> 02A01021 move v0,s5 // Mueve registro -> mov s5 to v0
0xBFC0DD44: 21204002 -> 02402021 move a0,s2 // Mueve registro -> mov s2 to a0
0xBFC0DD48: 2128C002 -> 02C02821 move a1,s6 // Mueve registro -> mov s6 to a1
0xBFC0DD4C: 09F8E002 -> 02E0F809 jalr s7 // Salto y enlace a registro -> goto reg s7
0xBFC0DD50: 21308002 -> 02803021 move a2,s4 // Mueve registro -> mov s4 to a2
0xBFC0DD54: 0100422C -> 2C420001 sltiu v0,v0,1 // Inicializar con inmediato si es menor que -> v0 += (v0 < 1)
0xBFC0DD58: 23100200 -> 00021023 negu v0,v0 // Niega el valor, sin signo -> v0 += v0
0xBFC0DD5C: 24A8A202 -> 02A2A824 and s5,s5,v0 // AND -> s5 = (s5 & v0)
0xBFC0DD60: 2110A002 -> 02A01021 move v0,s5 // Mueve registro -> mov s5 to v0
0xBFC0DD88: 0800E003 -> 03E00008 jr ra // Salto a registro -> goto reg ra
0xBFC0DD8C: 3800BD27 -> 27BD0038 addiu sp,sp,56 // Suma con inmediato, sin signo -> sp += (sp + 56)
...
-------------------------------------------------------------------------------------------------------------------------
[/CODE]
[B]PD: [/B]Mas cosas, aunque no tiene nada que ver con el tema, te cuento que lo que comentabas respecto a la lista de clones y configuraciones que llevan los firms en su interior, ya he descubierto para que es jeje, y es simplemente la tabla de identificación de cada byte de la supuesta "[B]Eepron 24c02[/B]" que llevan los MAXs y algunos clones, es decir, es la identificación de cada uno de esos 32 Bytes de esa supuesta eepron y que dependiendo del valor en hexadecimal de cada byte el deco identifica el tipo de Tuner, flash, mando, audio, modelo, etc del clon en concreto, es decir su configuración, por eso si alguno tiene esa eeprom corrupta, no le funcionaria el tuner ni mando correctamente y por mucho que lo flashe no podrá repararlo si no se reprograma correctamente los valores de esa supuesta eeprom xD
Ya tengo localizado lo que significa cada valor en hex de cada byte y su posición en dicha eeprom, y seguramente le incluiré al ALi-Fixer una pequeña utilidad para analizar si el contenido de dicha eepron es correcto simplemente pegando esos 32 bytes y que muestre todos los parámetros de su configuración xD
bueno pues como simpre grs santi por lo menos el comentar eso posibles clones ha valido de algo aunque sea para impulsate a mirarlo estudiare lo que me has pasado saludos y lo del microx ya lo tenia visto uno anterior grs de nuevo
bueno pues realizando una busqueda ahora he mirado y si lo tenia este ultimo pero creia que no valia para estos chips ali pues habia leido en el otrolado esta traduccion:
Buscar y analizar los archivos binarios de PS2
motivo por el que no le lo mire mucho
Última edición por barrigaverde; 06/02/2008 a las 15:15.
saludos santi he estado probando este : el "ps2dis.exe" que es automático, y pregunto solo funciona a golpe de clip de raton o puede funcionar con desplegable mas rapido con rueda ??
Wenas, como veo esto un poco parado y poca colaboración, me he puesto a repasar el desensamblado que pusimos del dichoso boot, y he corregido algunos errores del trocito que nos interesa, y quedaría mas o menos así:
[CODE]....
0xBFC0DD04: 21208002 -> 02802021 move $a0, $s4 # Mueve registro -> mov s4 to a0
0xBFC0DD08: 21282002 -> 02202821 move $a1, $s1 # Mueve registro -> mov s1 to a1
0xBFC0DD0C: 3180063C -> 3C068031 lui $a2, 0x8031 # Carga del inmediato superior -> a2 = 0x8031 << 16
0xBFC0DD10: 73360C0C -> 0C0C3673 jal 0x8031D9CC # Salto y enlace -> goto 0xBFC0D9CC
[B]0xBFC0DD14: A0F2C624 -> 24C6F2A0 la $a2, 0xF2A0 # Carga de Dirección de memoria -> a2 = 0x8031F2A0 -> KEY ??[/B]
0xBFC0DD18: F0FF0624 -> 2406FFF0 li $a2, 0xFFFFFFF0 # Carga valor inmediato -> a2 = 0xFFFFFFF0 -> VI ??
