Скачать через торрент Reset Glitch Hack, Поддержка всех дашбордов на ревизиях Zephur, Jasper, Trinity бесплатно без регистрации torrent

Статистика раздачи
Размер:  7 MB   |    Зарегистрирован:  9 лет 9 месяцев   |    .torrent скачан:  280 раз   |   
Раздают:  1  
 

Скачать Reset Glitch Hack, Поддержка всех дашбордов на ревизиях Zephur, Jasper, Trinity через torrent

 
 
Автор Сообщение

tatik

avatar tatik


Наконец-то метод джтага работает на нексеноновских консолях (да ... запускаем неподписанный код на СЛИМАХ и всех версиях дашборда на толстых консолях!!!)

Это также значит , что Вы сможете запустить приятный стафф , например игры с жесткого диска.

Источник
          
Полный гайд / Файлы / Исходники / Диаграммы (прикреплен в виде торрент файл)

Вы думаете это невозможно?

Вы думаете, хак возможен на тех старых джтаг консолях?

GliGli & Tiro скажут вам обратное! Они разработали хак, который работает на всех последних кернелах следующих плат:

ZEPHYR, JASPER .......ииии...... TRINITY (aka SLIM!)
(не важно на каком дашборде!!!)


FALCON пока-что в пролете (


The Xbox 360 reset glitch хак

Некоторые факты:

tmbinc сказал лично, софтверные попытки запуска неподписанного кода на 360 в большинстве случаев неработает, она разработана таким образом что защита блокирует их.

Процессор стартует исполнение кода с ROM (1bl), который потом загружает подписанный RSA и закриптованный RC4 кусок кода из нанда (CB).

СВ затем инициализирует секьюрити движок процессора, его заданием будет шифрование в режиме реального времени и хеш-проверка физической DRAM памяти.

шифрование и сильное хеширование. Шифр разный с каждой загрузкой , потому что в него добавляется соль по минимуму из этих мест:

- Хеш фьюзов.

- Значение встроенного счетчика

- Полностью рандомное значение идет из железного генератора случайных чисел, встроенного в процессор! На толстых версиях этот генератор мог быть софтово отключен, но у нас новя проблема - проверка

рандомности. (считает до 1 бита в СВ), и ждем реально рандомное число.

СВ может выполнять некое подобие програмного движка , основанного на байт-коде, чьим заданием будет инициализация DRAM, СВ может загрузить слудующий загрузчик (CD) из нанда в него и запустить его.

Стандартно CD будет загружать основное ядро из нанда ,патчить его и запускать.

Ядро содержить маленький , привилегированный кусочек кода (гипервизор), когда консоль стартует - это единственный код у которого будет достаточно привилегий для выполнения неподписанного кода.

В версиях ядра 4532/4548, критическая уязвимость в этом месте и все известные нам методы взлома, опираются на эти ядра для запуска неподписанного кода.

На сегодняшних 360, CD содержит хеш этих 2х ядер и перестает выполнять процесс загрузки при попытке их выполнения.

Гипервизор относительно маленький кусок кода , но проверяет - используете ли Вы эти уязвимости или нет и удостоверяется что Вы несможете!

С другой стороны, tmbinc сказал, что 360 небыла разработана с защитой от некоторых видов ЖЕЛЕЗНЫХ атак и "глюков"

Глюками сдесь будем называть исполнение процессорных багов в электронных нуждах.

Этим путем мы пойдем для выполенения неподписанного кода.

Несколько слов о ресетном глюке
===============================


На толстых консолях, загрузчик имел глюк в CB , и мы могли делать с CD , что хотели.

cjak нашел это путем подачи CPU_PLL_BYPASS сигнала, частота ЦПУ понижалась намного, есть тестовый пин на материнке, который показывает сскорость ЦПУ, 200 МГц при старте даша, 66,6 Мгц при

старте загрузчика, и 520КГц при подачи сигнала.

Итак мы пошли таким путем:

- Мы подали CPU_PLL_BYPASS сигнал перед пост кодом 36 (hex).

- Мы подождали старта POST 39 (POST 39 это сравнение памяти между внутренним хешем и хешем образа), и запустили счетчик.

- Когда тот счетчик достигает точного значения (обычно около 62% длины POST 39), посылаем 100нс импульс на CPU_RESET.

- Мы ждем некоторое время и снимаем CPU_PLL_BYPASS сигнал.

- Скорость ЦПУ возвращается в норму, и с небольшим бонусом - вместо получения ошибки POST error AD, процесс продолжается и СВ загружает наш кастомный CD.

Нанд содержит пару zero-paired CB, нашу прошивку в кастомном CD и модифицированный SMC образ.

