Инструмент для модификации прошивок модемов Huawei

[anvldko]

Тема предназначена для обсуждения и публикации программных инструментов модификации прошивок модемов Huawei.

[anvldko]

Распаковка и запаковка ядра kernel.img

Перепаковывает ramdisk и second

Разместите ядро kernel.img в boot-resources и следуйте подсказкам на экране. После перепаковки необходимо вручную прилепить заголовок с новым размером ядра.

Старый заголовок.
4B 45 52 4E 45 4C 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 72 72 75 00 00 80 70 A5 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00


Смотрим сколько байт получился файл, например 7 500 000 байт и переводим значение в hex, получаем 7270E0, далее вписываем это значение в заголовок в зеркальном отражении, сзада наперёд. 00 00 E0 70 72 . Ядро готово.


Новый заголовок.
Должно получиться вот так:
4B 45 52 4E 45 4C 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 E0 70 72 00 00 80 70 A5 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

Прошиваем ядро в модем, если с размером не напортачили, ядро должно запуститься.

[anvldko]

Проверка цифровой сигнатуры прошивок от ValdikSS
Оптимизировано мной для windows и python 3.8

Установите питон 3.8 в папку C:\python38 и выполните balong-signcheck.bat

Balong SignCheck
================

Balong SignCheck проверяет подпись безопасной загрузки (также известную как secuboot) LTE-маршрутизаторов и модемов Huawei на основе платформ Balong V7R11 (E3372h, E5573, E5577, E5770, E8372 и т. Д.) И V7R5 (B612s, B618s, B715s) и распечатывает хеш-коды MD5. который должен быть запрограммирован в группе efuse group0-3, чтобы микросхема HiSilicon загружалась в режиме secuboot.

================

[anvldko]

Ускоряем оригинальный интерфейс или отключаем логирование.

##Распаковываем

Код: Выделить всё

cd /app/webroot/WebApp/common/css && busybox gunzip *
cd /app/webroot/WebApp/common/js && busybox gunzip *
cd /app/webroot/WebApp/common/html && busybox gunzip *
cd /app/webroot/WebApp/common/language && busybox gunzip *
cd /app/webroot/WebApp/common/lib && busybox gunzip *
cd /

##Удаляем логи

Код: Выделить всё

cd /app/webroot/WebApp/common/language && busybox sed -i '/log.debug/d' * && busybox sed -ri '/log\.\w*\(\)/d' *
cd /app/webroot/WebApp/common/js && busybox sed -i '/log4javascript/d' * && busybox sed -ri '/log\.\w*\(\)/d' *
cd /app/webroot/WebApp/common/js && busybox sed -i '/log.debug/d' * && busybox sed -ri '/log\.\w*\(\)/d' *
cd /app/webroot/WebApp/common/js && busybox sed -i '/log.error/d' * && busybox sed -ri '/log\.\w*\(\)/d' *
cd /app/webroot/WebApp/common/js && busybox sed -i '/log.warn/d' * && busybox sed -ri '/log\.\w*\(\)/d' *
cd /app/webroot/WebApp/common/js && busybox sed -i '/log.trace/d' * && busybox sed -ri '/log\.\w*\(\)/d' *
cd /app/webroot/WebApp/common/html && busybox sed -i '/log4javascript/d' * && busybox sed -ri '/log\.\w*\(\)/d' *
cd /app/webroot/WebApp/common/html && busybox sed -i '/log.debug/d' * && busybox sed -ri '/log\.\w*\(\)/d' *
cd /app/webroot/WebApp/common/html && busybox sed -i '/log.error/d' * && busybox sed -ri '/log\.\w*\(\)/d' *
cd /app/webroot/WebApp/common/html && busybox sed -i '/log.warn/d' * && busybox sed -ri '/log\.\w*\(\)/d' *
cd /app/webroot/WebApp/common/html && busybox sed -i '/log.trace/d' * && busybox sed -ri '/log\.\w*\(\)/d' *
rm /app/webroot/WebApp/common/lib/log4javascript*
cd /

##Пакуем обратно

Код: Выделить всё

cd /app/webroot/WebApp/common/css && gzip *
cd /app/webroot/WebApp/common/js && gzip *
cd /app/webroot/WebApp/common/html && gzip *
cd /app/webroot/WebApp/common/language && gzip *
cd /app/webroot/WebApp/common/lib && gzip *
cd /

[kusakhan]

где найти шестнадцатеричный код изменения заголовка ....

