能力值:
( LV1,RANK:0 )
|
-
-
26 楼
触控感觉有点迟钝,不知道是否有关联
|
能力值:
( LV5,RANK:60 )
|
-
-
27 楼
大佬牛逼
|
能力值:
( LV5,RANK:60 )
|
-
-
28 楼
yjmwxwx
上面这个固件已经有网友反馈了,可能顺序不对,我让他输入8CABD076E4911F3F试试,由于再论坛上交流还没收到他的反馈。那4K RAM知道里面是什么了,作者定义了一个数组,初始化的时候复制到内存 ... 从0X8051820复制了一个数组到0X20000000-0X20003F4C这个应该是系统初始化阶段,全局变量的加载过程,楼主找到的那个段是用于存储全局变量的RO段
最后于 2021-2-15 21:00
被backahasten编辑
,原因:
|
能力值:
( LV1,RANK:0 )
|
-
-
29 楼
新的1.10b固件具有新的保护。 请检查。 激活码被硬编码到固件中。 现在有很多人被封锁。
|
能力值:
( LV1,RANK:0 )
|
-
-
30 楼
新固件内部还包含激活码,作者每天对其进行更新,以包括新的合法激活码。 在线购买收音机的人被卖家骗了,他们现在无法更新,否则收音机将出现故障,创作者将无济于事。 有人说仍然可以修补固件,并且需要一个字节来使其完全工作。 我们花了钱买了完全激活的,但被骗了。 我很沮丧
|
能力值:
( LV4,RANK:40 )
|
-
-
31 楼
backahasten
yjmwxwx
上面这个固件已经有网友反馈了,可能顺序不对,我让他输入8CABD076E4911F3F试试,由于再论坛上交流还没收到他的反馈。那4K RAM知道里 ...
你说的对,是全局变量。
|
能力值:
( LV4,RANK:40 )
|
-
-
32 楼
haishivu
新固件内部还包含激活码,作者每天对其进行更新,以包括新的合法激活码。 在线购买收音机的人被卖家骗了,他们现在无法更新,否则收音机将出现故障,创作者将无济于事。 有人说仍然可以修补固件,并且需要一个字节 ...
贪小便宜吃大亏,既然价格便宜就只能用功能受限的了,不更新不就行了,要找也要找中国克隆产品的卖家。
|
能力值:
( LV4,RANK:40 )
|
-
-
33 楼
haishivu
新的1.10b固件具有新的保护。 请检查。 激活码被硬编码到固件中。 现在有很多人被封锁。 作者这个固件估计很早就被破解了只是没被公开,我公开后作者换了保护算法,以后别人修改要增加一些难度,我帮作者找BUG完全是免费的没盈利,我不是那些中国克隆产品的卖家,我是个农民有自己的事情要做,不可能也没兴趣盯着作者的固件。 其实只要比较两个更新的固件就可以找到修改了哪里,但是只要每次作者更新就要修改新的固件,估计也就那些中国克隆孔雀石卖家会这样做,我这没有硬件没有库函数签名文件也不使用软件仿真,完全静态看是比较麻烦的,我很贫穷也没工作买不起孔雀石SDR ,那些中国克隆孔雀石卖家也不可能给我一台,所以没兴趣搞这个对我没什么用的东西了。
最后于 2021-2-17 00:10
被yjmwxwx编辑
,原因:
|
能力值:
( LV1,RANK:0 )
|
-
-
34 楼
感谢你的回复。 算法没有改变,他只是增加了另一层保护:检查固件中是否存在注册的代码。 我可以看到,每次固件更改时,三个功能也会更改,但是我不知道它们的作用。 我们之所以感到羞耻,是因为卖家告诉我们我们作弊,但我们是从在线商店购买的,他们骗了我们,因为我们为激活的固件支付了更多费用。 我尊重您的决定,我理解您的意思。 我只是想说声谢谢,并祝您一切顺利。
|
能力值:
( LV4,RANK:40 )
|
-
-
35 楼
闲着没事再调试下作者1.10B版本,新版本作者把他注册的所有密码放到固件里面,做成一个表,然后和STM32 ID生成的密码比较,同时对密码表和0X8000000到0X8100000的数据校验。
由于没硬件所以才用QEMU,学下怎么用IDA +QEMU调试STM32 安装支持STM32的 xPack QEMU Arm 安装方法如下,有详细说明不再重复。 https://xpack.github.io/qemu-arm/
打开IDA 的debugger菜单设置一下调试
qemu 运行参数
"qemu-system-gnuarmeclipse" -machine STM32F429I-Discovery -s -S -kernel C:\311.bin
设置本机IP
运行可以连接了
通过比较新版和旧版固件很容易就找到了密码表地址0x80392d8
找哪个程序调用了这个表,发现是一个校验程序
