Get best of the week

Schützen und Hacken der Xbox 360 (Teil 2)



Das letzte Mal, als wir die Xbox 360-Szene verließen, wurde den Entwicklern klar, dass der DVD-ROM-Schutz einfach ist und Sie definitiv etwas dagegen tun müssen. Versuche, die Situation durch Aktualisierung der Software der Set-Top-Box selbst zu korrigieren, blieben erfolglos, und Philips & Lite-On kam ins Spiel, dessen DVD-Laufwerke mit jedem neuen Modell hinsichtlich des Schutzes immer weiter fortgeschritten wurden. Aber die Hacking-Methoden wurden von Mal zu Mal ausgefeilter. In diesem Teil werde ich Ihnen erklären, wie Microsoft versucht hat, die Situation mit nicht lizenzierten Discs zu beheben, und welche Methoden zum Flashen eines DVD-Laufwerks angewendet werden können, wenn buchstäblich alles geschlossen ist.

Treffen - PLDS DG-16D2S 74850c


Das Philips & LiteOn DG-16D2S-Laufwerk wurde 2008 in Spielekonsolen installiert und war bis 2011 verfügbar, als eine neue, „schlanke“ Version der Konsole herauskam. Hier ist unser Held:


Natürlich haben die Forscher sofort aufgegriffen und herausgefunden:

  • Das Laufwerk ist dem Vorgängermodell Philips & Benq VAD6038 sehr ähnlich
  • Die Firmware ist im Controller gespeichert. Berücksichtigen Sie den Programmierer nicht
  • wechselt auch bei VIA-Chipsätzen nicht in den Servicemodus

Sogar der MT1319- Controller auf der Platine ist mit einer Verbindung überflutet:


Es sah so aus, als hätte Microsoft endlich ein "unzerbrechliches" Laufwerk hergestellt, und jeder würde es schwer haben.
Nach einiger Zeit berichtete der Entwickler der modifizierten Firmware für die Xbox 360 c4eva jedoch , dass das Laufwerk zugänglich ist und die Entwicklung einer benutzerdefinierten Firmware bereits im Gange ist:
c4eva: ich habe einige dinge gefunden, die noch nicht über das lite-on bekannt sind, es wird gemacht!

Ich will nicht warten, mich ändern!


Während der Entwicklung einer benutzerdefinierten Firmware (und der Entwicklung für fast sechs Monate) wollten die Leute "hier und jetzt" flashen. Ende August 2008 fanden die Forscher einen interessanten Trick :

  • Aktivieren Sie das Präfix
  • Öffnen Sie das DVD-Laufwerk
  • Wir ziehen die Stromversorgung des DVD-Laufwerks heraus
  • Schieben Sie das Fach in die Mitte
  • Stecken Sie die Antriebsleistung ein

Nach diesen magischen Aktionen spuckt das Laufwerk seinen geheimen Schlüssel in UART aus! Es blieb übrig, den einfachsten COM-UART-Adapter an einem Transistor zu montieren und ihn zum Zeitpunkt des Einschaltens an einer Stelle auf der Platine zu stecken:

(historisch zuverlässige Rekonstruktion mit einem Adapter aus dieser Zeit)

Nach meinen Annahmen wurde diese „Funktion“ für Service-Center belassen, damit das Laufwerk im Falle eines Ausfalls leicht durch ein neues ersetzt werden kann. Es ist schwierig, eine andere Erklärung für das Vorhandensein einer solchen Funktionalität zu finden.

Sobald der Schlüssel empfangen wurde, können Sie ihn in die verwendete Firmware schreiben, seinen Namen in „PLDS DG-16D2S“ ändern und so spielen, als wäre nichts passiert! (Die ersten Revisionen der Xbox 360 waren nicht für ihre Zuverlässigkeit bekannt, da es viele gebrauchte TS-H943-Laufwerke auf dem Markt gab, die von halb toten Konsolen aufgenommen wurden.) Dieser Schritt ist in der Zukunft stark zurückgekommen, aber zu dieser Zeit waren die Spieler glücklich.


Es gab ein Problem in all dieser Idylle, und es kam von dort, wo sie nicht erwartet hatten. Was ist los? Das Xbox 360-Laufwerk verfügt über ein nicht standardmäßiges und kurzes Stromkabel:


Am Stecker befinden sich kleine Laschen zur richtigen Ausrichtung im Anschluss:


Der Schlüssellesevorgang wird bequem „auf der Rückseite“ ausgeführt, wenn das Laufwerk auf dem Kopf steht. Aber sie vergaßen, das nicht zu flexible Stromkabel zu drehen, die Länge der Begrenzer am Stecker reichte nicht aus. Infolgedessen gingen 12 Volt an die falschen Kontakte und ein magischer Dunst flog aus dem Board ...


