Народ, ктонить ломал под Симбиан проги ? Искал в инете, инфы вообще неоказалось, так мелочи которые не помогут при взломе. Интересует вот что:
1) Чем ломать.
2) Какая нибудь инфа.

Всем откликнувшимся спасибо.

-----
~ the Power Of Reversing team ~

| Сообщение посчитали полезным:

кажется вот:



в данные сам перевел
надо разобраться со смещениями
switch в rom файлах по-другому как то реализован

тут 0x10-количество ветвлений
а потом идут просто смещения

и 0x91 непонятно что

кстати ни у кого случайно нет утилитки которая экспорты импорты из xip файлов и sdk для иды создает?

| Сообщение посчитали полезным:

coderus пишет:
в данные сам перевел
надо разобраться со смещениями
switch в rom файлах по-другому как то реализован


Чет типа addr = (828E57AC + offset * 2). Для 9 будет 828E57BE, для 0x14 - 828E57D4. Да и 0x91 тож походу смещение.

| Сообщение посчитали полезным:

coderus
почитай внимательнее мой предыдущий пост, я именно так и описывал, эта функция одинакова что для xip, что для обычных приложений.

для чего тебе экспорты из rom? DLL в симбиан вообще оперирует только ординалами, и выдрать из них ничего нельзя (разве что предположить название из работы экспортируемых функций).

чтобы узнать имена функций из непубличных dll, чисто теоретически можно скачать исходники симбиан фаундейшен, и посмотреть там. не знаю правда, много ли потрохов выложено на данный момент

| Сообщение посчитали полезным:

Blackdealer пишет:
0x91 тож походу смещение
а может быть ты и прав...
тогда 0x10 - количество ветвлений, счет от нуля?

и по какому принципу они *ветвятся*?


[wl], я просто почитал из статьи HEX о свитчах, там немного иначе, но все равно спасибо.
экспорты наверное для красоты, просто чтоб поименовать их

а имена функций?
idc для файлов из моего дампа, именующий функции, делал знакомый, но делиться утилитой он не хочет.
можно где либо поподробнее почитать об этом?

| Сообщение посчитали полезным:

чтобы сделать файл сигнатур, используется утилита zipids из состава IDA SDK, на вход ей подаешь .idt-файл примерно такого вида:

;DECLARATION
;ALIGNMENT 2

; Module Name and Description
0 Name=eikcore
;---------------------------------------
1 Name=_Z12InternalizeLR12TEikPortFlagR11RReadStream
2 Name=_ZN10CEikMsgWin10ConstructLER12RWindowGroup
3 Name=_ZN10CEikMsgWin12StartDisplayERK7TDesC1613TGulAlignment
....

получившийся .ids-файл кидаешь к другим, путь примерно такой: \IDA\ids\epoc9\arm\

я так делал синатуры для P.I.P.S

| Сообщение посчитали полезным:

а чтобы получить idt файл для конкретной dll понадобиться утилита dll2idt

и dll2idt и zipids входят в состав пакета ids utilities

| Сообщение посчитали полезным:

в SDK такого нет а утилиты ну нигде не могу скачать...
ое нашел наконецwww.woodmann.com/crackz/Ida.htm

dll2idt говорит что формат файла не поддерживается

а про idt вопрос в том и был, откуда получить имена функций?

мучал одно время romtools, но безрезультатно

| Сообщение посчитали полезным:

сколько можно повторять, что в симбиан НЕ ИСПОЛЬЗУЮТСЯ символьные имена функций, ТОЛЬКО ординалы. Ну нету названий функций в DLL и даже в ROM, который по сути свалка разных DLL и EXE расположенных по строго заданным адресам, и им не требуется релокация, XIP.
Все паблик библиотеки, которые есть в SDK, уже давным давно в .ids-файлах, закрытые библиотеки не имеют символьной информации, чтобы посмотреть, что там, надо скачать исходники симбиана. Можно даже сигнатуры создать, только запаришься манглить имена

| Сообщение посчитали полезным:

[wl] пишет:
закрытые библиотеки не имеют символьной информации, чтобы посмотреть, что там, надо скачать исходники симбиана.