Глюк в нормальных условиях неповторить - мы испрользуем модифицированный SMC образ, который перезагружается постоянно (стоквый образ перезагружает 5 раз и дает РРОД), после консоль загружается как
положенно, в большинстве случаев глюк успешен в течении 30 секунд от запуска до конца.

Детали хака слим версии
=================


Загрузчик , который мы смогли заглючили - CB_A, и мы можем запустить CB_B, как хотим.

В слимках мы несмогли найти пин на материнке, для отслеживания CPU_PLL_BYPASS.

Нашей первой идеей было удаление 27Мгц мастер-резонатора, и генерация нужных нам частот, но это оказалось технологически сложно и мы отошли от этой идеи.

Затем мы стали искать другие пути для снижения частоты ЦПУ и обратили внимание на то, что HANA чип имеет настраиваемые PLL регистры для частоты 100 Мгц, которые ведут за собой ЦПУ и ГПУ и другие детали.

Эти регистры записываются в SMC по шине i2c.

Доступ к i2c неограничен, даже есть пин на материнке (J2C3).

Итак HANA чип стал нашим оружием замедленияя ЦПУ.

Итак, как - же это пашет?

- Мы посылаем i2c комманду HANA чипу для замедления ЦПУ на POST коде D8.

- Мы ждем старта POST DA (POST DA это сравнение памяти между внутренним хешем и хешем образа), запускаем счетчик.

- Когда счетчик достигает точного значения, посылаем 20нс сигнал на CPU_RESET.

- Ждем некоторое время и посылаем i2c комманду на HANA чип для восстановления скорости ЦПУ.

- Скорость ЦПУ восстанавливается и опять удача - вместо получение ошибки POST F2, процесс загрузки продолжается и CB_A грузит наш кастомный CB_B.

Когда CB_B стартует, DRAM не инициализируется, нам только нужно применить несколько патчей для запуска любого CD, патчи:

- Все время деактивируем режим zеro-paired, итак мы можем юзать патченный SMC.

- Не декриптуем CD, вместо планируемого плейнтекста CD в нанде.

- Не прекращаем процесс загрузки если хеш CD нехорош.

CB_B это закриптованный RC4, ключ идет из ЦПУ ключа, и какже мы можем пропатчить CB_B без знания ЦПУ ключа???

Обычный RC4:

закриптованный = плейнтекст xor псевдо-рандомный-ключпоток

Итак - если мы знаем плейнтекст и закриптованную часть - мы получим ключпоток, и с ним мы можем криптовать наш код!

Выглядит так:

угаданное-псевдорандомное-значение = закриптованное xor плейнтекст

новое-шифрованное = угаданное-псевдорандомное-значение xor плейнтекст-патч

Думаете это проблема что первее курица или яйцо? Как мы получим плейнтекст??

У нас есть плейнтекст из CB толстых консолей и мы заменив пару байт получили плейн такойже как и в CB_B, и мы можем закриптовать маленький кусочек кода для дампа ЦПУ ключа и декриптовать CB_B!!!

Нанд содержит CB_A, патченный CB_B, нашу полезную нагрузку в кастомном CD плейнтексте, и модифицированный SMC.

SMC модифицирован для бесконечной перезагрузки, и предотвращения посылки i2c , пока мы шлем наши.

И ТЕПЕРЬ ВЫ ПОНЯЛИ, ЧТО CB_A НЕ СОДЕРЖИТ ПРОВЕРОК В ФЬЮЗАХ! И ЭТО НЕПРОПАТЧИВАЕМЫЙ ХАК!!!!

Подводные камни
===============


Не все еще идеально:

- Последовательность глюков, которую мы проверили (25% успеха на попытку). Может занят пару минут на загрузку.

- Эта последовательность похоже идет изза какогото хеша модифицированного загрузчика (CD для тослстых и CD_B для слимок).

- Требуется хорошее железо для посылок ресет сигналов.

Текущее состояние дел
================


Мы использовали плату Xilinx CoolRunner II CPLD (xc2c64a), потомучто быстрая, точная, обновляемая, дешевая и может работать на 2х разных логических напряжениях одновременно.

Использовали 48 Мгц частоту дежурного режима из 360 глюкометра (прим. переводчика). Для хака слима счетчик запускается на 96 Мгц.

CPID код записан в VHDL.

Нужно отслеживать ПОСТ коды , мы использовали пост - пины , мы сейчас можем отслеживать пост через 1 пост бит , это снижает колличество проводов!

В ролях
======


GliGli, Tiros: Реверс инжинеринг и разработка хака.
cOz: Реверс инжинеринг, бета тестинг.
Razkar, tuxuser: бета тестинг.
cjak, Redline99, SeventhSon, tmbinc, и все, кого забыл... : Основной реверс инжинеринг и хаки 360.

