Перейти к публикации
honick

О консолях Jtag, Freeboot, GlitchHack

Рекомендованные сообщения

honick

Наконец-то метод джтага работает на нексеноновских консолях (да ... запускаем неподписанный код на СЛИМАХ и всех версиях дашборда на толстых консолях!!!)

Скрытый контент

    Дайте ответ или ответьте на эту тему, чтобы увидеть скрытый контент.

Это также значит , что Вы сможете запустить приятный стафф , например игры с жесткого диска.

Скрытый контент

    Дайте ответ или ответьте на эту тему, чтобы увидеть скрытый контент.

Вы думаете это невозможно?

Вы думаете, хак возможен на тех старых джтаг консолях?

GliGli & Tiro скажут вам обратное! Они разработали хак, который работает на всех последних кернелах следующих плат:

ZEPHYR, JASPER .......ииии...... TRINITY (aka SLIM!)

(не важно на каком дашборде!!!)

The Xbox 360 reset glitch хак

Некоторые факты:

tmbinc сказал лично, софтверные попытки запуска неподписанного кода на 360 в большинстве случаев неработает, она разработана таким образом что защита блокирует их.

Процессор стартует исполнение кода с ROM (1bl), который потом загружает подписанный RSA и закриптованный RC4 кусок кода из нанда (CB).

СВ затем инициализирует секьюрити движок процессора, его заданием будет шифрование в режиме реального времени и хеш-проверка физической DRAM памяти.

шифрование и сильное хеширование. Шифр разный с каждой загрузкой , потому что в него добавляется соль по минимуму из этих мест:

- Хеш фьюзов.

- Значение встроенного счетчика

- Полностью рандомное значение идет из железного генератора случайных чисел, встроенного в процессор! На толстых версиях этот генератор мог быть софтово отключен, но у нас новя проблема - проверка

рандомности. (считает до 1 бита в СВ), и ждем реально рандомное число.

СВ может выполнять некое подобие програмного движка , основанного на байт-коде, чьим заданием будет инициализация DRAM, СВ может загрузить слудующий загрузчик (CD) из нанда в него и запустить его.

Стандартно CD будет загружать основное ядро из нанда ,патчить его и запускать.

Ядро содержить маленький , привилегированный кусочек кода (гипервизор), когда консоль стартует - это единственный код у которого будет достаточно привилегий для выполнения неподписанного кода.

В версиях ядра 4532/4548, критическая уязвимость в этом месте и все известные нам методы взлома, опираются на эти ядра для запуска неподписанного кода.

На сегодняшних 360, CD содержит хеш этих 2х ядер и перестает выполнять процесс загрузки при попытке их выполнения.

Гипервизор относительно маленький кусок кода , но проверяет - используете ли Вы эти уязвимости или нет и удостоверяется что Вы несможете!

С другой стороны, tmbinc сказал, что 360 небыла разработана с защитой от некоторых видов ЖЕЛЕЗНЫХ атак и "глюков"

Глюками сдесь будем называть исполнение процессорных багов в электронных нуждах.

Этим путем мы пойдем для выполенения неподписанного кода.

Несколько слов о ресетном глюке

===============================

На толстых консолях, загрузчик имел глюк в CB , и мы могли делать с CD , что хотели.

cjak нашел это путем подачи CPU_PLL_BYPASS сигнала, частота ЦПУ понижалась намного, есть тестовый пин на материнке, который показывает сскорость ЦПУ, 200 МГц при старте даша, 66,6 Мгц при

старте загрузчика, и 520КГц при подачи сигнала.

Итак мы пошли таким путем:

- Мы подали CPU_PLL_BYPASS сигнал перед пост кодом 36 (hex).

- Мы подождали старта POST 39 (POST 39 это сравнение памяти между внутренним хешем и хешем образа), и запустили счетчик.

- Когда тот счетчик достигает точного значения (обычно около 62% длины POST 39), посылаем 100нс импульс на CPU_RESET.