Ну можно еще имена функций из отладочных сообщений выкусывать , которые периодически встречаются в прошивке. Так запаришься еще больше, и толку тоже не особо

coderus пишет:
и по какому принципу они *ветвятся*?
В смысле по какому принципу?

| Сообщение посчитали полезным:

Blackdealer, в смысле условия переходов на определенный case номер

спасибо, создал общую базу имен функций из SDK и сурсов EKA2
пришел к выводу что имена функций лучше брать из .dso в замангленном виде и так подставлять в имена, если заранее разманглить то вместо знаков будут подчеркивания

кстати IDA Python замечательная вещица




дебаг под 5.5 просто волшебный, рекомендую

| Сообщение посчитали полезным:

Переделал пример из SDK под работу с шаблонами контактов, именно туда котовские проги пишут свои настройки, данные о реге и прочее.
Функционалом не хлещет, но есть главное — импорт, экспорт, удаление.
Должна работать под S60v3 и v5.
Делалось «на коленке», так что сильно не пинать.

UPD:
Поправил обновление списка после удаления, залил на рапиду

| Сообщение посчитали полезным:

прочитала, опиши что с этим теперь делать

| Сообщение посчитали полезным:

По-моему из функционала ясно, что с этим можно делать.
А вообще, я сделал её для чистки «хвостов». Когда разбирался с JukeBox, с изменённым загрузчиком он начал вылетать при запуске с синим экраном Fatal Error и перезагрузкой смарта. После чего даже оригинал перестал работать. Чистка этих настроек помогла решить проблему.
Предполагаю, что таким образом можно восстанавливать регистрацию и прочие настройки котовских программ после формата. Можно посмотреть глубже — разобраться, что конкретно туда записывается, какой программой и как этим можно воспользоваться.

| Сообщение посчитали полезным:

TolyaN3z пишет:
Переделал пример из SDK под работу с шаблонами контактов, именно туда котовские проги пишут свои настройки, данные о реге и прочее.Функционалом не хлещет, но есть главное — импорт, экспорт, удаление. Должна работать под S60v3 и v5.
А можно такое под UIQ3?
Если не сложно!

| Сообщение посчитали полезным:

скажите есть ли в иде возможность запомнить настройки?
именно достает каждый раз заново ставить количество xref, тип строк, демангл имен итп

| Сообщение посчитали полезным:

coderus
Настройки IDA меняются в ida.cfg.
Количество xref - это что? Есть Количество отображаемых xref.
Тип строк - ASCII_STYLE
Демангл имён - DemangleNames

| Сообщение посчитали полезным:

спасибо, SHOW_XREFS и DemangleNames работают.
но вот ASCII_STYLE ставлю вручную на 6 (Pascal-style Unicode, length is 4 bytes) и все равно по умолчанию стандартный Unicode

IDA 5.5 распознала ARM_SWITCH и обозначила все case! (зы это с чем я боролся наверху страницы)

Кто нибудь знает как бороться с ошибкой:
давно еще создал ключ в реестре добавляющий в контекстное меню файлов пункт Disassemble.
вот иногда ида глючит и при выборе этого пунгда вываливает сообщение об ошибке: Fatal error: параметр задан неверно
хотя при ручном перетаскивании файла на ярлык все ок....

TolyaN3z, а твою прогу можно народу показать?

| Сообщение посчитали полезным:

Да можно, конечно.
А вообще интересно, кто-то уже пробовал что-то делать с ней?

| Сообщение посчитали полезным:

рега не пропадает пока все хвосты не удалишь.
но и не появляется если все 3 не восстановишь. вот так закручено.

| Сообщение посчитали полезным:

ребят! скажите, при запуске проги же в оперативку помещаются? AppTrk может их патчить. Есть ли способ узнать начальный адрес проги в памяти?

| Сообщение посчитали полезным:

По-моему, тебе нужно это

| Сообщение посчитали полезным:

coderus это какой трк может патчить чужую память? ты что, взломал его?