Смотрим, сколько байтов получился файл, например 7 500 000 байт и переводим значение в шестнадцатеричный, получаем 7270E0, затем записываем это значение в заголовок в зеркальном отображении, задом наперед. 00 00 E0 70 72. Ядро готово

[anvldko]

где найти шестнадцатеричный код изменения заголовка ....

в оригинальном kernel.img , самое начало файла, его заголовок. В разныx ядрах , размер указан разный, но смещение постоянное, на моём примере вы с лёгкостью должны найти требуемое различие.

Далее на калькуляторе програмиста переводите новое значение в hex.

Если кто до пишет скрипт перепаковки, чтобы он ещё и заголовок автоматически менял было бы воообще супер, но пока он меняется вручную.

[kusakhan]

как править после репака показать этот тип

[anvldko]

Возмите заголовок из оригинального ядра и прилепите его в начало нового файла. Предварительно узнав сколько байт получился новый файл. Тем самым получим прошивку с индексом М пропатчив huaweidload, чтобы можно было прошивать любую прошивку, либо собрав своё ядро из исходников отключив проверку ефузе, удалив весь код из исходников блокирующий процессор, либо заменив его на true, то-есть всё окей и продолжить работу, даже если процессор блокирован и подпись не верна.

3372.gif

[anvldko]

Сделать дамп можно примерно так, но лучше конечно, если есть флешка делать на неё.

Код: Выделить всё

chmod 766 /online/nanddump2
nanddump2 /dev/mtd/mtd0 | gzip > /online/mtd0.bin.gz
nanddump2 /dev/mtd/mtd1 | gzip > /online/mtd1.bin.gz
nanddump2 /dev/mtd/mtd2 | gzip > /online/mtd2.bin.gz
nanddump2 /dev/mtd/mtd3 | gzip > /online/mtd3.bin.gz
nanddump2 /dev/mtd/mtd4 | gzip > /online/mtd4.bin.gz
nanddump2 /dev/mtd/mtd5 | gzip > /online/mtd5.bin.gz
nanddump2 /dev/mtd/mtd6 | gzip > /online/mtd6.bin.gz
nanddump2 /dev/mtd/mtd7 | gzip > /online/mtd7.bin.gz
nanddump2 /dev/mtd/mtd8 | gzip > /online/mtd8.bin.gz
nanddump2 /dev/mtd/mtd9 | gzip > /online/mtd9.bin.gz
nanddump2 /dev/mtd/mtd10 | gzip > /online/mtd10.bin.gz
nanddump2 /dev/mtd/mtd11 | gzip > /online/mtd11.bin.gz
nanddump2 /dev/mtd/mtd12 | gzip > /online/mtd12.bin.gz
nanddump2 /dev/mtd/mtd13 | gzip > /online/mtd13.bin.gz
nanddump2 /dev/mtd/mtd14 | gzip > /online/mtd14.bin.gz
nanddump2 /dev/mtd/mtd15 | gzip > /online/mtd15.bin.gz
nanddump2 /dev/mtd/mtd16 | gzip > /online/mtd16.bin.gz
nanddump2 /dev/mtd/mtd17 | gzip > /online/mtd17.bin.gz
nanddump2 /dev/mtd/mtd19 | gzip > /online/mtd19.bin.gz
cd /

[anvldko]

Вопрос - ответ..

Возможно ли получить доступ к отладке VxWorks в модеме e3372h?
Пропиши в ячейку nvram 53543 значение 49 03 00 00, и перезапусти модем. По умолчанию шелл VxWorks действительно блокируется. Ну и, надеюсь, at^shell=2 уже сделано.