- Мы ждем некоторое время и снимаем CPU_PLL_BYPASS сигнал.

- Скорость ЦПУ возвращается в норму, и с небольшим бонусом - вместо получения ошибки POST error AD, процесс продолжается и СВ загружает наш кастомный CD.

Нанд содержит пару zero-paired CB, нашу прошивку в кастомном CD и модифицированный SMC образ.

Глюк в нормальных условиях неповторить - мы испрользуем модифицированный SMC образ, который перезагружается постоянно (стоквый образ перезагружает 5 раз и дает РРОД), после консоль загружается как

положенно, в большинстве случаев глюк успешен в течении 30 секунд от запуска до конца.

Детали хака слим версии

=================

Загрузчик , который мы гличили - CB_A, и мы можем запустить CB_B, как хотим.

В слимках мы несмогли найти пин на материнке для отслеживания CPU_PLL_BYPASS.

Нашей первой идеей было удаление 27Мгц мастер-резонатора, и генерация нужных нам чатот, но это оказалось технологически сложно и мы отошли от этой идеи.

Затем мы стали искать другие пути для снижения частоты ЦПУ и обратили внимание на то, что HANA чип имеет настраиваемые PLL регистры для частоты 100 Мгц, которые ведут за собой ЦПУ и ГПУ и другие детали.

Эти регистры записываются в SMC по шине i2c.

Доступ к i2c неограничен, даже есть пин на материнке (J2C3).

Итак HANA чип стал нашим оружием замедленияя ЦПУ.

Итак, как - же это пашет?

- Мы посылаем i2c комманду HANA чипу для замедления ЦПУ на POST коде D8.

- Мы ждем старта POST DA (POST DA это сравнение памяти между внутренним хешем и хешем образа), запускаем счетчик.

- Когда счетчик достигает точного значения, посылаем 20нс сигнал на CPU_RESET.

- Ждем некоторое время и посылаем i2c комманду на HANA чип для восстановления скорости ЦПУ.

- Скорость ЦПУ восстанавливается и опять удача - вместо получение ошибки POST F2, процесс загрузки продолжается и CB_A грузит наш кастомный CB_B.

Когда CB_B стартует, DRAM не инициализируется, нам только нужно применить несколько патчей для запуска любого CD, патчи:

- Все время деактивируем режим zеro-paired, итак мы можем юзать патченный SMC.

- Не декриптуем CD, вместо планируемого плейнтекста CD в нанде.

- Не прекращаем процесс загрузки если хеш CD нехорош.

CB_B это закриптованный RC4, ключ идет из ЦПУ ключа, и какже мы можем пропатчить CB_B без знания ЦПУ ключа???

Обычный RC4:

закриптованный = плейнтекст xor псевдо-рандомный-ключпоток

Итак - если мы знаем плейнтекст и закриптованную часть - мы получим ключпоток, и с ним мы можем криптовать наш код!

Выглядит так:

угаданное-псевдорандомное-значение = закриптованное xor плейнтекст

новое-шифрованное = угаданное-псевдорандомное-значение xor плейнтекст-патч

Думаете это проблема что первее курица или яйцо? Как мы получим плейнтекст??

У нас есть плейнтекст из CB толстых консолей и мы заменив пару байт получили плейн такойже как и в CB_B, и мы можем закриптовать маленький кусочек кода для дампа ЦПУ ключа и декриптовать CB_B!!!

Нанд содержит CB_A, патченный CB_B, нашу полезную нагрузку в кастомном CD плейнтексте, и модифицированный SMC.

SMC модифицирован для бесконечной перезагрузки, и предотвращения посылки i2c , пока мы шлем наши.

И ТЕПЕРЬ ВЫ ПОНЯЛИ, ЧТО CB_A НЕ СОДЕРЖИТ ПРОВЕРОК В ФЬЮЗАХ! И ЭТО НЕПРОПАТЧИВАЕМЫЙ ХАК!!!!

Подводные камни

===============

Не все еще идеально:

- Последовательность глюков, которую мы проверили (25% успеха на попытку). Может занят пару минут на загрузку.