0xBFC0DD1C: 24302602 -> 02263024 and $a2, $s1, $a2 # AND -> a2 = (s1 & a2)
0xBFC0DD20: 21308602 -> 02863021 addu $a2, $s4, $a2 # Suma, sin signo -> a2 += (s4 + a2)
0xBFC0DD24: 0001C624 -> 24C60100 addiu $a2, 0x100 # Suma con inmediato, sin signo -> a2 += (a2 + 0x100) ->
0xBFC0DD28: 21208002 -> 02802021 move $a0, $s4 # Mueve registro -> mov s4 to a0
0xBFC0DD2C: 09F8E002 -> 02E0F809 jalr $s7 # Salto y enlace a registro -> goto reg s7
0xBFC0DD30: 2128C002 -> 02C02821 move $a1, $s6 # Mueve registro -> mov s6 to a1
0xBFC0DD34: 0A004054 -> 5440000A bnezl $v0, 0xBFC0DD64 # Salto si no es menor -> if (v0 !> v0) go to 0xBFC0DD64
0xBFC0DD38: 21A80000 -> 0000A821 move $s5, $0 # Mueve registro -> mov zero to s5
0xBFC0DD3C: 59370C08 -> 080C3759 j 0xBFC0DD64 # Salto a direccion -> goto address 0xBFC0DD64
0xBFC0DD40: 2110A002 -> 02A01021 move $v0,$s5 # Mueve registro -> mov s5 to v0
...[/CODE]
Os cuento, el problema que tuve es que al estar desensamblado a mano, en el Offset 0x0DD14 que hay "24C6 F2A0", interprete dicha instrucción "24C6" como una Suma sin signo erróneamente, ya que no me fije que dos instrucciones mas arriba le cargaba a ese mismo registro el comienzo de una dirección de memoria "0x8031", con lo cual la instrucción correcta seria un "la", es decir la carga del Offset "0x8031F2A0" en el registro a2, y sabiendo que a partir de 0x80310000 es la zona de la SRAM donde se almacena la copia de dicho Boot, y equivale al Offset [B]0xBFC0F2A0[/B] de la flash, entonces la dirección que nos interesaría seria "0xF2A0" a secas, y al ir a dicha dirección para ver que es lo que contiene, sorpresa jeje, es una cadena de [B]16 Bytes[/B] que no son código ejecutable ni ningún valor de configuración, y que curiosamente solo la tienen los boots a partir de la vers 0.9.6 que fue cuando empezaron a cifrar los maincodes lo de moresat. xD
Con lo cual me da que pensar que esos 16 Bytes son los que utiliza el boot para descifrar el maincode antes de descomprimirlo, osea la "Key" necesaria jeje, y si nos fijamos un poco mas en el desensamblado, se pueden deducir otros dos parámetros interesantes xD
[CODE][B]"0xFFFFFFF0"[/B] -> Que podría ser el Vector de Inicio necesario para realizar las rondas ??
[B]"0x100" = 256 Bytes[/B] -> Que seguramente sera el tamaño de sector de cada ronda ??[/CODE]
[B]PD:[/B] Yo he probado esa "supuesta" clave ByteFlopeada y sin ByteFlopear con todos los algoritmos simétricos públicos en modo CBC por si era otro, pero sin éxito, osea que como ya vimos anteriormente, seguramente se tratara de una modificación propia que le han realizado al [B]XTEA[/B], con lo cual no queda mas remedio que seguir depurando el desensamblado para intentar portarlo a C u otro lenguaje mas comprensible e ir compilandolo con pequeñas variaciones hasta que demos con la variación del algoritmo que le han hecho.
[QUOTE]Wenas Barrigaverde, te cuento respecto al IDA Pro, al final ya lo he hecho funcionar mas o menos correctamente, siguiendo las instrucciones de configuración que puso "prc600" en su manual de "TUTORIAL Analyse Firmware FTE-1_EN.zip", y desensambla perfectamente, el único inconveniente es que no lo hace del tirón y hay que ir indicándole por donde debe seguir, osea que es cuestión de dedicarle horas para conseguir un desensamblado del boot completo xD[/QUOTE]
Thank you for the reference! Sorry for the english but I don't speak spanish! I have other tutorials during some period! Yes, It go slow, the goal of these tutorials is to give access for beginners to start with IDA PRO!