向上找哪里调用的
我们又找到了读STM32ID的程序,通过分析上面两个是生成校验数组的。
往下看sub_800DB54是原来的ID号生成密码的程序
下面一些是对生成密码简单移位的程序,但是有上百行,人工看比较麻烦,所以运行动态调试
在0x800e270设个断点
运行以前的算号器生成本机密码
把IDA动态调试寄存器R6和R7改成 0XA52FF277和0XBC8FB975 0X800E3CC设个断点,运行看结果
运行
结果R0和R1 0x75b98fbc 0x77f22fa5 在下面函数里面设置个断点接着运行
这个不用调试肉眼就可以看出来,通过和密码表比较,密码表里面有就向R6+0x814地址写0XFA,没有就写0X58。
到这里已经知道怎么和密码表比较了
看固件BIN文件时候看到结尾有数据,这很不正常,看哪里调用看到两个对整个FLASH的校验程序
由于QEMU不支持STM32H7所以没办法运行整个程序,要是有硬件插上JILINK,一条命令就能锁定哪个程序校验整个固件,静态不容易看到哪里进行校验。
人家作者开发的东西,有人破解了还卖和作者原价骗人,希望有能力搞的免费改改。
三处锁简单绕开 0800DED4 由原来
str r4, [r6, # 0x814]
改成
str r7, [r6, # 0x814]
0800DD66由原来
str r0, [r3]
改成
str r2, [r3]
0800DC90和0800DC92由原来
ldr r2, [r4]
cmp r2, r3
改成
str r3, [r4]
cmp r3, r3
有硬件大家可以调试试试,我这没硬件实在没办法搞,连验证都没人验证,以后不再搞了。
Malahit_FW_1_10b.hex.zip 是原版固件
2.ZIP是修改的 2.zip
最后于 2021-3-13 17:34
被yjmwxwx编辑
,原因:
|
能力值:
( LV5,RANK:60 )
|
-
-
36 楼
yjmwxwx
闲着没事再调试下作者1.10B版本,新版本作者把他注册的所有密码放到固件里面,做成一个表,然后和STM32 ID生成的密码比较,同时对密码表和0X8000000到0X8100000的数据校验。由于没硬 ...
孔雀石sha 手
|
能力值:
( LV1,RANK:0 )
|
-
-
37 楼
我准备干一下试试,是把上面的2直接烧进去吗?
|
能力值:
( LV1,RANK:0 )
|
-
-
38 楼
yjmwxwx
闲着没事再调试下作者1.10B版本,新版本作者把他注册的所有密码放到固件里面,做成一个表,然后和STM32 ID生成的密码比较,同时对密码表和0X8000000到0X8100000的数据校验。由于没硬 ...
谢谢楼主的辛苦付出,好像不行啊,我转成DFU刷的
|
能力值:
( LV4,RANK:40 )
|
-
-
39 楼
mb_dfbcpebm
谢谢楼主的辛苦付出,好像不行啊,我转成DFU刷的 没硬件只看代码比较麻烦,看了看又找到两个锁,主要我没硬件没办法试验,发出来这么长时间才有人反馈太慢了。
再试试这个
1.10b破解版固件3.zip
最后于 2021-3-23 15:53
被yjmwxwx编辑
,原因:
|
能力值:
( LV2,RANK:10 )
|
-
-
40 楼
yjmwxwx
没硬件只看代码比较麻烦,看了看又找到两个锁,主要我没硬件没办法试验,发出来这么长时间才有人反馈太慢了。再试试这个
本来想试着刷3.zip, 发现提供的是bin格式,转换以后刷机秒过,但是开机还是1.10a, 估计是bin转dfu搞的不对,原版的hex转的要刷1分钟左右,bin转出来的是1秒就过了,不晓得哪里弄错了.
|
能力值:
( LV2,RANK:10 )
|
-
-
41 楼
satans
本来想试着刷3.zip, 发现提供的是bin格式,转换以后刷机秒过,但是开机还是1.10a, 估计是bin转dfu搞的不对,原版的hex转的要刷1分钟左右,bin转出来的是1秒就过了,不晓得哪里弄错 ...
我找到办法刷了,分别刷了原版和3.zip,没发现什么不同,1.10b只不过是在开机时候跳出一个警告页面,说你是盗版,然后几秒以后,功能正常使用. 我之前用注册机注册过. 不晓得3.zip是不是需要用空白机做试验.
|
能力值:
( LV4,RANK:40 )
|
-
-
42 楼
|
能力值:
( LV2,RANK:10 )
|
-
-
43 楼
yjmwxwx
satans
我找到办法刷了,分别刷了原版和3.zip,没发现什么不同,1.10b只不过是在开机时候跳出一个警告页面,说你是盗版,然后几秒以后,功 ...