Denjenigen, die das „Glück“ hatten, das Laufwerk zu verbrennen, wurde empfohlen, das Präfix sorgfältig wieder zusammenzubauen und im Rahmen der Garantie nichts an das Geschäft zu übergeben. Oft dampfte der Laden überhaupt nicht und akzeptierte solche Konsolen, ohne auch nur das Garantiesiegel zu überprüfen.

Hurra, Firmware!


Also, nach fast sechs Monaten des Wartens, für die Weihnachtsferien c4eva die 1.5 Firmware - Release iXtreme veröffentlicht, aus denen wir gelernt haben:

  • c4eva und sein Team betrachteten die Auflösung der Firmware des Chipkörpers
  • Der Schlüssel wird weiterhin mit der Methode des halb eingefahrenen Fachs gelesen
  • Um in den Servicemodus zu gelangen und die Firmware aufzuzeichnen, müssen Sie das Laufwerk löschen!

Ich war mir sicher, dass ich ein Foto mit einem halb aufgelösten MT1319 an den Programmierer angeschlossen hatte, aber ich konnte es nicht finden. Sobald ich es gefunden habe, werde ich es hier hinzufügen (wenn jemand es hat, senden Sie es bitte).

Die Funktion „Vor Aufnahme löschen“ verursachte Probleme für die Benutzer - der Computer konnte einfrieren und zu BSOD wechseln. Auch wenn nach dem Löschen des Laufwerks alles „so gelaufen“ ist, wurde dies natürlich nicht vom System bestimmt und musste „blind“ in den Servicemodus wechseln. Im Allgemeinen haben die Leute seine Nerven ziemlich schwer getroffen.

Es gab Experimentatoren, die einfach aus Neugier den Löschknopf drückten, ohne zuvor den Schlüssel gelesen zu haben, trotz der Warnungen:


Das Hauptziel wurde jedoch erreicht - der „nicht blinkbare“ LiteOn wurde schließlich geflasht, und Handwerker mit geraden Armen konnten den Antrieb selbst blinken lassen.

DG-16D2S 83850c


Natürlich kam Microsoft zur Besinnung und begann, ein Laufwerk mit einer neuen Firmware-Version, 83850s, zu installieren, bei der die UART-Schlüssellesefunktion nicht mehr funktionierte.

Überraschenderweise stellte sich heraus, dass LiteOn 83850c den Schlüssel über SATA und mit derselben Hexerei mit einem halboffenen Tablett gab! Foundmy.com hat das Dienstprogramm LO83info veröffentlicht, das den Schlüssel liest, ihn jedoch in verschlüsselter Form ausgegeben hat. Es wurde vorgeschlagen, den Schlüssel per Post an die Autoren zu senden und für 42 USD eine entschlüsselte Version zu erhalten.


Das Programm dauerte vier Tage, danach veröffentlichten Maximus und Geremia einen kostenlosen Schlüsselentschlüsseler :) Wie viele Autoren es geschafft haben, diese Tage zu verdienen, ist unbekannt.



DG-16D2S 93450c


Ein Werbegeschenk mit einfachem Lesen der Tasten konnte nicht lange dauern - LiteOn 83850c v2, das den Tricks von LO83Info nicht nachgab, begann bald zu fallen, und dann wurde LiteOn 93450c vollständig in Konsolen integriert. Alle Methoden zum Lesen des Schlüssels sind geschlossen, der Schlüssel kann ohne den Schlüssel nicht

vorangestellt werden ... Sie waren nicht lange traurig, Enthusiasten fanden diesen Hardwarefehler:

  • einen Teil der Versorgungsstraßen abschneiden
  • Löten Sie einen 22-Ohm-Widerstand durch den Schalter
  • Kurzschlussleistung über 22 Ohm zu GND!

Infolgedessen sackte die Spannung am USB-Flash-Laufwerk im Prozessor so stark ab, dass anstelle der Daten nur 0xFF gelesen wurde. Das Laufwerk war sich sicher, dass die Firmware bereits gelöscht wurde und in den Servicemodus überging! Nun, nach dem Aufrufen des Servicemodus musste nur noch der Widerstand geöffnet und das gesamte USB-Flash-Laufwerk gelesen werden:


Diese "blinkende" Methode hat noch mehr Laufwerke als UART getötet. Stellen Sie sich vor, was ein Schüler mit einem sowjetischen Lötkolben tun kann, um zwei Drähte nach dem Schema zu löten? So sollte es sein:


Aber das konnte man in den Foren sehen:




Nun, und da die Sicherheitsanfälligkeit Hardware ist, konnten sie dies mit dem Microsoft-Firmware-Update nicht mehr beheben. LiteOn DG-16D2S ging schließlich in die Kategorie der Flash-Laufwerke.