Thanks for your work especially to jumambo and his JTAG Flaps, who gives me the base for a implementation only for my FTE S200 and Jkeys Cable!
You made all a wonderfull works, I'm stunned of your talents!
So little time and so much project...
Última edición por prc600; 29/02/2008 a las 16:31.
saludos prc600 entiendo que tienes un programa para descompilar los ficheros grs lo buscare haber que tal funciona saludos
I don't know what is grs file? You put the firmware under IDA PRO and take a subroutine, sorry the tuto I made for it is in french! It doesn't decompile all the file! It works like st20dc, a subroutine at the time!
My dream, is it made all, and recreate the source code... but a dream...
I don't know what is grs file? You put the firmware under IDA PRO and take a subroutine, sorry the tuto I made for it is in french! It doesn't decompile all the file! It works like st20dc, a subroutine at the time!
My dream, is it made all, and recreate the source code... but a dream...
Hello I am constance morsat administrator and the st @ rgate team. Prc600 hi tu vas well as I can find no friends progressing well
__________________ fte max 102
fte max 100
administrator morsat
administrator snake sat
st@rgate team
moresat team
En un foro turco hay un hilo que hablaban de esto y han colgado con fecha de 27/04/08 un archivo que dicen que es para esto precisamente. Lo cuelgo en el 2 con el nombre de analisisfte.
En dicho foro decía texte decrypter fte moresat y un link para el fichero que he colgado en croteam
También venía un programa en francés que por lo que yo se de francés y por lo que hace el firm es trocearlo en las distintas partes que trae un firm y con el otro soft que traen se pueden unir. Vale para los ali b y c
Lo he colgado también con el nombre de ensambladesensambla
Saludos
Última edición por jamlu; 09/05/2008 a las 04:10.
Razón: error
Debido a que los de Moresat últimamente han dejado de lado a los 3329B y para colmo las novedades de las actualizaciones del resto de modelos solo funcionan con su nueva tarjeta Abracadabra, el señor Constance y prc600 del [B]S@TGate-Team[/B] han decidido publicar por fin su "MainCode Decrypter v0.2.0" para los 3329B de Moresat xD
Y como bien supusimos, el cifrado de dichos maincodes se trataba del algoritmo [B]XTEA[/B] con la clave del boot, pero lo curioso es que esa supuesta clave también estaba cifrada y era necesario mandársela al microcontrolador que tienen en la pequeña placa del panel frontal para que la descifrara y la devolviera en claro, y tras un simple SwapNibble y Xoreo con esa nueva subclave ya se podría aplicar el XTEA al maincode y desempaquetarlo xD
Lo bueno es que en la serie 3329B nunca han cambiado esa clave del boot, pero en caso de que cambiase alguna vez, seria fácil obtenerla en claro simplemente sniffando el trafico de inicio del panel frontal, o incluso obtenerla de la SDRAM xD
[B]PD:[/B] Cuando tenga algo de tiempo libre retomo y miro los Fixes para los FTE y mirare la forma de aplicarle este nuevo unpacker al ALi-Fixer
nada,seguimos con las mismas....ya van dos veces que me ha borrado el que sea el post pidiendo el descripter de los fte......haber que falta estoy cometiendo.......decirle al que borra los post,que gracias
santi no querias saber quien era el que borraba los post pidiendo el descripter pùes ya aparecio.....
gracias lanza solo era para conocerte el placer es mio
!!
ADVERTENCIAS !!:
Las informaciones aquí publicadas NO CONTIENEN KEYS para la
decodificación de ningún sistema: NO SON OPERATIVOS en sistemas SAT que
precisen de su correspondiente suscripción.
ESTA TOTALMENTE PROHIBIDO EL USO DE ESTAS INFORMACIONES PARA LA
MODIFICACIÓN O DEFRAUDACIÓN DE SISTEMAS DE ACCESO CONDICIONAL.
ESTOS FOROS SON MODERADOS Y NO SE PERMITE LA PUBLICACIÓN DE INFORMACIONES
ILEGALES POR PARTE DE LOS USUARIOS. EN CASO DE DETECTARSE ESTE TIPO DE
INFORMACIONES, LOS USUARIOS SERÁN EXCLUIDOS DE ESTAS PÁGINAS.
USO DE COOKIES: Utilizamos COOKIES y de terceros para mejorar nuestros servicios y navegación por la web. Si continua navegando, consideramos que acepta su uso.
02/02/2008, 21:29
#1