返个警告的图,我现在刷的原版,除了开机多这个警告以外,暂时没发现其他不同,听了一早上FM,200M以上也可正常调到
另外:有没有办法破解一下350M的限制?现在这个频段会显示 OUT OF RANGE, 警用频率还是很有些欢乐可听的.
最后于 2021-3-23 12:34
被satans编辑
,原因:
|
能力值:
( LV2,RANK:10 )
|
-
-
44 楼
yjmwxwx
satans
我找到办法刷了,分别刷了原版和3.zip,没发现什么不同,1.10b只不过是在开机时候跳出一个警告页面,说你是盗版,然后几秒以后,功 ...
刷3.zip的确能正常用,我刷了以后,想看看和原版有啥区别,又刷了原版,结果发现一样的表现.就是多个警告.3.zip照样有警告,其他没发现不同, 也许和我之前用过注册机双号有关系,等我彻底清空再试试.
|
能力值:
( LV4,RANK:40 )
|
-
-
45 楼
satans
刷3.zip的确能正常用,我刷了以后,想看看和原版有啥区别,又刷了原版,结果发现一样的表现.就是多个警告.3.zip照样有警告,其他没发现不同, 也许和我之前用过注册机双号有关系,等我彻底清空再试试 ...
既然没破解也可以正常使用,你就没必要用破解的了,你的机器可能密码在密码表里。别的网友说刷原版功能有限制,刷3.ZIP就去掉了限制。
|
能力值:
( LV4,RANK:40 )
|
-
-
46 楼
satans
yjmwxwx
satans
我找到办法刷了,分别刷了原版和3.zip,没发现什么不同,1. ...
没区别你就用正版的就好了。作者设计的这个能收听350M么? 你的保密意识挺高啊,序列号还抹掉了。呵呵
|
能力值:
( LV2,RANK:10 )
|
-
-
47 楼
yjmwxwx
没区别你就用正版的就好了。作者设计的这个能收听350M么?
你的保密意识挺高啊,序列号还抹掉了。呵呵
我之前也是用的你的算号器,不可能在密码表里面,默认软件是屏蔽350M的,因为是警用频率.硬件是支持到2000M的,所以是软屏蔽,有望破解.刚才我刷那个clear固件以后,机器不能开机了,只能回家用电烙铁短接焊盘从头刷了.有啥结果我再告诉了.
|
能力值:
( LV4,RANK:40 )
|
-
-
48 楼
satans
我之前也是用的你的算号器,不可能在密码表里面,默认软件是屏蔽350M的,因为是警用频率.硬件是支持到2000M的,所以是软屏蔽,有望破解.刚才我刷那个clear固件以后,机器不能开机了,只能回家用电烙 ... 能正常使用就没必要折腾了啊,你是咸鱼上卖破解版的么?既然你是专业搞逆向的可以自己增加功能啊。 我只是给你提供了个作者清空外部FRAM固件的网址,刷个固件我不知道你为什么还要动烙铁,你要是自己把主板焊废了我可不能负责啊,我只不过免费把注册机和1.10b破解版提供给爱好者。 从你的回复可以知道你比我懂这个收音机,遇到 问题就没必要问我了吧。
最后于 2021-3-23 16:31
被yjmwxwx编辑
,原因:
|
能力值:
( LV2,RANK:10 )
|
-
-
49 楼
我就一普通无线电爱好者而已,刷了那个clear固件以后等于fram全清0了, 视同第一次刷机,要短接2个焊点,才能进DFU模式,刷过以后就不用了. 我自己买了个半成品折腾出来的,所以步骤都知道,不用担心. 嵌入式的逆向不太会.所以改不动.还是谢谢你的分享.
|
能力值:
( LV4,RANK:40 )
|
-
-
50 楼
satans
我就一普通无线电爱好者而已,刷了那个clear固件以后等于fram全清0了, 视同第一次刷机,要短接2个焊点,才能进DFU模式,刷过以后就不用了. 我自己买了个半成品折腾出来的,所以步骤都知道,不用 ...
哦是这样啊,我只用过JLINK刷STM32固件,DFU可能类似串口刷机需要设置BOOT引脚,我看了下那个显示警告的在显示作者信息的下面,应该盗版正版都会显示,那个试过的网友说刷原版虚拟键盘不能用,刷了3.ZIP就能用了,我这也没这个收音机,实在没办法试验,还是谢谢你帮忙验证。
|
|
|