Sie hörten auf, völlig traurig zu sein, als sie einen noch interessanteren Hack entdeckten:

  • Schalten Sie das Laufwerk ein
  • Schalten Sie die 3,3-V-Stromleitung aus (die 1,8-V-Leitung bleibt aktiv).
  • Erdungspunkt MPX01
  • 3.3v einschalten
  • Wir gehen in den Dienst und lesen den Schlüssel aus dem RAM! ??


Der MPX01-Punkt im Laufwerk ist dafür verantwortlich, ob die Firmware beim Start entschlüsselt wird. Wenn wir es für GND schließen, zwingen wir das Laufwerk, die Entschlüsselungsphase zu überspringen, wodurch es versucht, den Müll zu starten, und einen Fehler macht. Und schon ab diesem Zustand können Sie in den eingeschränkten Servicemodus wechseln und RAM lesen! Und aufgrund der Tatsache, dass wir 1,8 V nicht gereinigt haben, wurde der RAM nicht zurückgesetzt und unser Schlüssel liegt immer noch dort. Das ist es.

Neu - PLDS DG-16D4S 9504


Zusammen mit der Slim-Version der Konsole in der Xbox 360 wurde auch das DVD-Laufwerk aktualisiert. Sogar das Design des Laufwerks änderte sich, seine Beine verschwanden und er wurde noch mehr wie ein Ziegelstein:


Der Antriebsregler hat sich ebenfalls geändert, jetzt wurde jeder vom MT1335- Chip angetrieben


Überraschenderweise konnte das neue Modell im Gegensatz zu seinem Vorgänger problemlos gelesen und geschrieben werden. Das Maximus- Team hat sich schnell darum gekümmert . Vor dem Planeten veröffentlichten sie ein Dienstprogramm zum Lesen / Schreiben eines Schlüssels / einer Firmware namens "Tarablinda":


Übrigens wurde die Liteon D4S-Firmware für Forschungszwecke auch durch Auflösen des Chips erhalten:

Und während sich c4eva entwickelt ... schieben die Leute wieder die altmodischen gebrauchten Ohrantriebe ! Beine geschnitten und den Körper verzogen:

Aber nimm es und blockiere es!


Diesmal beschloss Microsoft, sich von der anderen Seite zu nähern. Da die Leute immer noch Möglichkeiten finden, den Schlüssel zu lesen, sollten wir ihn nicht überschreiben! In den neuen Konsolen begannen sie, DG-16D4S-Laufwerke der Versionen 0225, 0401 und 1071 zu erkennen, in denen der interne SPI-Flash-Speicher gesperrt war!

Die Sperre wurde unter Verwendung des Statusregisters und der Beine des WP-Flash-Speichers durchgeführt:


Aber hier haben sie eine Methode entwickelt, die der Überwindung von LiteOn 93450c sehr ähnlich ist:

  • die Stromstraße abschneiden
  • Schalten Sie das Laufwerk ein und gehen Sie zum Service
  • Stecken Sie einen Widerstand von 18 Ohm in den Cut-Off
  • Gib den Entsperrbefehl!


Genauso sackte die Versorgungsspannung des SPI-Flash-Speichers ab, etwas klickte in ihrem elektronischen Gehirn und die Entsperrung wurde erfolgreich abgeschlossen. Dies funktionierte nur auf Flash-Laufwerken der Firma MXIC:


Für Winbond haben sie eine noch verrücktere Entsperrmethode entwickelt.

Tatsache ist, dass der DVD-Laufwerksprozessor nicht integriert war. Darüber wurde ein Chip mit demselben Flash-Speicher mit einem Sandwich aufgeklebt, das durch dünne Drähte mit dem Hauptkristall verbunden war. Und die von uns benötigte Write Protect (WP) -Verkabelung war trotz der Tatsache, dass sie fest gegen Erde gewickelt war, vor allen anderen recht erfolgreich:


Es gab eine Idee, es irgendwie zu schneiden und dann den Befehl zum Entsperren zu geben. Und ja, hier haben die Leute einen Chip mit einem Millimeterbohrer genau und genau gebohrt!