Так люди не паникуем - это способ запуска своего кода - ДАШБОРДА ЕЩЕ НЕТУ!!!

НО ВЗЛОМ ЕСТЬ!!!


Перевод BY_XEO, специально для Xboxland.net!


Внимание! AdBlock блокирует показ скриншотов, все вопросы к разработчикам )))
Трекер:  [ 31-Авг-2011 10:35 ]

  

Скачать .torrent

Размер .torrent файла 9 KB


Размер: 7 MB
Хэш (hash) релиза: f820501ebe56c108dfff8ec95562107ce2eed4b7
Подписка на обновления:

v-neon

чё за хрень такая понаписано много но не хрена не понятно

neon206

ну теперь нах прошивка не нужна (ani36)

bengen

Новость хорошая!!!
Кто в теме,обьясните что к чему?

PROtone

Эт чё каждому желающему надо будет ПЛИС покупать???

slimteam

чё делать что бы это чудо ставить? как управлять? чё требуеться? какие игры идут? работает ли лайв?

neon206

slimteam писал(а):

чё делать что бы это чудо ставить? как управлять? чё требуеться? какие игры идут? работает ли лайв?
Это полный взлом системы, идут любые жтаг игры с харда без диска в приводе, в том числе от первого бокса, возможность ставить не подписанный софт, эмуляторы и т.д. Бан в лайве моментальный

PROtone

Цитата:

neon206
Бан в лайве моментальный
Нахераже тогда это чюдо нужно???

neon206

PROtone писал(а):

Цитата:

neon206
Бан в лайве моментальный
Нахераже тогда это чюдо нужно???
Для тех у кого уже забанена консоль или тем кому пох на лайв и кто играет только в сингл.
Но тут согласен, бокс без лайва - говно

bengen

neon206 писал(а):

slimteam писал(а):

чё делать что бы это чудо ставить? как управлять? чё требуеться? какие игры идут? работает ли лайв?
Это полный взлом системы, идут любые жтаг игры с харда без диска в приводе, в том числе от первого бокса, возможность ставить не подписанный софт, эмуляторы и т.д. Бан в лайве моментальный
Не факт что Бан сразу,ведь плойки не банят.

Punch

PROtone писал(а):


Нахераже тогда это чюдо нужно???
нахера live нужен, когда там только ретарды и задроты (гоцалки и шутаны)?
есть,конечно предположение, что он нужен ретардам и задротам

добавлено спустя 1 минута 12 секунд:

tatik
тарас
ты как-то
slow
из отпуска?

tatik

Punch писал(а):


tatik
тарас
ты как-то
slow
из отпуска?
угу, лето закончилось, пора камбекнутся =)

Punch

tatik писал(а):


угу, лето закончилось, пора камбекнутся =)
ну, с возвращением
метлу тебе в помощь и... выгребать тут много
и гнать ссаными тряпками (в т.ч. и юзера Punch)
глядишь, и доска снова станет человеческой
P.S. сочувствую по поводу бана консоли. мелочь, но - неприятно

Akmib_dimkA

С этим ntfs игры пойдут на PAl консолях?

SecretPandora

А на Falcon ожидается этот хак или вообще в пролёте?

maksss

Скажите а где можно почитать что такое ZEPHYR, JASPER, TRINITY, FALCON ???

JTAG хак это взлом прошивки самой консоли а не привода при котором на консоли можно будет запускать с харда любые игры буть то они iso формата или GOD , я правильно понимаю , или только специальные jtag гамы???

darksiders1983

Ребят вышел новый XELL http://www.xbox-scene.org/xbox1data/news-archive-17-7-2011.php переведите хоть че там написанно. И скоро можно будет из слимки freeboot сделать а? Я так понял что можно уже даш сделать

Певец

Так что же с ним делать то? Диск писать - шиться с диска, флешку писать - шиться с флешки, микросхему отпаивать - шиться с программатора или на х вертеть...

Чего делать то с нею? Гайд где нибудь по установке есть?

ЗЫ: Таки нашел установку... Невесело... Опять паять надо. Да ещё и плату программировать, а потом подпаивать... И ХЗ где эту плату искать...
Всё, короче, я пойду и застрелюсь. :)

hageshii

Певец
Аминь!

Певец

Не надо ругаться на непонятном языке...

Mika33

http://www.youtube.com/watch?v=RVbvRKOluGs&feature=player_embedded

FreeStyle Dashboard 2.0 with Xlink . Наверно вы это видели .
Это Jtag .

Хотите добавить комментарий к записи скачать торрент Reset Glitch Hack, Поддержка всех дашбордов на ревизиях Zephur, Jasper, Trinity

!Обратная связь