- Эта последовательность похоже идет изза какогото хеша модифицированного загрузчика (CD для тослстых и CD_B для слимок).

- Требуется хорошее железо для посылок ресет сигналов.

Текущее состояние дел

================

Мы использовали плату Xilinx CoolRunner II CPLD (xc2c64a), потомучто быстрая, точная, обновляемая, дешевая и может работать на 2х разных логических напряжениях одновременно.

Использовали 48 Мгц частоту дежурного режима из 360 глюкометра (прим. переводчика). Для хака слима счетчик запускается на 96 Мгц.

CPID код записан в VHDL.

Нужно отслеживать ПОСТ коды , мы использовали пост - пины , мы сейчас можем отслеживать пост через 1 пост бит , это снижает колличество проводов!

В ролях :

GliGli, Tiros: Реверс инжинеринг и разработка хака.

cOz: Реверс инжинеринг, бета тестинг.

Razkar, tuxuser: бета тестинг.

cjak, Redline99, SeventhSon, tmbinc, и все, кого забыл... : Основной реверс инжинеринг и хаки 360.

Перевод by XEO

Скрытая информация: P.S.
Весь текст в наглую скопипащен с Xboxland.ru

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
makaka

молодец - класная новость!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Лютый

Афигеть. А теперь фотографию в студию - эту "паутинку" стоит увидеть

Скрытый контент

    Дайте ответ или ответьте на эту тему, чтобы увидеть скрытый контент.
default/30-0-3769.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Iron69

Афигеть. А теперь фотографию в студию - эту "паутинку" стоит увидеть

Скрытый контент

    Дайте ответ или ответьте на эту тему, чтобы увидеть скрытый контент.
default/30-0-3769.jpg

Там по ссылке есть и фотки и схемы

Но это пока всё бесполезно, нужен даш взломанный, они только не подписанный код запустили.

ЗЫ Я ещё вчера запостил источник c FAQ ENG :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
leonid4d

ого, вот так ВНЕЗАПНО!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
honick

Забыл дописать ,для хака вам еще понадобится программатор(для считывания CPU ключа ) и вот такая штука :

- XC2C64A CoolRunner-II CPLD (aka Digilent C-mod), подходящий коннектор и кабель-программатор XilinX JTAG

Изображение

На ебее 20 $ стоит,разлетаются как горячие пирожки )

Изменено пользователем honick

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
sword

Очень интересно как это все будет реализовываться в "быту" и насколько практично с точки зрения пользователей?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
honick

С точки зрения пользователей которым не нужен онлайн это очень и очень практично,т.к. не нужно брать болванки и в придачу получаешь бесплатно все DLC и эмуляторы старых консолей,ну может еще сторонний софт в виде мкв проигрывателей и т.п.

А в быту скорее всего будет реализовываться так : человек с прямыми руками и желанием наживы будет закупать партиями чипы и просить ~ 500 грн за установку ,в принципе выгодно,т.к. 50 тех же вербатимов и тдк стоят 500 грн .

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
vitos8289

Это что теперь любой бокс можно превратить в JTAG и запускать игры с внешнего жесткого?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
honick

Вижу я один в теме отвечаю ) ну ниче :)

vitos8289 Да,ты абсолютно прав .

Изменено пользователем honick

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
paver2959

Это все супер, только вот не пойму, а что в лайв выйти нельзя будет потом ? еще бы знать как его поять или нормальную иструкции по установки его.

Изменено пользователем paver2959

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Iron69

С точки зрения пользователей которым не нужен онлайн это очень и очень практично,т.к. не нужно брать болванки и в придачу получаешь бесплатно все DLC и эмуляторы старых консолей,ну может еще сторонний софт в виде мкв проигрывателей и т.п.

А в быту скорее всего будет реализовываться так : человек с прямыми руками и желанием наживы будет закупать партиями чипы и просить ~ 500 грн за установку ,в принципе выгодно,т.к. 50 тех же вербатимов и тдк стоят 500 грн .