In der Tat können Sie eine große Erfolgschance erzielen, wenn Sie genau markiert und ordentlich handeln. Natürlich wurden unerfahrene Bewegungen wie folgt ausgeführt:


oder so:


Aber es war nicht so schlimm - MT1335WE-Chips nach (oder anstelle von) erfolglosem Entsperren konnten auf ein kompatibles MT1339E mit einem externen USB-Flash-Laufwerk aufgelöst werden, das von chinesischen Laufwerken entfernt wurde:


Das Ergebnis - wieder ist der Sieg nicht auf der Seite von Microsoft, Discs werden geschrieben, Laufwerke werden geflasht.

AP 2.5, XGD3, ...


Microsoft hat nicht nur die Firmware der Laufwerke verbessert, sondern auch den Schutz der Spielediscs selbst abgeschlossen. Und hier kamen sie voll raus:

Zuerst wurde das Format der Festplatte selbst geändert . Das alte XGD2-Format enthielt wie eine normale Zweischicht-DVD etwa 7,5 GB Daten. Das neue XGD3 verwendete einen etwas größeren Festplattenbereich, fast bis zum Rand, aufgrund dessen bereits 8,5 GB Daten passen. Die üblichen Mittel der "Scheibe" können nicht geschrieben werden.


Zweitens wurde die Datei dae.bin zum System selbst hinzugefügt , die zusätzliche Überprüfungen für bestimmte Spiele enthält. Das Präfix fragte das Laufwerk, auf welchem ​​physischen Sektor der Festplatte sich die spezifischen Daten befinden, und verglich sie mit den Beispielen. Im Gegensatz zu gestempelten Lizenzen gemäß einer Vorlage kann die Datenplatzierung auf den aufgezeichneten Discs abweichen.


Es ist interessant, dass nur wenige beliebte Spiele auf diese Weise geschützt wurden

. Drittens wurden alle DVD-Laufwerke auf allen Konsolen mit dem nächsten Update des Systems aktualisiert , um alle Innovationen zu unterstützen !

  • LiteOn D2S hat einfache Schlüssellesemethoden aktualisiert und geschlossen
  • Zuvor blinkendes LiteOn D4S 9504 aktualisiert und in der Aufzeichnung gesperrt
  • Diejenigen mit Präfixen "blitzten" normalerweise - mussten erneut "blinken"
  • Wer das Laufwerk auf ein anderes Modell umgestellt hat - hat einen Fehler und ein nicht funktionierendes Präfix erhalten


In sehr alten Samsung TS-H943-DVD-Laufwerken war es nicht möglich, AP 2.5-Prüfungen durchzuführen, daher wurde in ihrem Update nur die Unterstützung des XGD3-Formats hinzugefügt. Am unglücklichsten waren die Spieler, die durch Samsung mit LiteOn-Firmware ersetzt wurden - sie mussten nach einem neuen Laufwerk suchen und es zurücksetzen. Die Besitzer von LiteOn D4S 9504 waren sehr enttäuscht, sie mussten den Chip für die Re-Firmware entsperren.

Aber hier ging alles herum. Es stellte sich heraus, dass 7,5 GB nicht die Grenze sind, und auf normalen Zweischicht-Discs ist es durchaus möglich, 8 GB oder mehr aufzunehmen, was für XGD3-Spiele erforderlich war. Auf normalen Schreiblaufwerken ging die Aufnahme nicht zu Ende (um 97%), solange genügend Speicherplatz vorhanden war - solche Discs funktionierten auch, obwohl die Gefahr der Erkennung und des anschließenden Verbots bestand. Weiter c4eva veröffentlichte ein Programm mit Unterstützung für einige Computer-DVD-Cutter, das das Laufwerk ausgetrickst, Einschränkungen aufgehoben und es gezwungen hat, die gesamte Oberfläche der Disc zu schreiben:


c4eva hat auch Firmware für Xbox 360-Laufwerke erstellt - iXtreme LT +, um neue Schutzfunktionen zu umgehen - fertige Antworten direkt aus der dae.bin- Datei wurden auf die Spieledisk geschrieben, die Firmware antwortete "per Vorlage", alle sind glücklich. Aber Microsoft hat auch ziemlich offensichtlich gehandelt - beim nächsten Systemupdate haben sie dae.bin geändert , die Piraten haben aufgehört zu arbeiten, die Festplatten mussten gepatcht und erneut gebrannt werden:


Nach einiger Zeit wurde c4eva nachdenklich und sagte, er habe sich ein für alle Mal ausgedacht , wie man AP 2.5 löst, und sagte, er warte auf iXtreme LT + 3.0. Übrigens zu diesem Zeitpunkt die Anzahl der Fragen "Nun, wann ist die neue Firmware?" in den IRC-Kanälen, in denen c4eva so stark saß , dass jemand die gesamte Website c4evaspeaks.com erstellte, auf der alle seine Zitate (buchstäblich alles!) und Nachrichten zum Firmware-Thema gespeichert wurden:



In iXtreme LT + 3.0 wurden anstelle der Antwort "Pattern Matching" spezielle Daten zur Festplattengeometrie verwendet. Tatsächlich wurde die lizenzierte Disc mit einer speziellen „Karte“ gescannt, generiert und auf der Spiel-Disc aufgezeichnet, mit der die Firmware alle AP 2.5-Anfragen berechnet und korrekt beantwortet hat.