| Сообщение посчитали полезным:

Всем здравствуйте. Подскажите, существует ли общедоступное решение отображения call-stackа в дебаггере в IDA при вылете/панике/брейкпоинте под Symbianом? Заранее спасибо.

| Сообщение посчитали полезным:

[wl], если трк умеет менять значение регистров во время выполнения, то...или нет?
и где можно почитать про общение с трк по порту?
хочется разобраться как FCA сделал первый эксплойт

| Сообщение посчитали полезным:

coderus пишет:
хочется разобраться как FCA сделал первый эксплойт
Там патчится один байт (вернее бит ) в кернел памяти.
По части общения трк когда то давно объяснял ФЦА (переводить лень)
=================================
Some tips about protocol.

You must open COM port and write commands like this
7E 00 00 FF 7E - mean ping. First/last 0x7E something like marker start/end packet. 0xFF - checksum (FF-00-00). Second byte is command (IDs of commands can be found in msgcmd.h in TRK sources). Third byte is counter. Some commands needs parameters (also can be found in msgcmd.h).

You can compare listing above with this log of COM port (from another phone) to understanding.


Вот тут можно примеры посмотреть (снифал, чтобы лучше разобраться)
www.sendspace.com/file/ywsef9

| Сообщение посчитали полезным:

Подскажите где почитать описание структуры import table. Цель - добавить вызов функции из dll, для использования в своем коде.

| Сообщение посчитали полезным:

например, в книге "Symbian OS Internals: Real-time Kernel Programming"
на торрентах должна быть

| Сообщение посчитали полезным:

скажите а стандартный лоадер как нибудь можно научить именовать функции по сигнатурам?

| Сообщение посчитали полезным:

дело в том, что загруженные хексовским лоадером проги нельзя дебажить через TRK
пришлось написать скрипт сохраняющий имена всех функций в файл, потом гружу стандартным и возвращаю имена... хочется чтобы стандартный научился именовать функции

| Сообщение посчитали полезным:

Люди, нужна помощь.
Ковыряю программку под pre-9, в которой то-ли реализована проверка бинарника на целостность, то-ли просто баг (мало вероятно). В общем, любое изменение приводит к периодическому вылету программы (не постоянно, а только при интенсивном использовании проги). Причём вылет странный и закономерности в его появлении я не выявил - E32USER-CBase 71, по описанию этой ошибки всё ещё более становится непонятным - вылет происходит из-за не полной очистки стэка и попытке при этом выхода определённой функции из TRAP'а. Перебрал практически все TRAP'ы чтобы гарантировать правильный выход из них - без толку. В самом коде так же не видно следов умышленного исключения.
В общем, пошёл другим путём - нарыл к этой проге ключ под другой IMEI.
Сделал свой фейк plpvariant с тем же UID, что и в системе и подкинул в папку с прогой, которую она увидела и заработала с ней нормально. Всё вроде супер, прога зарегилась, работает, но тут появился самый главный косяк, которого и следовало ожидать в такой ситуации - если держать эту прогу открытой, все последующие запущенные программы будут работать с моей plpvariant, и соответственно будут получать другой IMEI.
В принципе, смысл понятен: загрузчик ищет нужную либу, находит её рядом с бинарником и подгружает в память, чем "перекрывает" существующую библиотеку. Соответственно, ядро имеет структуру DLibrary, в которой есть счётчик пользователей библиотеки и держит её, пока все (в данном случае - обьект исследования) не отпустят, потом удаляет из памяти. После удаления все проги снова начинают работать с оригинальной plpvariant.
Почитал Symbian OS Internals, как я понял, выгрузить библиотеку принудительно не выйдет. Или можно как-то добраться до обьекта DLibrary?
Если сразу же грузить другой прогой намеренно либу с диска Z, то она загрузится, но тогда и "мишень" загрузит её тоже (IMEI сверяется несколько раз). Получается замкнутый круг.
Что делать? Может кто встречался с подобным?

| Сообщение посчитали полезным: