Перейти к содержанию

О консолях Jtag, Freeboot, GlitchHack


honick

Рекомендуемые сообщения

Наконец-то метод джтага работает на нексеноновских консолях (да ... запускаем неподписанный код на СЛИМАХ и всех версиях дашборда на толстых консолях!!!)

This is the hidden content, please

Это также значит , что Вы сможете запустить приятный стафф , например игры с жесткого диска.

This is the hidden content, please

Вы думаете это невозможно?

Вы думаете, хак возможен на тех старых джтаг консолях?

GliGli & Tiro скажут вам обратное! Они разработали хак, который работает на всех последних кернелах следующих плат:

ZEPHYR, JASPER .......ииии...... TRINITY (aka SLIM!)

(не важно на каком дашборде!!!)

The Xbox 360 reset glitch хак

Некоторые факты:

tmbinc сказал лично, софтверные попытки запуска неподписанного кода на 360 в большинстве случаев неработает, она разработана таким образом что защита блокирует их.

Процессор стартует исполнение кода с ROM (1bl), который потом загружает подписанный RSA и закриптованный RC4 кусок кода из нанда (CB).

СВ затем инициализирует секьюрити движок процессора, его заданием будет шифрование в режиме реального времени и хеш-проверка физической DRAM памяти.

шифрование и сильное хеширование. Шифр разный с каждой загрузкой , потому что в него добавляется соль по минимуму из этих мест:

- Хеш фьюзов.

- Значение встроенного счетчика

- Полностью рандомное значение идет из железного генератора случайных чисел, встроенного в процессор! На толстых версиях этот генератор мог быть софтово отключен, но у нас новя проблема - проверка

рандомности. (считает до 1 бита в СВ), и ждем реально рандомное число.

СВ может выполнять некое подобие програмного движка , основанного на байт-коде, чьим заданием будет инициализация DRAM, СВ может загрузить слудующий загрузчик (CD) из нанда в него и запустить его.

Стандартно CD будет загружать основное ядро из нанда ,патчить его и запускать.

Ядро содержить маленький , привилегированный кусочек кода (гипервизор), когда консоль стартует - это единственный код у которого будет достаточно привилегий для выполнения неподписанного кода.

В версиях ядра 4532/4548, критическая уязвимость в этом месте и все известные нам методы взлома, опираются на эти ядра для запуска неподписанного кода.

На сегодняшних 360, CD содержит хеш этих 2х ядер и перестает выполнять процесс загрузки при попытке их выполнения.

Гипервизор относительно маленький кусок кода , но проверяет - используете ли Вы эти уязвимости или нет и удостоверяется что Вы несможете!

С другой стороны, tmbinc сказал, что 360 небыла разработана с защитой от некоторых видов ЖЕЛЕЗНЫХ атак и "глюков"

Глюками сдесь будем называть исполнение процессорных багов в электронных нуждах.

Этим путем мы пойдем для выполенения неподписанного кода.

Несколько слов о ресетном глюке

===============================

На толстых консолях, загрузчик имел глюк в CB , и мы могли делать с CD , что хотели.

cjak нашел это путем подачи CPU_PLL_BYPASS сигнала, частота ЦПУ понижалась намного, есть тестовый пин на материнке, который показывает сскорость ЦПУ, 200 МГц при старте даша, 66,6 Мгц при

старте загрузчика, и 520КГц при подачи сигнала.

Итак мы пошли таким путем:

- Мы подали CPU_PLL_BYPASS сигнал перед пост кодом 36 (hex).

- Мы подождали старта POST 39 (POST 39 это сравнение памяти между внутренним хешем и хешем образа), и запустили счетчик.

- Когда тот счетчик достигает точного значения (обычно около 62% длины POST 39), посылаем 100нс импульс на CPU_RESET.

- Мы ждем некоторое время и снимаем CPU_PLL_BYPASS сигнал.

- Скорость ЦПУ возвращается в норму, и с небольшим бонусом - вместо получения ошибки POST error AD, процесс продолжается и СВ загружает наш кастомный CD.

Нанд содержит пару zero-paired CB, нашу прошивку в кастомном CD и модифицированный SMC образ.

Глюк в нормальных условиях неповторить - мы испрользуем модифицированный SMC образ, который перезагружается постоянно (стоквый образ перезагружает 5 раз и дает РРОД), после консоль загружается как

положенно, в большинстве случаев глюк успешен в течении 30 секунд от запуска до конца.

Детали хака слим версии

=================

Загрузчик , который мы гличили - CB_A, и мы можем запустить CB_B, как хотим.

В слимках мы несмогли найти пин на материнке для отслеживания CPU_PLL_BYPASS.

Нашей первой идеей было удаление 27Мгц мастер-резонатора, и генерация нужных нам чатот, но это оказалось технологически сложно и мы отошли от этой идеи.

Затем мы стали искать другие пути для снижения частоты ЦПУ и обратили внимание на то, что HANA чип имеет настраиваемые PLL регистры для частоты 100 Мгц, которые ведут за собой ЦПУ и ГПУ и другие детали.

Эти регистры записываются в SMC по шине i2c.

Доступ к i2c неограничен, даже есть пин на материнке (J2C3).

Итак HANA чип стал нашим оружием замедленияя ЦПУ.

Итак, как - же это пашет?

- Мы посылаем i2c комманду HANA чипу для замедления ЦПУ на POST коде D8.

- Мы ждем старта POST DA (POST DA это сравнение памяти между внутренним хешем и хешем образа), запускаем счетчик.

- Когда счетчик достигает точного значения, посылаем 20нс сигнал на CPU_RESET.

- Ждем некоторое время и посылаем i2c комманду на HANA чип для восстановления скорости ЦПУ.

- Скорость ЦПУ восстанавливается и опять удача - вместо получение ошибки POST F2, процесс загрузки продолжается и CB_A грузит наш кастомный CB_B.

Когда CB_B стартует, DRAM не инициализируется, нам только нужно применить несколько патчей для запуска любого CD, патчи:

- Все время деактивируем режим zеro-paired, итак мы можем юзать патченный SMC.

- Не декриптуем CD, вместо планируемого плейнтекста CD в нанде.

- Не прекращаем процесс загрузки если хеш CD нехорош.

CB_B это закриптованный RC4, ключ идет из ЦПУ ключа, и какже мы можем пропатчить CB_B без знания ЦПУ ключа???

Обычный RC4:

закриптованный = плейнтекст xor псевдо-рандомный-ключпоток

Итак - если мы знаем плейнтекст и закриптованную часть - мы получим ключпоток, и с ним мы можем криптовать наш код!

Выглядит так:

угаданное-псевдорандомное-значение = закриптованное xor плейнтекст

новое-шифрованное = угаданное-псевдорандомное-значение xor плейнтекст-патч

Думаете это проблема что первее курица или яйцо? Как мы получим плейнтекст??

У нас есть плейнтекст из CB толстых консолей и мы заменив пару байт получили плейн такойже как и в CB_B, и мы можем закриптовать маленький кусочек кода для дампа ЦПУ ключа и декриптовать CB_B!!!

Нанд содержит CB_A, патченный CB_B, нашу полезную нагрузку в кастомном CD плейнтексте, и модифицированный SMC.

SMC модифицирован для бесконечной перезагрузки, и предотвращения посылки i2c , пока мы шлем наши.

И ТЕПЕРЬ ВЫ ПОНЯЛИ, ЧТО CB_A НЕ СОДЕРЖИТ ПРОВЕРОК В ФЬЮЗАХ! И ЭТО НЕПРОПАТЧИВАЕМЫЙ ХАК!!!!

Подводные камни

===============

Не все еще идеально:

- Последовательность глюков, которую мы проверили (25% успеха на попытку). Может занят пару минут на загрузку.

- Эта последовательность похоже идет изза какогото хеша модифицированного загрузчика (CD для тослстых и CD_B для слимок).

- Требуется хорошее железо для посылок ресет сигналов.

Текущее состояние дел

================

Мы использовали плату Xilinx CoolRunner II CPLD (xc2c64a), потомучто быстрая, точная, обновляемая, дешевая и может работать на 2х разных логических напряжениях одновременно.

Использовали 48 Мгц частоту дежурного режима из 360 глюкометра (прим. переводчика). Для хака слима счетчик запускается на 96 Мгц.

CPID код записан в VHDL.

Нужно отслеживать ПОСТ коды , мы использовали пост - пины , мы сейчас можем отслеживать пост через 1 пост бит , это снижает колличество проводов!

В ролях :

GliGli, Tiros: Реверс инжинеринг и разработка хака.

cOz: Реверс инжинеринг, бета тестинг.

Razkar, tuxuser: бета тестинг.

cjak, Redline99, SeventhSon, tmbinc, и все, кого забыл... : Основной реверс инжинеринг и хаки 360.

Перевод by XEO

Скрытая информация: P.S.
Весь текст в наглую скопипащен с Xboxland.ru
Ссылка на комментарий
Поделиться на другие сайты

Афигеть. А теперь фотографию в студию - эту "паутинку" стоит увидеть

This is the hidden content, please
default/30-0-3769.jpg

<p><strong>Nothing is true. Everything is permitted</strong><br /><br /><a data-ipb='nomediaparse' class="bbc_url" href='http://psnprofiles.com/Aldorr'><a class='bbc_url' href='http://psnprofiles.com/Sotona2'>Sotona2.png</a></a><br /><br />t2.png

Ссылка на комментарий
Поделиться на другие сайты

Афигеть. А теперь фотографию в студию - эту "паутинку" стоит увидеть

This is the hidden content, please
default/30-0-3769.jpg

Там по ссылке есть и фотки и схемы

Но это пока всё бесполезно, нужен даш взломанный, они только не подписанный код запустили.

ЗЫ Я ещё вчера запостил источник c FAQ ENG :)

Ссылка на комментарий
Поделиться на другие сайты

Забыл дописать ,для хака вам еще понадобится программатор(для считывания CPU ключа ) и вот такая штука :

- XC2C64A CoolRunner-II CPLD (aka Digilent C-mod), подходящий коннектор и кабель-программатор XilinX JTAG

Изображение

На ебее 20 $ стоит,разлетаются как горячие пирожки )

Изменено пользователем honick (смотреть историю редактирования)
Ссылка на комментарий
Поделиться на другие сайты

Очень интересно как это все будет реализовываться в "быту" и насколько практично с точки зрения пользователей?

Ссылка на комментарий
Поделиться на другие сайты

С точки зрения пользователей которым не нужен онлайн это очень и очень практично,т.к. не нужно брать болванки и в придачу получаешь бесплатно все DLC и эмуляторы старых консолей,ну может еще сторонний софт в виде мкв проигрывателей и т.п.

А в быту скорее всего будет реализовываться так : человек с прямыми руками и желанием наживы будет закупать партиями чипы и просить ~ 500 грн за установку ,в принципе выгодно,т.к. 50 тех же вербатимов и тдк стоят 500 грн .

Ссылка на комментарий
Поделиться на другие сайты

Это что теперь любой бокс можно превратить в JTAG и запускать игры с внешнего жесткого?

1184060.png

Ссылка на комментарий
Поделиться на другие сайты

Вижу я один в теме отвечаю ) ну ниче :)

vitos8289 Да,ты абсолютно прав .

Изменено пользователем honick (смотреть историю редактирования)
Ссылка на комментарий
Поделиться на другие сайты

Это все супер, только вот не пойму, а что в лайв выйти нельзя будет потом ? еще бы знать как его поять или нормальную иструкции по установки его.

Изменено пользователем paver2959 (смотреть историю редактирования)
Ссылка на комментарий
Поделиться на другие сайты

С точки зрения пользователей которым не нужен онлайн это очень и очень практично,т.к. не нужно брать болванки и в придачу получаешь бесплатно все DLC и эмуляторы старых консолей,ну может еще сторонний софт в виде мкв проигрывателей и т.п.

А в быту скорее всего будет реализовываться так : человек с прямыми руками и желанием наживы будет закупать партиями чипы и просить ~ 500 грн за установку ,в принципе выгодно,т.к. 50 тех же вербатимов и тдк стоят 500 грн .

Про xbox live arcade, бесплатные и полные, не написал. + запускаются игры любых регионов + иногда выкладывают бетки

500 грн. нормальная цена, если за работу и мод чип, на практике вначале будет раза в два три дороже.

Это что теперь любой бокс можно превратить в JTAG и запускать игры с внешнего жесткого?

Да, "любой бокс можно превратить в JTAG". "запускать игры с внешнего жесткого" - пока нет.

Это все супер, только вот не пойму, а что в лайв выйти нельзя будет потом ? еще бы знать как его поять или нормальную иструкции по установки его.

Лайва на JTAG нет, вернее ты можешь зайти туда но через несколько минут тебя забанят. Есть небольшая альтернатива Xlink. Инструкции пока не актуальны, нет взломанного дашборда, который запускает игры с винта.

Ну разве что ты сам взломаешь

This is the hidden content, please
default/30-0-3769.jpg

Изменено пользователем Iron69 (смотреть историю редактирования)
Ссылка на комментарий
Поделиться на другие сайты

Ребятушки в связи с выходом нового формата дисков эта ТЕМА будет ну оочень актуальной и главное чтобы все работало !!!!!!!!! :siski:

This is the hidden content, please
default/wacko.gif

Oldhanter73.png

Ссылка на комментарий
Поделиться на другие сайты

...просить ~ 500 грн за установку ,в принципе выгодно,т.к. 50 тех же вербатимов и тдк стоят 500 грн .

За такие деньги клиентов у них будет маловато. Такая цена будет "нормальной" только в самом начале, для самых-самых нетерплячих
This is the hidden content, please
default/dirol.gif

Где деньги, Билли? (с)

Ссылка на комментарий
Поделиться на другие сайты

За такие деньги клиентов у них будет маловато. Такая цена будет "нормальной" только в самом начале, для самых-самых нетерплячих

This is the hidden content, please
default/dirol.gif

Ты так думаешь-а новые игры по 400-500 за штуку дешевле??

Oldhanter73.png

Ссылка на комментарий
Поделиться на другие сайты

Вы че,помимо игр можно будет ставить хоумбрю,мкв плеер уже есть кстати,линукс,запускать некоторые игры официально не поддерживающиеся эмулятором(МГС2 например) и т.п. Ну и все игры от 360 тоже

Ссылка на комментарий
Поделиться на другие сайты

Не совсем так,просто у разработчиков хака под рукой не было консоли данной ревизии .

По-идее можно все с HANA чипом (то бишь с HDMI) .

Ссылка на комментарий
Поделиться на другие сайты

Ждемс.

This is the hidden content, please
default/sad.gif ;)

Oldhanter73.png

Ссылка на комментарий
Поделиться на другие сайты

Ты так думаешь-а новые игры по 400-500 за штуку дешевле??

Игры, в которые я сейчас играю, стоят 15 грн. за штуку. Исходя из такой позиции я делал свое предположение.

Где деньги, Билли? (с)

Ссылка на комментарий
Поделиться на другие сайты

А следующие будут как раз 400-500 за штуку,т.к. новый формат диска и прошка его не играет и на обычные двухслойки он не влазит =>only license.

Ссылка на комментарий
Поделиться на другие сайты

Жду с нетерпением. Есть старый боксик (фалькон). Живой. Забаненый. Переделанный (привод вынесен наружу, а вместо него куллер 120мм). Осталось сделать JTAG и все супер :D

Ссылка на комментарий
Поделиться на другие сайты

Знакомый Мастер начал работать в данном направлении,руки у него золотые может сделает.Если что отпишусь!

Oldhanter73.png

Ссылка на комментарий
Поделиться на другие сайты

...привод вынесен наружу, а вместо него куллер 120мм...

Есть инструкция или на худой конец фото- как это правильно делается?

Где деньги, Билли? (с)

Ссылка на комментарий
Поделиться на другие сайты

Slepoj, да собственно инструкции нет. Просто удленил оба провода привода бокса.

Изображение

Один из них - обычный SATA (справа). Просто купил полуметровый провод.

Провод питания (слева) просто разрезал пополам и удленил.

Питание кулера вывел с материнки. Там есть несколько вариантов.

Ссылка на комментарий
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Guest
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

Мы разместили cookie-файлы на ваше устройство, чтобы помочь сделать этот сайт лучше. Вы можете изменить свои настройки cookie-файлов, или продолжить без изменения настроек.