Daraufhin endete die Saga mit AP 2.5 mit dem Sieg von c4eva und seiner Firmware. Es gab Versuche, Spieler zu verbieten, deren AP 2.5-Schecks funktionierten, aber entweder haben die Verbote ehrliche Spieler gefesselt, oder sie konnten die Tatsache der Piraterie und die 100% ige Zuverlässigkeit der Schecks nicht beweisen, aber die Verbote wurden auch gestoppt.

Legende - PLDS DG-16D5S 1175


Der letzte Punkt im Kampf um Laufwerke brachte LiteOn DG-16D5S:


Es enthielt den MT1332E-Controller, der nach bekannten Methoden nicht in den Servicemodus wechselte, und Gerüchten zufolge wurde der Schlüssel nicht im ROM gespeichert:


Es gab Versuche, das ROM durch Auflösen des Gehäuses und Löten mit Kabeln zu lesen:


Ja, drinnen war auch ein Sandwich von Proca und Flash Drive:


Es gibt Informationen, dass es auch Softwaremethoden zum Lesen von Firmware gab, ich persönlich habe die angelegten Dumps in einem der Foren heruntergeladen. In jedem Fall gibt es diesmal im öffentlichen Bereich keine Tools zum Lesen des Schlüssels vom Laufwerk selbst.

Stattdessen c4eva entwickelt , um den iXtreme LTU (Lite Touch Ultimate) Firmware, die Daten aus der Konsole extrahierten selbst verwendet wird (über Hacking , das System selbst) und erforderlich , um die Treiberplatine ersetzen. Die benutzerdefinierte Leiterplatte war genau die gleiche wie die des 16D5S, aber der Prozessor darauf konnte neu geflasht werden:


Abenteuerlustigere "Firmware-Assistenten" gingen unabhängig voneinander zu den Lieferanten des entsperrten MT1332 und löten den Chip einfach auf die Platine. Diese Chips wurden von chinesischen DVD-Playern auf demselben Chip aufgenommen:


Bald endeten die abgedroschenen MT1332-Chips! Dann entwickelte das Maximus- Team eine ungewöhnliche Sache - Cryptocop:


Dieser Chip, der an der Seite des Boards angebracht ist, hat die magische Sache gemacht - beim Start wurde ein neues Bootrom in MT1335 / MT1339 geladen, wonach die für MT1332 entwickelte LTU-Firmware gestartet wurde und perfekt funktionierte. Es gab jedoch genügend Chips - MT1335 wurde von gebrauchten Laufwerken des Vorgängermodells 16D 4 S, MT1339 entfernt - von chinesischen Laufwerken oder von Lieferanten. Die normale Version von LTU für MT1339 c4eva weigerte sich zu kompilieren (andernfalls würden die Leute nur alte Laufwerke installieren und ihre Boards nicht kaufen).

Aber als bereits die Reserven an LTU-Boards aufgebraucht waren, machte c4eva mit seinen Ohren eine tolle Finte - er kompilierte die iXtreme LTU2- Firmware für den MT1319- Chip! Dieser Prozessor war im allerersten LiteOn mit "dicken" Konsolen. Und ja, sie haben angefangen, neue LTU2-Boards zu nieten und zu verkaufen:


Nun, endlich schlossen sich die Chinesen dem Feiertag an und begannen, Boards auf Basis von MT1309, dem häufigeren MT1319-Bruder mit einem externen Flash-Laufwerk, herzustellen:


Die Ära der Xbox 360-Firmware endete mit der Veröffentlichung einer neuen Version der Konsole, auf der Sie den Schlüssel weder vom System noch vom DVD-Laufwerk erhalten können. Aber mehr dazu im nächsten Teil!

Schutz und Hacken von Xbox 360, Teil 1
Schutz und Hacken von Xbox 360, Teil 2
Schutz und Hacken von Xbox 360, Teil 3
Alle Details, Details, Nuancen - fragen Sie in den Kommentaren!

More articles:


All Articles