Про xbox live arcade, бесплатные и полные, не написал. + запускаются игры любых регионов + иногда выкладывают бетки

500 грн. нормальная цена, если за работу и мод чип, на практике вначале будет раза в два три дороже.

Это что теперь любой бокс можно превратить в JTAG и запускать игры с внешнего жесткого?

Да, "любой бокс можно превратить в JTAG". "запускать игры с внешнего жесткого" - пока нет.

Это все супер, только вот не пойму, а что в лайв выйти нельзя будет потом ? еще бы знать как его поять или нормальную иструкции по установки его.

Лайва на JTAG нет, вернее ты можешь зайти туда но через несколько минут тебя забанят. Есть небольшая альтернатива Xlink. Инструкции пока не актуальны, нет взломанного дашборда, который запускает игры с винта.

Ну разве что ты сам взломаешь

Скрытый контент

    Дайте ответ или ответьте на эту тему, чтобы увидеть скрытый контент.
default/30-0-3769.jpg

Изменено пользователем Iron69

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Blacksun

Ребятушки в связи с выходом нового формата дисков эта ТЕМА будет ну оочень актуальной и главное чтобы все работало !!!!!!!!! :siski:

Скрытый контент

    Дайте ответ или ответьте на эту тему, чтобы увидеть скрытый контент.
default/wacko.gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Slepoj

...просить ~ 500 грн за установку ,в принципе выгодно,т.к. 50 тех же вербатимов и тдк стоят 500 грн .

За такие деньги клиентов у них будет маловато. Такая цена будет "нормальной" только в самом начале, для самых-самых нетерплячих

Скрытый контент

    Дайте ответ или ответьте на эту тему, чтобы увидеть скрытый контент.
default/dirol.gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Blacksun

За такие деньги клиентов у них будет маловато. Такая цена будет "нормальной" только в самом начале, для самых-самых нетерплячих

Скрытый контент

    Дайте ответ или ответьте на эту тему, чтобы увидеть скрытый контент.
default/dirol.gif

Ты так думаешь-а новые игры по 400-500 за штуку дешевле??

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
honick

Вы че,помимо игр можно будет ставить хоумбрю,мкв плеер уже есть кстати,линукс,запускать некоторые игры официально не поддерживающиеся эмулятором(МГС2 например) и т.п. Ну и все игры от 360 тоже

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
SolidMaks

Слышал, что фальконы нельзя будет хакнуть. Это правда?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
honick

Не совсем так,просто у разработчиков хака под рукой не было консоли данной ревизии .

По-идее можно все с HANA чипом (то бишь с HDMI) .

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Blacksun

Ждемс.

Скрытый контент

    Дайте ответ или ответьте на эту тему, чтобы увидеть скрытый контент.
default/sad.gif ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Slepoj

Ты так думаешь-а новые игры по 400-500 за штуку дешевле??

Игры, в которые я сейчас играю, стоят 15 грн. за штуку. Исходя из такой позиции я делал свое предположение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
honick

А следующие будут как раз 400-500 за штуку,т.к. новый формат диска и прошка его не играет и на обычные двухслойки он не влазит =>only license.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
SolidMaks

Жду с нетерпением. Есть старый боксик (фалькон). Живой. Забаненый. Переделанный (привод вынесен наружу, а вместо него куллер 120мм). Осталось сделать JTAG и все супер :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Blacksun

Знакомый Мастер начал работать в данном направлении,руки у него золотые может сделает.Если что отпишусь!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Slepoj

...привод вынесен наружу, а вместо него куллер 120мм...

Есть инструкция или на худой конец фото- как это правильно делается?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
SolidMaks

Slepoj, да собственно инструкции нет. Просто удленил оба провода привода бокса.

Изображение

Один из них - обычный SATA (справа). Просто купил полуметровый провод.

Провод питания (слева) просто разрезал пополам и удленил.

Питание кулера вывел с материнки. Там есть несколько вариантов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

×